Pesquisadores de cibersegurança dizem que um grupo de hackers ligado ao Estado iraniano conhecido como Seedworm conseguiu acesso a várias organizações ligadas a infraestrutura crítica nos Estados Unidos e Israel, levantando preocupações sobre possíveis operações cibernéticas que visam indústrias-chave.
De acordo com as descobertas published by Symantec and Carbon Black de inteligência de ameaças, o grupo mantém acesso secreto a múltiplas redes desde o início de fevereiro. Seedworm, que a Agência de Segurança de Cibersegurança e Infraestrutura dos EUA descreve como ligada ao Ministério de Inteligência e Segurança do Irã, é conhecida por campanhas de espionagem cibernética direcionadas a governos e indústrias estratégicas.
Pesquisadores disseram que os hackers usaram um malware backdoor anteriormente não documentado chamado Dindoor para obter acesso não autorizado aos sistemas das vítimas. A ferramenta permite que atacantes mantenham controle persistente sobre redes comprometidas, permanecendo difíceis de detectar. Uma vez instalado, a backdoor permite a execução remota de comandos e o monitoramento contínuo dos sistemas internos.
A investigação identificou várias organizações afetadas pela invasão. Incluem um banco dos EUA, uma empresa de tecnologia com operações em Israel, um aeroporto e várias organizações não governamentais localizadas nos Estados Unidos e Canadá. Equipes de segurança dessas organizações teriam detectado atividade suspeita na rede ligada à violação.
Pesquisadores observaram que os ataques ocorreram logo após ataques militares dos Estados Unidos e de Israel contra alvos no Irã, que começaram em 28 de fevereiro. Embora o relatório não relacione diretamente as intrusões a esses eventos, analistas disseram que o momento destaca como as tensões geopolíticas podem coincidir com o aumento da atividade cibernética por grupos alinhados aos Estados.
Seedworm está ativo há vários anos e também é conhecido pelos nomes MuddyWater e Mango Sandstorm em vários sistemas de rastreamento de inteligência de ameaças. Historicamente, o grupo tem como alvo organizações no Oriente Médio, incluindo agências governamentais, provedores de telecomunicações e operadores regionais de infraestrutura.
As descobertas mais recentes sugerem que o grupo expandiu seu foco além do Oriente Médio. Pesquisadores disseram que as atividades recentes mostram um padrão de segmentação mais amplo que inclui organizações na América do Norte, Europa, África e Ásia. Setores críticos como bancos, aviação e tecnologia parecem ser de particular interesse.
Analistas de segurança dizem que a presença de atacantes dentro das redes não indica necessariamente que operações destrutivas sejam iminentes. No entanto, o acesso de longo prazo pode permitir que atores ameaçadores coletem inteligência, mapeem a infraestrutura da rede e se preparem para possíveis operações de acompanhamento.
A descoberta ocorre enquanto agências de cibersegurança e pesquisadores privados alertam que a atividade cibernética ligada a conflitos geopolíticos pode aumentar. Analistas que acompanham atores ameaçadores alinhados ao Irã dizem que esforços de reconhecimento e infiltração frequentemente ocorrem antes de operações disruptivas que visam infraestrutura ou sistemas governamentais.
Organizações que atuam em setores sensíveis estão sendo aconselhadas a revisar práticas de monitoramento de rede e investigar atividades de autenticação incomuns que possam indicar acesso persistente. A investigação sobre as intrusões do Seedworm continua em andamento enquanto os pesquisadores continuam analisando o malware e o alcance das redes afetadas.