کمیته رکن چهارم – گروه هکری منتسب به دولت جمهوری اسلامی ایران با استفاده از بدافزار جدیدی به نام MuddyViper بخشهایی از اسرائیل را هدف حملات سایبری قرار داده است.
به گزارش کمیته رکن چهارم، نهادهای اسرائیلی در حوزههای دانشگاه، مهندسی، حکومت محلی، تولید، فناوری، حملونقل و زیرساختهای خدماتی در دور جدیدی از حملات سایبری هدف قرار گرفتهاند. این حملات از تاریخ ۲۰۲۴‑۰۹‑۳۰ تا ۲۰۲۵‑۰۳‑۱۸ اجرا شده و در آنها از درپشتی MuddyViper استفاده شده است.
مراقبان امنیتی این فعالیت را به گروه MuddyWater نسبت دادهاند، گروهی که با نامهای دیگر مانند Mango Sandstorm، Static Kitten یا TA450 نیز شناخته میشود و از سال ۲۰۱۷ فعال است. پیشتر این گروه با بدافزارهایی چون POWERSTATS علیه نهادهای مختلف فعالیت کرده و حتی از نسخهای از باجافزار Thanos به نام PowGoop برای حملات مخرب استفاده کرده است.
در حملات اخیر، زنجیره نفوذ معمولاً با فیشینگ هدفمند و بهرهبرداری از آسیبپذیریهای شناختهشده در زیرساختهای VPN آغاز میشود. سپس مهاجمان با استفاده از ابزارهای مدیریت از راه دور قانونی اقدام به استقرار بدافزار میکنند؛ روشی که MuddyWater پیش از این نیز معمولاً به کار میگرفت.
در دور جدید، گروه از لودر جدیدی به نام Fooder استفاده کرده که MuddyViper را (که بر پایه C/C++ است) رمزگشایی و اجرا میکند. این مدل لودر گاهی با عنوان بازی کلاسیک Snake پنهان میشود تا شناسایی نشود، و از روشهایی مانند تونل معکوس و ابزار استخراج داده مرورگر نیز بهره میبرد.
گروه MuddyViper به مهاجمان اجازه میدهد اطلاعات سیستم را جمعآوری کنند، فرمان شِل اجرا کرده، فایل جابهجا کنند و اطلاعات ورود به ویندوز و دادههای مرورگر را استخراج نمایند. این درپشتی از حدود بیست فرمان مختلف پشتیبانی میکند که کنترل کامل سیستم آلوده را امکانپذیر میسازد.
این کمپین جدید، نشانه بلوغ عملیاتی بیشتر MuddyWater است؛ استفاده از اجزای کاملاً جدید مانند Fooder و MuddyViper، حاکی از تلاش برای افزایش مخفیکاری، پایداری و توان سرقت اطلاعات حساس است.
حملات اخیر نشان میدهند که گروههایی مرتبط با دولت جمهوری اسلامی ایران با بهرهگیری از ابزارهای پیشرفته سایبری توانستهاند به بخشهای حیاتی و متنوع در اسرائیل نفوذ کنند و این خطر تهدیدی جدی برای امنیت سایبری و اطلاعاتی نهادها و سازمانهاست.
