Une enqu\u00eate sur la cyberattaque visant la soci\u00e9t\u00e9 de m\u00e9dias nationale iranienne, Islamic Republic of Iran Broadcasting (IRIB), fin janvier 2022 a r\u00e9v\u00e9l\u00e9 le d\u00e9ploiement d’un logiciel malveillant d’effacement et d’autres implants personnalis\u00e9s, alors que l’infrastructure nationale du pays continue de faire face \u00e0 une vague d’attaques visant \u00e0 infligeant de s\u00e9rieux d\u00e9g\u00e2ts.<\/p>\n
“Cela indique que l’objectif des attaquants \u00e9tait \u00e9galement de perturber les r\u00e9seaux de diffusion de l’\u00c9tat, les dommages caus\u00e9s aux r\u00e9seaux de t\u00e9l\u00e9vision et de radio \u00e9tant peut-\u00eatre plus graves que ce qui a \u00e9t\u00e9 officiellement annonc\u00e9”, a d\u00e9clar\u00e9 la soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 Check Point bas\u00e9e \u00e0 Tel Aviv. mentionn\u00e9<\/a> dans un rapport publi\u00e9 la semaine derni\u00e8re.<\/p>\n L’attaque de 10 secondes, qui a eu lieu le 27 janvier, impliquait la violation de la cha\u00eene de t\u00e9l\u00e9vision publique IRIB pour diffuser des images de l’organisation Mujahedin-e-Khalq (OMK<\/a>) les dirigeants Maryam et Massoud Radjavi aux c\u00f4t\u00e9s d’un appel \u00e0 l’assassinat du guide supr\u00eame l’ayatollah Ali Khamenei.<\/p>\n “Il s’agit d’une attaque extr\u00eamement complexe et seuls les propri\u00e9taires de cette technologie pourraient exploiter et endommager les portes d\u00e9rob\u00e9es et les fonctionnalit\u00e9s install\u00e9es sur les syst\u00e8mes”, a d\u00e9clar\u00e9 le chef adjoint de l’IRIB, Ali Dadi. cit\u00e9<\/a> comme le dit la cha\u00eene de t\u00e9l\u00e9vision publique IRINN.<\/p>\n Des logiciels malveillants sur mesure ont \u00e9galement \u00e9t\u00e9 d\u00e9ploy\u00e9s au cours du piratage, capables de prendre des captures d’\u00e9cran des \u00e9crans des victimes, ainsi que des portes d\u00e9rob\u00e9es, des scripts de traitement par lots et des fichiers de configuration utilis\u00e9s pour installer et configurer les ex\u00e9cutables malveillants.<\/p>\n Check Point a d\u00e9clar\u00e9 qu’il n’avait pas suffisamment de preuves pour faire une attribution formelle \u00e0 un acteur de menace sp\u00e9cifique, et on ne sait actuellement pas comment les attaquants ont obtenu l’acc\u00e8s initial aux r\u00e9seaux cibl\u00e9s. Les artefacts d\u00e9couverts jusqu’\u00e0 pr\u00e9sent incluent des fichiers responsables de –<\/p>\n Dans les coulisses, l’attaque consistait \u00e0 interrompre le flux vid\u00e9o \u00e0 l’aide d’un script batch pour supprimer l’ex\u00e9cutable associ\u00e9 \u00e0 TFI Arista Playout Server, un logiciel de diffusion utilis\u00e9 par l’IRIB, et lire le fichier vid\u00e9o (“TSE_90E11.mp4”) en boucle.<\/p>\n L’intrusion a \u00e9galement ouvert la voie \u00e0 l’installation d’un wiper dont le but principal est de corrompre les fichiers stock\u00e9s dans l’ordinateur, sans oublier d’effacer le master boot record (MBR<\/a>), effacez les journaux d’\u00e9v\u00e9nements Windows, supprimez les sauvegardes, arr\u00eatez les processus et modifiez les mots de passe des utilisateurs.<\/p>\n De plus, l’acteur de la menace a exploit\u00e9 quatre portes d\u00e9rob\u00e9es dans l’attaque\u00a0: WinScreeny, HttpCallbackService, HttpService et ServerLaunch, un compte-gouttes lanc\u00e9 avec HttpService. Pris ensemble, les diff\u00e9rents logiciels malveillants ont permis \u00e0 l’adversaire de capturer des captures d’\u00e9cran, de recevoir des commandes d’un serveur distant et d’effectuer d’autres activit\u00e9s malveillantes.<\/p>\n “D’une part, les attaquants ont r\u00e9ussi \u00e0 r\u00e9aliser une op\u00e9ration compliqu\u00e9e pour contourner les syst\u00e8mes de s\u00e9curit\u00e9 et la segmentation du r\u00e9seau, p\u00e9n\u00e9trer les r\u00e9seaux du diffuseur, produire et ex\u00e9cuter les outils malveillants qui s’appuient fortement sur la connaissance interne du logiciel de diffusion utilis\u00e9 par les victimes, tout en restant sous le radar pendant les \u00e9tapes de reconnaissance et d’intrusion initiale \u00bb, ont d\u00e9clar\u00e9 les chercheurs.<\/p>\n “D’un autre c\u00f4t\u00e9, les outils des attaquants sont de qualit\u00e9 et de sophistication relativement m\u00e9diocres, et sont lanc\u00e9s par des scripts batch de 3 lignes maladroits et parfois bogu\u00e9s. Cela pourrait soutenir la th\u00e9orie selon laquelle les attaquants auraient pu avoir de l’aide de l’int\u00e9rieur de l’IRIB, ou indiquent une collaboration encore inconnue entre diff\u00e9rents groupes aux comp\u00e9tences diff\u00e9rentes.”<\/p>\n <\/p>\n<\/div>\n![\"Sauvegardes](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/02\/TrickBot-Gang-est-susceptible-de-modifier-ses-operations-pour-passer.png\")
<\/a><\/div>\n![\"\"](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/02\/1645846548_322_Le-radiodiffuseur-dEtat-iranien-IRIB-touche-par-un-logiciel-malveillant.jpeg\")
<\/div>\n\n
![\"Emp\u00eacher](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/02\/1645701002_140_Dridex-Malware-Deploiement-Entropy-Ransomware-sur-des-ordinateurs-pirates.png\")
<\/a><\/div>\n