Cybersecurityonderzoekers zeggen dat een aan Iran gelieerde hackergroep genaamd Seedworm toegang heeft gekregen tot verschillende organisaties die verbonden zijn met kritieke infrastructuur in de Verenigde Staten en Israël, wat zorgen oproept over mogelijke cyberoperaties gericht op belangrijke industrieën.
Volgens bevindingen published by Symantec and Carbon Black van dreigingsintelligentie heeft de groep sinds begin februari geheime toegang tot meerdere netwerken behouden. Seedworm, dat door de Amerikaanse Cybersecurity and Infrastructure Security Agency wordt beschreven als verbonden aan het Iraanse Ministerie van Inlichtingen en Veiligheid, staat bekend om cyberspionagecampagnes gericht op overheden en strategische sectoren.
Onderzoekers zeiden dat de hackers een eerder ongedocumenteerde achterdeurt-malware genaamd Dindoor gebruikten om ongeautoriseerde toegang te krijgen tot de systemen van slachtoffers. De tool stelt aanvallers in staat om blijvende controle te behouden over gecompromitteerde netwerken, terwijl het moeilijk te detecteren blijft. Eenmaal geïnstalleerd, maakt de achterdeur het uitvoeren van externe commando’s en voortdurende monitoring van interne systemen mogelijk.
Het onderzoek identificeerde verschillende organisaties die door de inbraak waren getroffen. Deze omvatten een Amerikaanse bank, een technologiebedrijf met activiteiten in Israël, een luchthaven en meerdere niet-gouvernementele organisaties in de Verenigde Staten en Canada. Beveiligingsteams van die organisaties zouden verdachte netwerkactiviteiten hebben gedetecteerd die met de inbreuk te maken had.
Onderzoekers merkten op dat de aanvallen kort na militaire aanvallen van de Verenigde Staten en Israël op doelen in Iran plaatsvonden die op 28 februari begonnen. Hoewel het rapport de indringers niet direct aan die gebeurtenissen koppelt, zeiden analisten dat de timing benadrukt hoe geopolitieke spanningen kunnen samenvallen met toegenomen cyberactiviteit door staatsgebonden groepen.
Seedworm is al enkele jaren actief en staat ook bekend onder de namen MuddyWater en Mango Sandstorm in diverse dreigingsinformatie-trackingsystemen. De groep heeft historisch gezien organisaties in het Midden-Oosten als doelwit gehad, waaronder overheidsinstanties, telecommunicatieaanbieders en regionale infrastructuuroperators.
De laatste bevindingen suggereren dat de groep haar focus heeft uitgebreid buiten het Midden-Oosten. Onderzoekers zeiden dat recente activiteiten een breder targetingpatroon laten zien, waaronder organisaties in Noord-Amerika, Europa, Afrika en Azië. Kritieke sectoren zoals bankwezen, luchtvaart en technologie lijken van bijzonder belang te zijn.
Beveiligingsanalisten zeggen dat de aanwezigheid van aanvallers binnen netwerken niet per se betekent dat destructieve operaties op handen zijn. Langdurige toegang kan echter dreigingsactoren in staat stellen inlichtingen te verzamelen, netwerkinfrastructuur in kaart te brengen en zich voor te bereiden op mogelijke vervolgoperaties.
De ontdekking komt op het moment dat cyberbeveiligingsinstanties en particuliere onderzoekers waarschuwen dat cyberactiviteit die verband houdt met geopolitieke conflicten kan toenemen. Analisten die Iran-georiënteerde dreigingsactoren volgen, zeggen dat verkennings- en infiltratie-inspanningen vaak plaatsvinden vóór verstorende operaties gericht op infrastructuur of overheidssystemen.
Organisaties die actief zijn in gevoelige sectoren worden geadviseerd om netwerkmonitoringpraktijken te herzien en ongebruikelijke authenticatieactiviteiten te onderzoeken die kunnen wijzen op persistente toegang. Het onderzoek naar de Seedworm-intrusies loopt nog steeds terwijl onderzoekers de malware en de omvang van de getroffen netwerken blijven analyseren.