Никаких вирусов. Просто работаем. Иранские спецслужбы превратили обычный сетевой трафик в инструмент шпионажа

В начале февраля несколько организаций в США, Израиле и Канаде незаметно потеряли контроль над своими системами. Атака прошла почти незаметно, без шума, без типичных следов и привычных индикаторов компрометации. Уже позже стало ясно, что за операцией стоит иранская группировка MuddyWater, связанная с Министерством разведки и безопасности Ирана.

Кампания получила огласку в начале марта. Злоумышленники использовали два вредоносных инструмента – Dindoor и Fakeset. Первый представляет собой бэкдор, который работает через среду выполнения Deno. Второй – более привычный вредонос на Python. Вместе они позволяли закрепиться в системе и незаметно выкачивать данные.

Атака затронула ограниченное число целей, но выбор оказался точечным. Среди пострадавших – финансовая организация в США, аэропорт, некоммерческая структура в Канаде и израильское подразделение американской компании, работающей с оборонным сектором. Такой набор не выглядит случайным. Через финансовую организацию можно отслеживать денежные потоки и связи клиентов. Доступ к аэропорту открывает данные о перемещениях людей и логистике. А компрометация компании из оборонной сферы даёт выход на цепочки поставок и партнёров.

Внутри сетей злоумышленники действовали аккуратно. Вместо собственной инфраструктуры управления использовали легальные облачные сервисы. Для передачи данных применяли утилиту Rclone и отправляли информацию в облачное хранилище Wasabi. Для размещения вредоносных файлов задействовали сервис Backblaze B2. Такой подход помогает скрыть активность среди обычного сетевого трафика и снижает шанс обнаружения.

Особое внимание привлекает Dindoor. Вредонос использует среду Deno, которая редко встречается в корпоративных сетях и почти не учитывается средствами защиты. За счёт этого вредоносный код работает в «слепой зоне» многих систем обнаружения. Fakeset, наоборот, построен на более привычных технологиях, но связан с предыдущими инструментами MuddyWater через используемые сертификаты подписи кода. Такая преемственность помогает точно связать текущую кампанию с ранними атаками группы.

Ещё одна деталь – почти полное отсутствие технических индикаторов. Нет хэшей файлов, списков управляющих серверов или других привычных данных. Такая «пустота» может означать, что операция всё ещё продолжается, либо часть информации намеренно скрыли. В любом случае подобный подход усложняет защиту, потому что классические методы поиска по индикаторам перестают работать.

Поведение MuddyWater меняется не резко, но заметно. Группа по-прежнему использует сценарии, крадёт учётные данные и закрепляется в системах. Однако теперь злоумышленники делают ставку на незаметность. Они выбирают нестандартные инструменты, отказываются от явной инфраструктуры и прячут активность в легитимных сервисах. В результате атака выглядит как обычная работа сети.

Вся кампания больше похожа на подготовку, чем на разовую акцию. Доступ к таким организациям даёт возможность наблюдать, собирать данные и при необходимости перейти к более активным действиям. С учётом текущей геополитической напряжённости такая стратегия выглядит продуманной и долгосрочной.