A Companhia Nacional Iraniana de Tanques (NITC) e as linhas de transporte da República Islâmica do Irã (IRISL), duas empresas sancionadas, são operadoras de 64 barcos, 39 navios-tanque e 25 navios de carga que foram comprometidos em um ataque alvo à infraestrutura maritime do Irã pelo hacking laboratória coletivo-dookhtegan.
Em vez de tentar violações diretas de navios individuais, que são dispersos globalmente e apresentam desafios logísticos significativos, os atacantes se infiltraram no grupo fanava, um fornecedor de TI iraniano responsável pelas comunicações por satélite em toda a frota.
Evidências compartilhadas pelo grupo revelam acesso no nível da raiz em Terminais Linux Executando o software Idirect Satellite desatualizado, especificamente a versão 2.6.35, um kernel conhecido por inúmeras vulnerabilidades não patches, incluindo possíveis falhas de execução de código remoto que poderiam facilitar a escalada de privilégio.
Os despejos de banco de dados de instâncias MySQL expuseram um mapeamento abrangente da infraestrutura de comunicação da frota, com consultas extraindo registros detalhados, como números de série modem, IDs de rede e configurações específicas de embarcações para navios como Touska, Mahnam e Zardis.
Esse plano permitiu aos hackers segmentar sistematicamente o software Falcon, um componente crítico para manter os links de satélite, cortando efetivamente os recursos de e -mail, dados climáticos e coordenação de portas.
Sabotagem de longo prazo
A persistência da operação é evidente com os registros de e-mail e alertas de notificação de “Node Down”, que datam de maio e junho, indicando que o laboratório-dookhtegan mantinha acesso secreto por pelo menos cinco meses após o ataque de março a 116 navios.
De acordo com o relatórioesse tempo de permanência prolongado permitiu reconhecimento, testes de mecanismos de controle e preparação para um ataque de terras escaldadas em agosto.
Os artefatos técnicos mostram a execução de comandos destrutivos, como ‘dd if =/dev/zero de =/dev/mmcblk0p1 bs = 1m’, que substituem várias partições de armazenamento, incluindo registros de navegação, arquivos de mensagens, configurações de sistemas e setores de recuperação.
Esse método, semelhante a uma tática de malware do limpador, garante que nenhuma restauração remota seja possível, forçando as equipes a procurar substituições de hardware baseadas em portos e reinstalação de software completa, potencialmente afastando embarcações por semanas ou meses.
Compunda os danos, os atacantes exfilitaram as configurações do sistema de telefone IP, incluindo senhas de texto simples como “1402@argo” e “1406@diamante”, juntamente com números de telefone e endereços IP, abrindo avenidas para espionagem, representação ou distúrbios adicionais das comunicações de voz.
Implicações estratégicas para operações sancionadas
O momento e a precisão desse ataque se alinham com as crescentes pressões geopolíticas, coincidindo com as sanções do Tesouro dos EUA em 13 entidades envolvidas no comércio de petróleo iraniano, ecoando a coordenação anterior do grupo com as ações dos EUA contra as forças houthi no Iêmen.
NITC e IRISL, Pivotal nas estratégias de sanções-evasão do Irã, como desativar sistemas de rastreamento para entregas de petróleo secretas à China, agora enfrentam paralisia operacional catastrófica.
Sem terminais funcionais de satélite, esses navios não podem navegar de maneira confiável, coordenar entregas ou emitir sinais de angústia, ampliando riscos em áreas de alto tráfego como o Oceano Índico.
A violação explora fraquezas inerentes aos sistemas herdados, destacando os perigos do software não patched em infraestrutura crítica, onde as pontuações do CVSS para vulnerabilidades idiradas podem exceder 9.0 devido à sua exploração e impacto na disponibilidade.
As evidências de Lab-Dookhtegan, incluindo imagens de posição do navio no início do ataque, destacam uma estratégia deliberada para infligir danos econômicos máximos, muito além da mera interrupção.
Este incidente serve como um lembrete gritante de riscos da cadeia de suprimentos Na cibersegurança marítima, onde comprometendo um único provedor como o fanava pode em cascata em vulnerabilidades em toda a frota, instando a modelagem aprimorada de ameaças, o patch regulares e as arquiteturas de trust zero para redes semelhantes.
Encontre esta notícia interessante! Siga -nosGoogle NewsAssim,LinkedIneXPara obter atualizações instantâneas!