Техно Интернет Иранские хакеры атаковали ведущего южнокорейского производителя электроники

14 мая, 12:31

7 мин

Иранские хакеры атаковали ведущего южнокорейского производителя электроники

Александр Гайдамашко

Основные тезисы

Иранские хакеры из группировки MuddyWater проникли в сеть крупного южнокорейского производителя электроники, оставаясь незамеченными в течение недели.
Атака была частью более масштабной операции, охватившей правительственные учреждения, аэропорт на Ближнем Востоке, промышленные предприятия в Юго-Восточной Азии, финансовые учреждения в Латинской Америке и образовательные учреждения.

Иранские хакеры Seedworm атаковали производителя электроники в Южной Корее

Иранская группировка MuddyWater сломала южнокорейского гиганта / Коллаж 24 Канала/Unsplash

В феврале 2026 года специалисты по кибербезопасности зафиксировали масштабную шпионскую кампанию, охватившую девять организаций на четырех континентах. Наиболее резонансным случаем стало проникновение в сеть ведущего южнокорейского производителя электроники, где злоумышленники оставались незамеченными в течение недели.

Как иранским хакерам удалось незаметно проникнуть в сеть?

Иранская хакерская группировка MuddyWater, также известная под названиями Seedworm, Static Kitten и Temp Zagros, провела широкую кампанию кибершпионажа, нацеленную на высокотехнологичные сектора по всему миру. По данным Bleeping Computer, злоумышленники провели целую неделю внутри сети "крупного южнокорейского производителя электроники" в период с 20 по 27 февраля 2026 года, однако ни один отчет не называет, кто именно это был – Samsung или какая-то другая компания.

Эта атака стала частью более масштабной операции, жертвами которой стали правительственные учреждения, международный аэропорт на Ближнем Востоке, промышленные предприятия в Юго-Восточной Азии, финансовые учреждения в Латинской Америке и образовательные учреждения в разных странах.

Эксперты кибербезопасности компании Symantec считают, что группировка Seedworm тесно связана с Министерством разведки и безопасности Ирана. Основной целью злоумышленников была кража промышленной и интеллектуальной собственности, государственный шпионаж, а также получение доступа к списку клиентов. Каждая из целей могла обладать материалами, имеющими разведывательную ценность для Тегерана.

Методы, которые использовали хакеры, свидетельствуют о существенном росте их профессионального мастерства.

Нападающие последовательно сбрасывали пары файлов, состоящие из легитимного, подписанного исполняемого файла третьей стороны и вредоносной библиотеки DLL, разработанной для загрузки этим файлом,
– прокомментировали исследователи Symantec.

Эта техника, известна как замена динамических библиотек (DLL sideloading), позволяла злоумышленникам маскировать вредоносную активность под видом работы надежного программного обеспечения.

В частности, хакеры использовали утилиту Fortemedia fmapp.exe и компонент антивирусной защиты SentinelOne sentinelmemoryscanner.exe.

Использование бинарного файла продукта безопасности – это сознательный выбор, направленный как на обход детектирования по путям или подписям, так и на то, чтобы запутать анализ,
– добавили в Symantec.

Вредоносные библиотеки содержали инструмент ChromElevator, предназначен для похищения паролей, файлов cookie и данных платежных карт из браузеров на базе Chromium.

Как осуществили атаку?

Процесс атаки на южнокорейскую компанию начался с разведки домена и хоста, после чего хакеры с помощью инструментария WMI проверили наличие антивирусных средств.
Для закрепления в системе они вносили изменения в реестр Windows, что обеспечивало повторный запуск вредоносного кода при каждом входе пользователя в систему.
Связь с командным сервером происходила автоматически каждые 90 секунд.

Для похищения учетных данных использовались поддельные окна запроса пароля Windows и инструменты для считывания файлов реестра SAM, SECURITY и SYSTEM. Кроме того, хакеры применяли специализированное программное обеспечение для повышения привилегий и перехвата билетов Kerberos без знания паролей администраторов.

Особенностью этой кампании стало использование Node.js для координации действий вместо прямого использования PowerShell, что делало атаку тише и сложнее для обнаружения. Для вывода украденных данных злоумышленники использовали публичный сервис обмена файлами sendit.sh. Это позволяло смешивать шпионский трафик с обычным пользовательским трафиком облачных сервисов.

Какие выводы делают исследователи

По мнению аналитиков, расширение географии атак и использование более сложных инструментов указывает на то, что разведывательные потребности Ирана выросли, а сама группировка Seedworm перешла к "более дисциплинированным и скрытым операциям".

Активность в начале 2026 года происходила на фоне напряженности вокруг ядерной программы Ирана и региональных конфликтов.

Вам также будет интересно узнать: кто такие Seedworm, чем они известны и как работают

Хакерская группировка Seedworm, также известная под названиями APT34, OilRig или Helix Kitten, считается одной из самых известных иранских кибершпионских групп. Специалисты по кибербезопасности связывают ее с иранскими государственными структурами, в частности со спецслужбами и Корпусом стражей Исламской революции.

Группу начали активно отслеживать примерно с 2014 года, хотя отдельные операции могли проводиться и раньше. Seedworm специализируется прежде всего на кибершпионаже, похищении данных, проникновении в корпоративные сети и долговременном скрытом доступе к системам.

Основными целями Seedworm становились правительственные структуры, энергетические компании, телекоммуникационные операторы, оборонные предприятия, банки и инфраструктурные организации на Ближнем Востоке, в США и Европе. Особенно часто атаки направлялись против Саудовской Аравии, Объединенных Арабских Эмиратов, Израиля и американских организаций.

Эксперты по кибербезопасности неоднократно сообщали, что группа активно использует фишинговые письма, поддельные страницы входа, похищение учетных данных и вредоносное программное обеспечение для проникновения в сети жертв, пишет CSIS.

Seedworm известна тем, что адаптирует инструменты под конкретные цели. В различных кампаниях группа использовала бэкдоры, PowerShell-скрипты, вредоносные документы Microsoft Office и поддельные VPN-страницы. Часто атаки строились вокруг социальной инженерии – сотрудников компаний заставляли самостоятельно передавать пароли или открывать зараженные файлы. Исследователи кибербезопасности считают, что главной целью группировки является шпионаж, сбор разведданных и геополитическое влияние.

Иран и хакеры: как страна аятолл терроризирует весь мир

Иранская хакерская активность в целом начала резко расти после 2010 года, как проанализировал 24 Канал. Одним из ключевых моментов стала атака вируса Stuxnet на иранские ядерные объекты. Эта операция, которую связывают с США и Израилем, фактически стала переломным моментом для киберстратегии Тегерана. После этого Иран начал активно инвестировать в собственные киберподразделения, создавать сеть связанных группировок и расширять цифровые возможности.

Сегодня Иран считается одним из самых активных государств в сфере кибервойн. Иранские группы регулярно атакуют правительственные системы, промышленную инфраструктуру, энергетические объекты, водоснабжение и телекоммуникации. В последние годы особое внимание уделяют критической инфраструктуре. Например, аналитики CSIS описывали атаки связанных с Ираном хакеров на американские системы водоснабжения и промышленные контроллеры PLC.

Главные группировки

Кроме Seedworm, с Тегераном связывают и ряд других группировок – Charming Kitten, MuddyWater, CyberAv3ngers и Infy. Часть из них занимается шпионажем, часть – деструктивными операциями, а некоторые действуют под видом "хактивистов", чтобы скрыть государственный след. Аналитики считают, что Иран активно использует модель прокси-групп – формально независимых хакеров, которые фактически работают в интересах государства.

Цели хакеров

Основные цели Ирана в киберпространстве – политическое давление, шпионаж, ответ на санкции, борьба с Израилем и США, а также демонстрация силы. Через кибератаки Тегеран получает относительно дешевый способ влиять на соперников без прямой военной эскалации. Кроме того, хакерские операции позволяют собирать стратегическую информацию и наносить экономический ущерб.

Какие компании Южной Кореи могли стать целью Ирана?

Отчет Symantec не указывает на конкретную компанию, которая пострадала в Южной Корее. Однако мы имеем подсказку: это производитель электроники, которого аналитики называют "большим", заметил 24 Канал. Учитывая это, мы можем делать определенные предположения, ведь Южная Корея сегодня является одним из центров мирового производства микросхем, дисплеев, смартфонов и бытовой техники.

Крупнейшим производителем электроники страны является Samsung Electronics. Компания занимается производством смартфонов, телевизоров, дисплеев, памяти DRAM и NAND, процессоров, сенсоров и бытовой техники. Samsung также является одним из крупнейших производителей полупроводников в мире.
Еще одним гигантом является LG Electronics. Компания специализируется на телевизорах, OLED-дисплеях, бытовой технике, автомобильной электронике и системах кондиционирования. LG также активно работает в области дисплейных технологий через LG Display.
Ключевым производителем памяти и ИИ-чипов является SK Hynix. Компания является одним из крупнейших в мире производителей DRAM и HBM-памяти, которая используется в системах искусственного интеллекта и серверах NVIDIA. В последние годы SK Hynix резко усилила позиции благодаря буму ИИ-индустрии.