Cybersicherheitsforscher berichten, dass eine staatlich verbundene iranische Hackergruppe namens Seedworm Zugang zu mehreren Organisationen erhalten hat, die mit kritischer Infrastruktur in den USA und Israel verbunden sind, was Bedenken hinsichtlich möglicher Cyberoperationen gegen Schlüsselindustrien aufwirft.
Laut Bedrohungsinformationen published by Symantec and Carbon Black hat die Gruppe seit Anfang Februar verdeckten Zugang zu mehreren Netzwerken aufrechterhalten. Seedworm, das die US-amerikanische Cybersecurity and Infrastructure Security Agency als mit dem iranischen Ministerium für Nachrichtendienste und Sicherheit verbunden beschreibt, ist bekannt für Cyber-Spionagekampagnen, die sich gegen Regierungen und strategische Industrien richten.
Forscher berichteten, dass die Hacker eine zuvor nicht dokumentierte Hintertür-Malware namens Dindoor nutzten, um unbefugten Zugang zu den Opfersystemen zu erhalten. Das Tool ermöglicht es Angreifern, dauerhaft die Kontrolle über kompromittierte Netzwerke zu behalten und dabei schwer zu erkennen. Nach der Installation ermöglicht die Backdoor die Fernausführung von Befehlen und die fortlaufende Überwachung interner Systeme.
Die Untersuchung identifizierte mehrere von der Störung betroffene Organisationen. Dazu gehören eine US-Bank, ein Technologieunternehmen mit Aktivitäten in Israel, ein Flughafen sowie mehrere Nichtregierungsorganisationen in den Vereinigten Staaten und Kanada. Sicherheitsteams dieser Organisationen entdeckten Berichten zufolge verdächtige Netzwerkaktivitäten im Zusammenhang mit dem Datenverstoß.
Forscher stellten fest, dass die Angriffe kurz nach den Militärangriffen der Vereinigten Staaten und Israels auf Ziele im Iran erfolgten, die am 28. Februar begannen. Obwohl der Bericht die Eindringlinge nicht direkt mit diesen Ereignissen in Verbindung bringt, erklärten Analysten, dass der Zeitpunkt aufzeigt, wie geopolitische Spannungen mit zunehmender Cyberaktivität staatlich verbundener Gruppen zusammenfallen können.
Seedworm ist seit mehreren Jahren aktiv und ist auch unter den Namen MuddyWater und Mango Sandstorm in verschiedenen Bedrohungsaufklärungssystemen bekannt. Die Gruppe hat historisch Organisationen im Nahen Osten ins Visier genommen, darunter Regierungsbehörden, Telekommunikationsanbieter und regionale Infrastrukturbetreiber.
Die neuesten Ergebnisse deuten darauf hin, dass die Gruppe ihren Fokus über den Nahen Osten hinaus ausgeweitet hat. Forscher sagten, dass jüngste Aktivitäten ein breiteres Zielgruppenmuster zeigen, das Organisationen in Nordamerika, Europa, Afrika und Asien einschließt. Kritische Sektoren wie Bankwesen, Luftfahrt und Technologie scheinen besonders von Interesse zu sein.
Sicherheitsanalysten sagen, dass das Vorhandensein von Angreifern in Netzwerken nicht zwangsläufig darauf hindeutet, dass zerstörerische Operationen unmittelbar bevorstehen. Langfristiger Zugang kann es Bedrohungsakteuren jedoch ermöglichen, Informationen zu sammeln, die Netzwerkinfrastruktur zu kartieren und sich auf mögliche Folgeoperationen vorzubereiten.
Die Entdeckung erfolgt, während Cybersicherheitsbehörden und private Forscher warnen, dass Cyberaktivitäten im Zusammenhang mit geopolitischen Konflikten zunehmen könnten. Analysten, die iranisch ausgerichtete Bedrohungsakteure verfolgen, sagen, dass Aufklärungs- und Infiltrationsmaßnahmen oft vor störenden Operationen stattfinden, die Infrastruktur oder Regierungssysteme ins Visier nehmen.
Organisationen, die in sensiblen Bereichen tätig sind, werden geraten, die Überwachungspraktiken des Netzwerks zu überprüfen und ungewöhnliche Authentifizierungsaktivitäten zu untersuchen, die auf dauerhaften Zugriff hinweisen könnten. Die Untersuchung der Seedworm-Eindringlinge läuft weiterhin, während Forscher weiterhin die Malware und das Ausmaß der betroffenen Netzwerke analysieren.