Una investigaci\u00f3n sobre el ciberataque dirigido a la corporaci\u00f3n de medios nacional iran\u00ed, Islamic Republic of Iran Broadcasting (IRIB), a fines de enero de 2022 revel\u00f3 el despliegue de un malware de limpieza y otros implantes personalizados, ya que la infraestructura nacional del pa\u00eds contin\u00faa enfrentando una ola de ataques dirigidos a infligiendo graves da\u00f1os.<\/p>\n
“Esto indica que el objetivo de los atacantes tambi\u00e9n era interrumpir las redes de transmisi\u00f3n del estado, y el da\u00f1o a las redes de radio y televisi\u00f3n posiblemente sea m\u00e1s grave de lo que se inform\u00f3 oficialmente”, dijo la empresa de seguridad cibern\u00e9tica Check Point, con sede en Tel Aviv. dijo<\/a> en un informe publicado la semana pasada.<\/p>\n El ataque de 10 segundos, que tuvo lugar el 27 de enero, involucr\u00f3 la violaci\u00f3n de la emisora \u200b\u200bestatal IRIB para transmitir im\u00e1genes de la Organizaci\u00f3n Mujahedin-e-Khalq (MKO<\/a>) los l\u00edderes Maryam y Massoud Rajavi junto con un llamado al asesinato del L\u00edder Supremo Ayatollah Ali Khamenei.<\/p>\n “Este es un ataque extremadamente complejo y solo los propietarios de esta tecnolog\u00eda podr\u00edan explotar y da\u00f1ar las puertas traseras y las funciones que est\u00e1n instaladas en los sistemas”, dijo el jefe adjunto de IRIB, Ali Dadi. citado<\/a> como diciendo al canal de televisi\u00f3n estatal IRINN.<\/p>\n Tambi\u00e9n se implementaron durante el transcurso del ataque malware personalizado capaz de tomar capturas de pantalla de las pantallas de las v\u00edctimas, as\u00ed como puertas traseras, secuencias de comandos por lotes y archivos de configuraci\u00f3n utilizados para instalar y configurar los ejecutables maliciosos.<\/p>\n Check Point dijo que no ten\u00eda suficiente evidencia para hacer una atribuci\u00f3n formal a un actor de amenazas espec\u00edfico, y actualmente no se sabe c\u00f3mo los atacantes obtuvieron acceso inicial a las redes objetivo. Los artefactos descubiertos hasta ahora incluyen archivos responsables de:<\/p>\n Detr\u00e1s de escena, el ataque implic\u00f3 interrumpir la transmisi\u00f3n de video usando un script por lotes para eliminar el ejecutable asociado con TFI Arista Playout Server, un software de transmisi\u00f3n utilizado por IRIB, y reproducir el archivo de video (“TSE_90E11.mp4”) en un bucle.<\/p>\n La intrusi\u00f3n tambi\u00e9n allan\u00f3 el camino para la instalaci\u00f3n de un limpiador cuyo objetivo principal es corromper los archivos almacenados en la computadora, sin mencionar borrar el registro de arranque maestro (MBR<\/a>), borre los registros de eventos de Windows, elimine copias de seguridad, elimine procesos y cambie las contrase\u00f1as de los usuarios.<\/p>\n Adem\u00e1s, el actor de amenazas aprovech\u00f3 cuatro puertas traseras en el ataque: WinScreeny, HttpCallbackService, HttpService y ServerLaunch, un cuentagotas lanzado con HttpService. En conjunto, las diferentes piezas de malware permitieron al adversario capturar capturas de pantalla, recibir comandos de un servidor remoto y llevar a cabo otras actividades maliciosas.<\/p>\n “Por un lado, los atacantes lograron llevar a cabo una operaci\u00f3n complicada para eludir los sistemas de seguridad y la segmentaci\u00f3n de la red, penetrar en las redes de la emisora, producir y ejecutar las herramientas maliciosas que dependen en gran medida del conocimiento interno del software de transmisi\u00f3n utilizado por las v\u00edctimas, todo mientras permanecen debajo del radar durante las etapas de reconocimiento e intrusi\u00f3n inicial”, dijeron los investigadores.<\/p>\n “Por otro lado, las herramientas de los atacantes son de calidad y sofisticaci\u00f3n relativamente bajas, y se inician mediante secuencias de comandos por lotes de 3 l\u00edneas torpes y, a veces, con errores. Esto podr\u00eda respaldar la teor\u00eda de que los atacantes podr\u00edan haber recibido ayuda desde dentro del IRIB, o indican una colaboraci\u00f3n a\u00fan desconocida entre diferentes grupos con diferentes habilidades”.<\/p>\n <\/p>\n<\/div>\n![\"Copias](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/02\/Agencias-de-EE-UU-y-el-Reino-Unido-advierten-sobre.png\")
<\/a><\/div>\n![\"\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/02\/1645838773_638_La-emisora-\u200b\u200b\u200b\u200bestatal-irani-IRIB-atacada-por-un-malware-destructivo.jpeg\")
<\/div>\n\n
![\"Evitar](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/02\/1645691527_265_Nuevo-malware-de-limpiaparabrisas-dirigido-a-Ucrania-en-medio-de.png\")
<\/a><\/div>\n