Nowy wektor cyberzagrożeń
W świecie, gdzie informacja staje się bronią, każda luka w systemie może okazać się punktem wejścia dla wyrafinowanych grup cyberszpiegowskich. Tak właśnie stało się w przypadku Output Messenger – popularnej aplikacji do komunikacji w sieci lokalnej, wykorzystywanej m.in. przez jednostki powiązane z kurdyjskim wojskiem w Iraku. W ostatnim czasie ujawniono, że oprogramowanie to padło ofiarą bezwzględnego ataku przeprowadzonego przez grupę znaną jako Marbled Dust. Według informacji ujawnionych przez analityków Microsoft Threat Intelligence, cyberprzestępcy powiązani z tą grupą wykorzystali poważną lukę typu zero-day, która umożliwiała przejście przez katalogi plików i dostęp do danych znajdujących się poza chronionym obszarem systemu. Luka została oficjalnie oznaczona jako CVE-2025-27920 i dotyczyła funkcjonalności Output Messenger Server Manager. Problem polegał na tym, że uwierzytelnieni użytkownicy mogli uzyskać dostęp do krytycznych danych, plików konfiguracyjnych i kodów źródłowych. Choć producent aplikacji, firma Srimax, opublikował stosowną aktualizację jeszcze w grudniu, wielu użytkowników – w tym także osoby powiązane z infrastrukturą wojskową – nie zaktualizowało swoich systemów. Tę nieuwagę wykorzystali właśnie hakerzy Marbled Dust. Po uzyskaniu dostępu do serwerów, zainstalowali na nich specjalnie przygotowane oprogramowanie (OMServerService.exe), które łączyło się z ich infrastrukturą dowodzenia i kontroli. Za pomocą tej furtki uzyskiwali dane identyfikujące użytkowników oraz przejmowali kontrolę nad komunikacją wewnętrzną.
Stare metody w nowej odsłonie
Marbled Dust nie jest grupą anonimową w świecie cyberbezpieczeństwa. Jej aktywność była wcześniej obserwowana m.in. w Holandii, gdzie celem były firmy telekomunikacyjne i dostawcy internetu. Tym razem jednak skala operacji i precyzja ataku sugerują, że grupa zyskała dostęp do bardziej zaawansowanych narzędzi, a także, że zmieniła priorytety – przenosząc swoją uwagę na organizacje związane z przeciwnikami politycznymi Turcji. Niepokojące jest również to, w jaki sposób uzyskali dostęp do systemów. Specjaliści z Microsoftu podkreślają, że choć nie mają jeszcze pełnych informacji, podejrzewają użycie tzw. technik „squattingu domenowego” oraz przejęcia danych logowania poprzez zmanipulowane wpisy DNS. Te metody nie są nowe, ale w rękach zorganizowanej i dobrze finansowanej grupy potrafią być wyjątkowo skuteczne. Szczególnie niebezpieczny okazał się fakt, że po przejęciu kontroli nad komunikatorem hakerzy byli w stanie zbierać dane bez wiedzy ofiar. W jednym z przypadków, klient Output Messenger na zaatakowanym urządzeniu połączył się z adresem IP powiązanym z Marbled Dust zaraz po otrzymaniu instrukcji o zarchiwizowaniu i wysłaniu danych w formacie RAR. Tego typu działania wskazują na wysokie zaawansowanie operacyjne i dokładne przygotowanie do kampanii.
Microsoft ocenia, że sukces tego ataku może być zwiastunem nowego etapu działalności grupy, w którym oprócz sprawdzonych metod zaczynają wykorzystywać również błędy zero-day. W kontekście walki o wpływy w regionie Bliskiego Wschodu, a szczególnie w relacjach turecko-kurdyjskich, może to oznaczać nasilenie cyfrowych działań wojennych.
