Hintertür Dindoor
Die Analyse von Bedrohungsdaten hat Hinweise auf eine iranische, staatlich unterstützte Cyberoperation aufgedeckt, die sich erfolgreich in die Netzwerke mehrerer Organisationen in Nordamerika eingeschlichen hat. Zu den betroffenen Einrichtungen gehören Banken, Flughäfen, gemeinnützige Organisationen und die israelische Niederlassung eines Softwareunternehmens, das die Verteidigungs- und Luftfahrtindustrie beliefert.
Die Kampagne wird MuddyWater, auch bekannt als Seedworm, zugeschrieben, einer Bedrohungsgruppe mit Verbindungen zum iranischen Ministerium für Geheimdienste und Sicherheit (MOIS). Ermittler gehen davon aus, dass die Operation Anfang Februar 2026 begann. Netzwerkaktivitäten im Zusammenhang mit der Kampagne traten kurz nach Militärschlägen der USA und Israels gegen den Iran auf, was auf einen möglichen geopolitischen Auslöser der Cyberaktivitäten hindeutet.
Besonderes Augenmerk scheint auf die israelische Niederlassung des angegriffenen Softwareanbieters gerichtet gewesen zu sein. Das Unternehmen liefert Lösungen für diverse Branchen, darunter Verteidigung und Luft- und Raumfahrt, und ist damit ein strategisch wertvolles Ziel für Informationsbeschaffung und potenzielle Störungen.
Inhaltsverzeichnis
Dindoor: Eine neu entdeckte Hintertür, die Deno ausnutzt
Sicherheitsanalysten, die die Eindringversuche untersuchten, identifizierten den Einsatz einer bisher unbekannten Hintertür namens Dindoor. Die Schadsoftware nutzt die Deno-JavaScript-Laufzeitumgebung als Teil ihrer Ausführungsumgebung – eine relativ ungewöhnliche Technik, die der Schadsoftware helfen kann, der Erkennung durch herkömmliche Sicherheitsüberwachungssysteme zu entgehen.
Die Angriffe auf den Softwareanbieter, ein US-amerikanisches Bankinstitut und eine kanadische gemeinnützige Organisation scheinen als Einfallstore für die Installation dieser Hintertür gedient zu haben.
Es wurden auch Hinweise auf einen versuchten Datenabfluss gefunden. Die Ermittler beobachteten die Verwendung des Dienstprogramms Rclone, um Informationen aus der Umgebung des kompromittierten Softwareunternehmens in einen Cloud-Speicher bei Wasabi zu übertragen. Zum Zeitpunkt der Analyse war noch unklar, ob der Datenabflussversuch letztendlich erfolgreich war.
Fakeset-Hintertür taucht in weiteren kompromittierten Netzwerken auf
Eine separate Malware-Komponente namens Fakeset, geschrieben in Python, wurde in den Netzwerken eines US-Flughafens und einer weiteren gemeinnützigen Organisation entdeckt. Diese Hintertür wurde aus der Infrastruktur von Backblaze, einem US-amerikanischen Anbieter von Cloud-Speicherung und Datensicherung, extrahiert.
Die schädliche Nutzlast wurde digital mit einem Zertifikat signiert, das zuvor mit zwei anderen Malware-Familien, Stagecomp und Darkcomp, in Verbindung gebracht wurde, die beide in der Vergangenheit mit den Operationen von MuddyWater in Verbindung standen.
Bedrohungsforscher haben Malware-Proben identifiziert, die die folgenden Signaturen aufweisen, die mit dem MuddyWater-Ökosystem in Verbindung stehen:
- Trojan:Python/MuddyWater.DB!MTB
- Backdoor.Python.MuddyWater.a
Obwohl Stagecomp und Darkcomp selbst in den im Rahmen dieser Untersuchung untersuchten kompromittierten Netzwerken nicht entdeckt wurden, deutet die Wiederverwendung desselben digitalen Zertifikats stark auf die Beteiligung desselben Bedrohungsakteurs hin und untermauert somit die Zuordnung zu Seedworm.
Erweiterung der iranischen Cyberfähigkeiten und Social-Engineering-Taktiken
Iranische Cyberkriminelle haben ihre operativen Fähigkeiten in den letzten Jahren deutlich verbessert. Ihre Malware-Entwicklung und die dazugehörigen Werkzeuge sind ausgefeilter geworden, was ihnen ein unbemerkteres Eindringen und eine effektivere laterale Bewegung innerhalb der Netzwerke ihrer Opfer ermöglicht.
Ebenso bemerkenswert ist die Ausweitung ihrer auf den Menschen ausgerichteten Angriffsstrategien. Iranische Akteure haben zunehmend ausgefeilte Social-Engineering-Methoden demonstriert, darunter hochgradig zielgerichtete Spear-Phishing-Kampagnen und langfristige Honeytrap-Operationen, die darauf abzielen, Vertrauen zu den gewünschten Personen aufzubauen. Diese Taktiken werden häufig eingesetzt, um sich Zugang zu Konten zu verschaffen oder sensible Informationen zu extrahieren.
Überwachung durch anfällige Kameras
Parallel durchgeführte Ermittlungen haben ergeben, dass weitere, mit dem Iran verbundene Bedrohungsgruppen aktiv internetfähige Überwachungsgeräte ausspionieren. Eine dieser Gruppen, Agrius, auch bekannt unter den Aliasnamen Agonizing Serpens, Marshtreader und Pink Sandstorm, wurde dabei beobachtet, wie sie nach anfälliger Videoüberwachungsinfrastruktur suchte.
Forscher dokumentierten Angriffe auf Hikvision-Kameras und Video-Gegensprechanlagen, die bekannte Sicherheitslücken ausnutzten. Diese Aktivitäten haben sich im Zuge des andauernden Nahostkonflikts, insbesondere in Israel und mehreren Golfstaaten, verstärkt.
Die Kampagne konzentrierte sich auf die Ausnutzung von Schwachstellen in Überwachungsgeräten der Hersteller Dahua und Hikvision, darunter:
- CVE-2017-7921
- CVE-2023-6895
- CVE-2021-36260
- CVE-2025-34067
- CVE-2021-33044
Sicherheitsexperten gehen davon aus, dass solche Kompromittierungen die militärische Aufklärung unterstützen können, einschließlich operativer Überwachung und Gefechtsschadensanalyse (BDA) im Zusammenhang mit Raketenoperationen. In einigen Fällen können Kameraeinbrüche vor Raketenstarts erfolgen, um die Zielerfassung oder die Überwachung der Ergebnisse zu erleichtern.
Cyberaktivitäten als Vorläufer kinetischer Operationen
Die gezielte Zerstörung von Überwachungsinfrastrukturen deckt sich mit langjährigen Einschätzungen, dass die iranische Cyber-Doktrin die digitale Aufklärung in die umfassendere militärische Planung integriert. Kompromittierte Kameras können visuelle Echtzeitinformationen und Lagebilder liefern.
Folglich kann die Überwachung von Scanaktivitäten und Ausnutzungsversuchen gegen Kamerainfrastruktur, die mit bekannten iranischen Cyberressourcen verbunden ist, als Frühwarnsignal für mögliche nachfolgende militärische Operationen dienen.
Zunehmende Risiken von Cyber-Vergeltungsangriffen
Der eskalierende Konflikt zwischen den USA, Israel und Iran hat das Risiko von Cyberangriffen erhöht. Angesichts dieser wachsenden Bedrohungslage hat das Canadian Centre for Cyber Security (CCCS) eine Warnung herausgegeben, wonach Iran seine Cyberfähigkeiten wahrscheinlich gegen kritische Infrastrukturen einsetzen und Einfluss- oder Informationsoperationen durchführen wird, um strategische Interessen zu fördern.
Diese Entwicklungen unterstreichen die wachsende Bedeutung des Cyberspace als paralleles Schlachtfeld bei geopolitischen Konflikten, wo Spionage, Störung und Informationsbeschaffung zunehmend traditionelle militärische Aktionen begleiten.
