2月の初期の頃、米国、イスラエル、およびカナダ全体のいくつかの機関は知覚されない形で彼らのシステムに対する支配を放棄しました。その侵入は寒々しい沈黙のうちに展開し、本質的な足跡や通常の侵害の指標から完全に欠いていました。その後になってようやく、実行者が影から現れました:MuddyWater、情報セキュリティ省に必然的に結びついたイランの辛党です。
キャンペーンは3月初頭に明かされました。悪意者たちは二つの悪質な道具を配備しました—DindoorとFakeset。前者はDeno実行時環境を通じて動作する秘密のバックドアとして現れます。後者はより従来的なPythonベースの感染を表しています。協力して、彼らは敵対者がアーキテクチャ内に根を張り、ステルスでデータを吸い出すことを可能にしました。
包囲が有限なターゲットリストに影響を与えましたが、選択は絶妙に正確でした。征服された企業の中には、米国内の金融機関、飛行場、カナダの非営利団体、および防衛部門に深く根を張るアメリカ企業のイスラエル支部がありました。このような融合は明らかに幸運から欠いています。金融機関を通じて、金銭の流れと顧客の結びつきを監視することができます。飛行場への支配は人間の移動と物流の振付に関する膨大な情報を解放します。同時に、防衛請負業者の侵害は、広大なサプライチェーンと戦略的同盟への貴重な導管を提供します。
これらのネットワークの迷路の中で、デジタル掠奪者たちは完璧な思慮深さで活動しました。彼らの主権的な指揮統制インフラを避け、合法的なクラウドサービスを横領しました。情報の流出はRcloneユーティリティを介して編成され、略奪されたデータをWasabiクラウドの聖域に直接流し込みました。彼らの有毒なペイロードの保護のために、彼らはBackblaze B2サービスを徴募しました。このような戦略は、通常のネットワークトラフィックの絶え間ない流れの中で悪質な動作を巧みに隠蔽し、検出の確率を急速に減少させます。
Dindoorは特に精査の対象となります。この感染はDeno環境を活用しており、それは通常のコーポレートアーキテクチャから目立たず欠けており、防衛的な番人によって頻繁に見落とされるフレームワークです。その結果、この悪質なコードは多くの検出システムの「盲点」の中でシームレスに動作します。逆に、Fakesetはより普遍的な技術に基づいて設計されていますが、共有コード署名証明書を介してMuddyWaterの祖先の武装に不可分に拘束されたままです。この綿密な継続性により、法医学的な専門家はこの同時代の十字軍をこの組織の歴史的な包囲に明確に結びつけることができます。
追加の印象的な側面は、技術的指標のほぼ絶対的な空白です。ファイルハッシュ、コマンドサーバーのリスト、または補助的な通常の法医学的データの明らかな不足が存在します。この深い「空白」は、操作が流動的かつ継続中であるか、または特定の情報の断片が意図的に隠蔽されているかのいずれかを示唆しています。根本的な原因に関係なく、このパラダイムは防衛体勢を深く複雑にし、指標ベースの狩猟の正統的な方法論を全く無力にします。
MuddyWaterの行動進化は唐突な変化ではなく、むしろ明白な改良です。この組織は引き続きスクリプトを使用し、認証情報を略奪し、システム内に永続的な足がかりを打ち立てています。しかし、現在、悪意者たちはその勝利全体を知覚不可能性の芸術に賭けています。彼らは選択的に正統的でない道具を採用し、目立つインフラを放棄し、合法的なサービスのベールの中に彼らの動作を隠しています。その結果、彼らの運動的な打撃は日常的なネットワーク操作として完璧に変装しています。
全体として、キャンペーンは孤立した一時的な小競り合いではなく、綿密な準備の特徴を示しています。このような重要な機関への支配権は、敵対者に観察する、綿密に情報を収集する、そして必要であれば、より大規模な運動的行動へのシームレスな移行の贅沢さを与えます。現代の地政学的摩擦の背景に照らして、そのような戦略は深く計算された継続的な企業として現れています。
