I ricercatori di cybersecurity affermano che un gruppo di hacker legato allo stato iraniano noto come Seedworm ha ottenuto accesso a diverse organizzazioni collegate a infrastrutture critiche negli Stati Uniti e in Israele, sollevando preoccupazioni su possibili operazioni informatiche rivolte a settori chiave.
Secondo i risultati published by Symantec and Carbon Black dell’intelligence sulle minacce, il gruppo ha mantenuto accesso segreto a molteplici reti fin dai primi di febbraio. Seedworm, che l’Agenzia per la Sicurezza Informatica e le Infrastrutture degli Stati Uniti descrive come collegata al Ministero dell’Intelligence e della Sicurezza iraniano, è nota per le campagne di spionaggio informatico rivolte a governi e industrie strategiche.
I ricercatori hanno detto che gli hacker hanno utilizzato un malware backdoor precedentemente non documentato chiamato Dindoor per ottenere accesso non autorizzato ai sistemi delle vittime. Lo strumento consente agli attaccanti di mantenere un controllo persistente su reti compromesse restando però difficile da rilevare. Una volta installata, la backdoor consente l’esecuzione remota dei comandi e il monitoraggio continuo dei sistemi interni.
L’indagine ha identificato diverse organizzazioni colpite dall’intrusione. Queste includono una banca statunitense, una società tecnologica con operazioni in Israele, un aeroporto e diverse organizzazioni non governative situate negli Stati Uniti e in Canada. Le squadre di sicurezza di queste organizzazioni avrebbero rilevato attività di rete sospette collegate alla violazione.
I ricercatori hanno osservato che gli attacchi sono comparsi poco dopo gli attacchi militari di Stati Uniti e Israele contro obiettivi in Iran, iniziati il 28 febbraio. Sebbene il rapporto non colleghi direttamente le intrusioni a quegli eventi, gli analisti hanno affermato che il tempismo evidenzia come le tensioni geopolitiche possano coincidere con un aumento dell’attività cibernetica da parte di gruppi allineati agli stati.
Seedworm è attivo da diversi anni ed è conosciuto anche con i nomi MuddyWater e Mango Sandstorm in vari sistemi di tracciamento di intelligenza sulle minacce. Il gruppo ha storicamente preso di mira organizzazioni in Medio Oriente, tra cui agenzie governative, fornitori di telecomunicazioni e operatori regionali di infrastrutture.
Gli ultimi risultati suggeriscono che il gruppo abbia ampliato il proprio focus oltre il Medio Oriente. I ricercatori hanno affermato che l’attività recente mostra un modello di targeting più ampio che include organizzazioni in Nord America, Europa, Africa e Asia. Settori critici come il settore bancario, l’aviazione e la tecnologia sembrano essere di particolare interesse.
Gli analisti della sicurezza affermano che la presenza di attaccanti all’interno delle reti non indica necessariamente che operazioni distruttive siano imminenti. Tuttavia, un accesso a lungo termine può permettere agli attori della minaccia di raccogliere informazioni, mappare l’infrastruttura di rete e prepararsi per potenziali operazioni di follow-up.
La scoperta arriva mentre agenzie di cybersecurity e ricercatori privati avvertono che l’attività informatica legata a conflitti geopolitici potrebbe aumentare. Gli analisti che seguono gli attori di minaccia allineati all’Iran affermano che spesso si svolgono sforzi di ricognizione e infiltrazione prima di operazioni dirompenti che prendono di mira infrastrutture o sistemi governativi.
Le organizzazioni che operano in settori sensibili sono consigliate di rivedere le pratiche di monitoraggio della rete e di indagare su attività di autenticazione insolite che potrebbero indicare un accesso persistente. L’indagine sulle intrusioni Seedworm continua mentre i ricercatori continuano ad analizzare il malware e l’entità delle reti interessate.