Nach Darstellung der beteiligten Behörden nutzten die Akteure angemietete, von Dritten gehostete Infrastruktur zusammen mit Konfigurationssoftware wie Rockwell Automations Studio 5000 Logix Designer, um eine akzeptierte Verbindung zur PLC des Opfers aufzubauen. Als Zielgeräte werden CompactLogix- und Micro850-Steuerungen genannt.
Nach dem ersten Zugriff richteten die Angreifer eine Befehls- und Kontrollverbindung ein, indem sie die SSH-Software Dropbear auf den Endpunkten der Opfer einsetzten. Darüber ermöglichten sie Fernzugriff über Port 22, extrahierten die Projektdatei des Geräts und manipulierten Daten auf HMI- und SCADA-Anzeigen.
Zur Abwehr empfehlen die Behörden, PLCs nicht ans Internet anzubinden, Fernänderungen über einen physischen oder softwareseitigen Schalter zu unterbinden, Mehr-Faktor-Authentifizierung einzusetzen, eine Firewall oder einen Netzwerk-Proxy vorzuschalten, die Geräte aktuell zu halten, ungenutzte Authentifizierungsfunktionen zu deaktivieren und den Datenverkehr auf Auffälligkeiten zu überwachen.
Es ist nicht das erste Mal, dass iranische Akteure OT-Netze und PLCs ins Visier nehmen. Ende 2023 wurde die Gruppe Cyber Av3ngers (auch Hydro Kitten, Shahid Kaveh Group und UNC5691) mit der aktiven Ausnutzung von Unitronics-PLCs bei der Municipal Water Authority of Aliquippa im Westen Pennsylvanias in Verbindung gebracht; dabei wurden mindestens 75 Geräte kompromittiert.
Sergey Shykevich, Leiter der Threat-Intelligence-Gruppe bei Check Point Research, erklärte, die Warnung bestätige, was man seit Monaten beobachte: Irans Cybereskalation folge einem bekannten Muster, die Akteure agierten nun schneller und breiter und nähmen sowohl IT- als auch OT-Infrastruktur ins Visier. Identische Angriffsmuster gegen israelische PLCs habe man bereits im März dokumentiert; Organisationen sollten dies nicht als neue, sondern als sich beschleunigende Bedrohung verstehen.
Parallel verzeichnet Flashpoint einen Anstieg von DDoS-Angriffen sowie Behauptungen über Hack-and-Leak-Operationen durch Stellvertretergruppen und Hacktivisten gegen westliche und israelische Ziele. DomainTools Investigations (DTI) beschreibt in einem Bericht dieser Woche die Aktivitäten von Homeland Justice, Karma/KarmaBelow80 und Handala Hack als „ein einziges, koordiniertes Ökosystem für Cyber-Einflussnahme", das dem iranischen Geheimdienstministerium (MOIS) zuzuordnen sei statt einer Reihe separater Hacktivistengruppen. Diese Identitäten seien austauschbare operative Fassaden über einer einheitlichen Grundfähigkeit; öffentliche Domains und Telegram-Kanäle dienten als zentrale Verbreitungsdrehscheibe und spielten zugleich eine große Rolle in der Befehls- und Kontrollkommunikation.
Zugleich legte JUMPSEC die Verbindungen von MuddyWater zum kriminellen Ökosystem dar: Der iranische staatlich gestützte Akteur betreibe mindestens zwei CastleRAT-Versionen gegen israelische Ziele. CastleRAT ist ein Fernzugriffstrojaner aus dem CastleLoader-Framework, das Recorded Future einer Gruppe namens GrayBravo (auch TAG-150) zuschreibt.
Zentral ist ein PowerShell-Deployer („reset.ps1"), der eine zuvor undokumentierte JavaScript-basierte Schadsoftware namens ChainShell ausliefert. Diese kontaktiert einen Smart Contract auf der Ethereum-Blockchain, um eine C2-Adresse abzurufen und damit JavaScript-Code der nächsten Stufe zur Ausführung nachzuladen. Derselbe PowerShell-Loader liefert laut JUMPSEC auch die Botnet-Schadsoftware Tsundere (auch Dindoor); beide seien separate Komponenten der TAG-150-Plattform und würden zusammen mit CastleRAT eingesetzt. Auf die Verbindungen zwischen MOIS und dem Cybercrime-Ökosystem wiesen auch Ctrl-Alt-Intel, Broadcom und Check Point hin.
JUMPSEC betont, die Übernahme einer russischen kriminellen Malware-as-a-Service durch einen iranischen Staatsakteur habe direkte Folgen für Verteidiger: Von MuddyWater anvisierte Organisationen, besonders in den Sektoren Verteidigung, Luft- und Raumfahrt, Energie und Verwaltung, stünden nun einer Kombination aus staatlicher Zielauswahl und kommerziell entwickelten Offensivwerkzeugen gegenüber.
