Атака на Stryker: иранские хакеры активировали заранее внедрённые бэкдоры после февральских ударов

Ключевая особенность текущего этапа - активация доступа, полученного задолго до 28 февраля 2026 года. Именно тогда США и Израиль нанесли удары по иранским военным и киберструктурам. Эти удары не уничтожили оперативные возможности Тегерана, но стали триггером для использования заранее внедрённых закладок. Например, кластер Seedworm, который является частью более крупной группы MuddyWater, ещё с февраля 2026 года установил постоянные бэкдоры в сетях американских банков, аэропортов, оборонных предприятий и некоммерческих организаций. Для доставки вредоносного кода использовались легитимные облачные хранилища Backblaze и Wasabi, а для кражи данных применялся инструмент Rclone.

Кульминацией стала первая с момента начала конфликта подтверждённая кибератака иранских группировок на американскую компанию. 11 марта 2026 года группа Handala, действующая под псевдонимом Void Manticore, нанесла удар по корпорации Stryker - производителю медицинского оборудования, которое используют более 150 миллионов пациентов по всему миру. Атака привела к сбоям в глобальной сети и ИТ-системах, что вынудило компанию подать соответствующее уведомление в Комиссию по ценным бумагам и биржам США (SEC). Handala заявила, что извлекла 50 терабайт данных и уничтожила тысячи систем. Причиной названа месть за бомбардировку школы в иранском городе Минаб.

Стоит отметить, что удары по иранским центрам управления серьёзно затруднили централизованную координацию киберкампаний. Цифровая атака на иранскую инфраструктуру привела к тому, что доступ к национальному интернету упал до 1-4% от нормального уровня. Кроме того, были ликвидированы трое высокопоставленных руководителей, отвечавших за кибероперации и радиоэлектронную борьбу. Однако операционные ячейки, работающие за пределами Ирана, сохранили способность действовать автономно. Handala, как отмечают аналитики компании Check Point Research, ещё с середины января 2026 года использует спутниковый интернет Starlink, что позволило группе изолировать себя от внутренних перебоев связи.

Кибервойна вышла далеко за пределы противостояния США и Израиля с Ираном. К началу марта 2026 года было зафиксировано около шестидесяти подтверждённых активных хактивистских групп, поддерживающих Иран или Россию. Они координируются через специальный "электронный оперативный штаб" в Telegram. К ним присоединились пророссийские группы NoName057(16) и Russian Legion. Иракское киберсопротивление 6 марта объявило кибервойну Кувейту. При этом, по оценкам специалистов Insikt Group и Sophos, большинство таких групп используют примитивные методы, преувеличивают масштабы взломов и занимаются скорее информационным шумом. Однако серьёзную опасность представляет предложение BaqiyatLock: группа раздаёт бесплатные подписки на своё вымогательское ПО (ransomware-as-a-service) всем, кто способен атаковать израильские организации. Таким образом к идеологическому фактору добавляется финансовый.

Теперь разберёмся с основными действующими лицами. MuddyWater работает на Министерство разведки и безопасности Ирана (MOIS). В рамках операции Olalampo, описанной Group-IB, использовались специализированные инструменты GhostFetch, HTTP_VIP, GhostBackDoor и CHAR. Примечательно, что в отладочных строках вредоносной программы CHAR найдены эмодзи и нестандартные последовательности Юникода - это характерный признак того, что код создавался или дополнялся с помощью генеративных нейросетей. Check Point Research также отмечает, что MuddyWater продолжает активно использовать легитимные средства удалённого мониторинга и управления (RMM), доставляемые через фишинг, причём последние инструменты, вероятно, разработаны с помощью больших языковых моделей.

Кластер Seedworm, хотя и близок к MuddyWater, выделен в отдельную кампанию из-за того, что атаки были нацелены на сети федеральных ведомств США и объекты критической инфраструктуры. Группа Dust Specter, идентифицированная Zscaler в начале марта, в январе 2026 года провела целевые операции против иракских госчиновников, маскируясь под Министерство иностранных дел Ирака. Анализ показал четыре новых семейства вредоносного кода, включая SPLITDROP и GHOSTFORM. В их коде также обнаружились эмодзи, указывающие на помощь искусственного интеллекта.

Особого внимания заслуживает APT33 (также известна как Elfin и Refined Kitten). Эта группа, подчиняющаяся Корпусу стражей исламской революции (КСИР), специализируется на разрушительных операциях против аэрокосмической, оборонной и энергетической отраслей. В текущем конфликте она проводит массовый подбор паролей (password spraying) в средах Microsoft 365 и Entra ID через выходные узлы сети TOR, использует AD Explorer для картографирования среды и перемещается из ИТ-сегментов в сети операционных технологий (ОТ) и промышленных систем управления (ICS). В качестве основного разрушительного инструментария рассматриваются вирусы-стиратели Shamoon 4.0 и Meteor.

APT35 (Magic Hound) активно эксплуатирует известные уязвимости в продуктах Ivanti, ConnectWise и Microsoft Exchange. После проникновения злоумышленники сбрасывают пароли из LSASS и перехватывают токены OAuth для закрепления в системе. Одновременно APT42 (Educated Manticore) использует многоэтапную социальную инженерию, заманивая жертв на фишинговые страницы, имитирующие WhatsApp, Microsoft Teams и Google Meet. Эта группа крадёт геолокационные данные и, как выяснилось, применяла Google Gemini для разведки и поиска прототипов уязвимостей.

Отдельно стоит сказать о роли искусственного интеллекта. Генеративные нейросети кардинально изменили ландшафт разведки. С помощью больших языковых моделей иранские группировки генерируют сложные запросы к поисковой системе Shodan, выявляя уязвимые промышленные контроллеры за считанные минуты. Это первое документально подтверждённое крупномасштабное применение LLM-сгенерированных разведывательных запросов в активном вооружённом конфликте, что резко снижает технический порог для атак на объекты критической инфраструктуры.

Что касается цепочки атак, то она состоит из нескольких этапов. Сначала - разведка с помощью ИИ, затем - множественные векторы начального проникновения: эксплуатация уязвимостей на пограничных устройствах, фишинг с офисными документами, социальная инженерия через мессенджеры и smishing с поддельным приложением израильской службы спасения "Красный сигнал тревоги". После закрепления в сети злоумышленники используют легитимные инструменты удалённого доступа, такие как AnyDesk и ScreenConnect, чтобы маскироваться под обычный административный трафик. Управление вредоносным ПО осуществляется через Telegram, зашифрованные HTTPS-каналы и инфраструктуру, спрятанную за Cloudflare.

Завершающая стадия - нанесение ущерба. Стиратели Shamoon 4.0, Meteor, MuddyViper и BibiWiper уничтожают данные, а псевдовымогатели BaqiyatLock и Sicarii не восстанавливают информацию даже после выплаты выкупа. Вредоносная программа IOCONTROL напрямую атакует интернет вещей и топливные системы, что может привести к физическим последствиям. Параллельно группы вроде Handala и Cyber Toufan публикуют похищенные данные, оказывая репутационное давление независимо от того, достигли ли взломщики технических целей.

На практике из этого следует несколько выводов. Доступ к сетям американских банков, аэропортов и оборонных предприятий был получен за недели до эскалации. Атака на Stryker показала, как этот доступ активируется, когда наступает подходящий момент. Разница между предварительной закладкой и разрушительным ударом - не в возможностях, а в намерении. Сейчас специалистам по информационной безопасности необходимо срочно проверять инфраструктуру на наличие бэкдоров Dindoor и Fakeset, аннулировать активные токены сессий, выводить интерфейсы промышленных систем из публичного интернета и устанавливать критические обновления. Особое внимание следует уделить медицинским организациям: атака на Stryker - не случайность, а сигнал о том, что здравоохранение стало мишенью для оказания политического давления на США.

IPv4

• 103.224.212.206
• 157.20.182.49
• 174.138.92.189
• 185.178.208.137
• 185.236.25.119
• 185.76.79.125
• 192.142.53.75
• 192.185.17.119
• 194.68.32.90
• 209.74.87.100
• 23.151.8.88
• 23.94.211.166
• 38.180.239.161
• 45.84.107.17
• 80.240.30.16
• 83.110.178.217
• 92.243.65.243

Domains

• afterworld.store
• anythingshere.shop
• ca.iq
• codefusiontech.org
• cside.site
• elvenforest.s3.us-east-005.backblazeb2.com
• footballfans.asia
• girlsbags.shop
• gitempire.s3.us-east-005.backblazeb2.com
• handala.to
• handala-alert.to
• handala-hack.to
• handala-redwanted.to
• justweb.click
• lecturegenieltd.pro
• meetingapp.site
• menclub.lt
• moonzonet.com
• musiclivetrack.website
• ntcx.pro
• onlinepettools.shop
• ramp4u.io
• relayon.org
• retseptik.info
• serialmenot.com
• stone110.store
• stylenhost.com
• stylentech.net
• uppdatefile.com
• web14.info
• web27.info
• westchesterisms.chandalar.com
• whatsapp-meeting.duckdns.org