Ocak 2022’nin sonlarında İran’ın ulusal medya kuruluşu İran İslam Cumhuriyeti Yayıncılığı’nı (IRIB) hedef alan siber saldırıyla ilgili bir soruşturma, ülkenin ulusal altyapısı bir saldırı dalgasıyla karşı karşıya kalmaya devam ederken, kötü amaçlı yazılımların ve diğer özel implantların konuşlandırılmasıyla sonuçlandı. ciddi hasar verirken.
Tel Aviv merkezli siber güvenlik firması Check Point, “Bu, saldırganların amacının devletin yayın ağlarını bozmak olduğunu ve TV ve radyo ağlarına verilen zararın muhtemelen resmi olarak bildirilenden daha ciddi olduğunu gösteriyor.” dedim Geçen hafta yayınlanan bir raporda.
27 Ocak’ta gerçekleşen 10 saniyelik saldırı, devlet televizyonu IRIB’in Mücahidin-e-Khalq Örgütü’nün resimlerini yayınlamasını ihlal etti (MKO) liderler Maryam ve Mesud Rajavi, Dini Lider Ayetullah Ali Hamaney’e suikast çağrısında bulundu.
IRIB başkan yardımcısı Ali Dadi, “Bu son derece karmaşık bir saldırıdır ve yalnızca bu teknolojinin sahipleri sistemlerde yüklü olan arka kapıları ve özellikleri istismar edebilir ve bunlara zarar verebilir” dedi. alıntı IRINN adlı televizyon kanalına bildirdiği gibi.
Ayrıca saldırı sırasında, kurbanların ekranlarının yanı sıra arka kapılar, toplu komut dosyaları ve kötü amaçlı yürütülebilir dosyaları yüklemek ve yapılandırmak için kullanılan yapılandırma dosyalarının ekran görüntülerini alabilen özel yapım kötü amaçlı yazılımlar da konuşlandırıldı.
Check Point, belirli bir tehdit aktörüne resmi bir atıf yapmak için yeterli kanıta sahip olmadığını ve şu anda saldırganların hedeflenen ağlara ilk erişimi nasıl elde ettiklerinin bilinmediğini söyledi. Şimdiye kadar ortaya çıkarılan eserler şunlardan sorumlu dosyaları içerir:
- Arka kapıların oluşturulması ve kalıcılığı,
- “Kötü amaçlı” video ve ses dosyalarını başlatmak ve
- Saldırıya uğramış ağlardaki işlemleri kesintiye uğratmak amacıyla silecek kötü amaçlı yazılımı yüklemek.
Perde arkasında saldırı, IRIB tarafından kullanılan bir yayın yazılımı olan TFI Arista Playout Server ile ilişkili yürütülebilir dosyayı silmek ve video dosyasını (“TSE_90E11.mp4”) bir döngüde oynatmak için bir toplu komut dosyası kullanarak video akışını kesintiye uğratmayı içeriyordu.
İzinsiz giriş aynı zamanda, asıl amacı bilgisayarda depolanan dosyaları bozmak olan, ana önyükleme kaydını silmek olan bir silecek kurulumunun da yolunu açtı (MBR), Windows Olay Günlüklerini temizleyin, yedekleri silin, işlemleri sonlandırın ve kullanıcıların parolalarını değiştirin.
Ayrıca, tehdit aktörü saldırıda dört arka kapıdan yararlandı: WinScreeny, HttpCallbackService, HttpService ve HttpService ile başlatılan bir dropper olan ServerLaunch. Birlikte ele alındığında, farklı kötü amaçlı yazılım parçaları, düşmanın ekran görüntüleri yakalamasına, uzak bir sunucudan komutlar almasına ve diğer kötü amaçlı faaliyetleri gerçekleştirmesine olanak sağladı.
“Bir yandan saldırganlar, güvenlik sistemlerini ve ağ segmentasyonunu atlamak, yayıncının ağlarına nüfuz etmek, kurbanlar tarafından kullanılan yayın yazılımının dahili bilgisine büyük ölçüde dayanan kötü niyetli araçları üretmek ve çalıştırmak için karmaşık bir operasyon gerçekleştirmeyi başardılar. keşif ve ilk izinsiz giriş aşamaları sırasında radarın altında” dedi.
“Öte yandan, saldırganların araçları nispeten düşük kaliteli ve karmaşıktır ve beceriksiz ve bazen hatalı 3 satırlı toplu komut dosyaları tarafından başlatılır. Bu, saldırganların IRIB’in içinden yardım almış olabileceği teorisini destekleyebilir veya farklı becerilere sahip farklı gruplar arasında henüz bilinmeyen bir işbirliğine işaret ediyor.”