Una investigación sobre el ciberataque dirigido a la corporación de medios nacional iraní, Islamic Republic of Iran Broadcasting (IRIB), a fines de enero de 2022 reveló el despliegue de un malware de limpieza y otros implantes personalizados, ya que la infraestructura nacional del país continúa enfrentando una ola de ataques dirigidos a infligiendo graves daños.
«Esto indica que el objetivo de los atacantes también era interrumpir las redes de transmisión del estado, y el daño a las redes de radio y televisión posiblemente sea más grave de lo que se informó oficialmente», dijo la empresa de seguridad cibernética Check Point, con sede en Tel Aviv. dijo en un informe publicado la semana pasada.
El ataque de 10 segundos, que tuvo lugar el 27 de enero, involucró la violación de la emisora estatal IRIB para transmitir imágenes de la Organización Mujahedin-e-Khalq (MKO) los líderes Maryam y Massoud Rajavi junto con un llamado al asesinato del Líder Supremo Ayatollah Ali Khamenei.
«Este es un ataque extremadamente complejo y solo los propietarios de esta tecnología podrían explotar y dañar las puertas traseras y las funciones que están instaladas en los sistemas», dijo el jefe adjunto de IRIB, Ali Dadi. citado como diciendo al canal de televisión estatal IRINN.
También se implementaron durante el transcurso del ataque malware personalizado capaz de tomar capturas de pantalla de las pantallas de las víctimas, así como puertas traseras, secuencias de comandos por lotes y archivos de configuración utilizados para instalar y configurar los ejecutables maliciosos.
Check Point dijo que no tenía suficiente evidencia para hacer una atribución formal a un actor de amenazas específico, y actualmente no se sabe cómo los atacantes obtuvieron acceso inicial a las redes objetivo. Los artefactos descubiertos hasta ahora incluyen archivos responsables de:
- Establecimiento de puertas traseras y su persistencia,
- Ejecutar los archivos de audio y video «maliciosos», y
- Instalar el malware del limpiaparabrisas en un intento de interrumpir las operaciones en las redes pirateadas.
Detrás de escena, el ataque implicó interrumpir la transmisión de video usando un script por lotes para eliminar el ejecutable asociado con TFI Arista Playout Server, un software de transmisión utilizado por IRIB, y reproducir el archivo de video («TSE_90E11.mp4») en un bucle.
La intrusión también allanó el camino para la instalación de un limpiador cuyo objetivo principal es corromper los archivos almacenados en la computadora, sin mencionar borrar el registro de arranque maestro (MBR), borre los registros de eventos de Windows, elimine copias de seguridad, elimine procesos y cambie las contraseñas de los usuarios.
Además, el actor de amenazas aprovechó cuatro puertas traseras en el ataque: WinScreeny, HttpCallbackService, HttpService y ServerLaunch, un cuentagotas lanzado con HttpService. En conjunto, las diferentes piezas de malware permitieron al adversario capturar capturas de pantalla, recibir comandos de un servidor remoto y llevar a cabo otras actividades maliciosas.
«Por un lado, los atacantes lograron llevar a cabo una operación complicada para eludir los sistemas de seguridad y la segmentación de la red, penetrar en las redes de la emisora, producir y ejecutar las herramientas maliciosas que dependen en gran medida del conocimiento interno del software de transmisión utilizado por las víctimas, todo mientras permanecen debajo del radar durante las etapas de reconocimiento e intrusión inicial», dijeron los investigadores.
«Por otro lado, las herramientas de los atacantes son de calidad y sofisticación relativamente bajas, y se inician mediante secuencias de comandos por lotes de 3 líneas torpes y, a veces, con errores. Esto podría respaldar la teoría de que los atacantes podrían haber recibido ayuda desde dentro del IRIB, o indican una colaboración aún desconocida entre diferentes grupos con diferentes habilidades».