伊朗国家广播公司遭wiper恶意软件攻击

伊朗国家广播公司遭wiper恶意软件攻击

1月27日，伊朗国家广播公司（IRIB）遭到黑客攻击，导致多个国营电视频道播放反动视频。2月18日，研究人员发布报告称，这是一次笨拙而简单的雨刷式(wiper)攻击。

主要发现

• 1月27日，伊朗国家电视台IRIB成为有针对性的网络攻击的目标，导致几个国营电视频道播放反对派领导人的镜头，并呼吁暗杀最高领袖。Check Point研究小组调查了这次攻击，并能够从公开可用的资源中检索到与该事件相关的文件和取证证据。

• 我们发现了恶意的可执行文件，其目的是传播抗议信息，此外，我们还发现了使用雨刷恶意软件的证据。这表明，袭击者的目的也是破坏该州的广播网络，对电视和广播网络的破坏可能比官方报道的更严重。

• 在攻击中使用的工具中，我们发现了恶意软件，这些恶意软件会对受害者的屏幕进行截图，几个定制的后门，以及用于安装和配置恶意可执行文件的相关批处理脚本和配置文件。我们找不到任何证据表明这些工具以前被使用过，或者将它们归因于特定的威胁行为者。

此前，伊朗曾发生一系列出于政治动机的攻击事件，包括7月份针对伊朗国家交通网络的雨刷式攻击。尽管早期的多起攻击被归因于伊朗APT组织Indra，但研究人员基于攻击中使用的恶意软件和工具推断，此次针对IRIB的攻击者并非Indra组织，而是一个模仿者。伊朗最新网络攻击的时间表如下图：

1月27日，距离1979年伊斯兰革命周年纪念日只有两周，有报道称出版伊朗国家电视台IRIB遭到黑客攻击。伊朗伊斯兰共和国广播公司，也被称为“伊朗伊斯兰共和国的声音和愿景”，是一家国营垄断企业，负责伊朗的所有广播和电视服务。网络攻击导致国营电视频道播放IRIB官员所说的“伪君子的面孔和声音”

“伪君子”是伊朗政权用来指圣战者组织(MEK，也称为伊朗人民圣战者组织)的一个术语，这是一个流亡的军事组织，也是最大的政治反对派团体提倡者依靠对伊斯兰教的另一种解释，推翻现政权并建立自己的政府。在被劫持的录像中，出现了MEK领导人Maryam和Masoud Rajavi的脸，接着是用红线划掉的Ayatollah Khamenei的图像和宣言”向拉贾维致敬，向(最高领袖)哈梅内伊致敬！。”IRIB技术事务副主管礼萨·阿里达迪说，”只有该公司使用的技术的拥有者才能够依靠安装在系统上的系统功能和被利用的后门进行攻击。”他进一步指出，类似的袭击也袭击了其他国营电台频道。

攻击细节

研究人员发现了截取受害者屏幕截图的恶意软件、几个定制的后门，以及用于安装和配置恶意可执行文件的相关批处理脚本和配置文件。研究人员分析了IRIB网络攻击中的工具，并将它们与Indra的工具进行了比较。尽管攻击者在针对IRIB的攻击中使用了wiper，但与Indra使用的似乎不是同一个wiper。

针对IRIB的攻击设法绕过安全系统和网络分段，渗透到广播公司的网络。攻击者的工具质量和复杂度相对较低，并且攻击是由笨拙且有时有bug的3行批处理脚本启动的。这可能表明攻击者可能从IRIB内部获得了帮助，或者具有不同技能的不同群体之间存在未知的合作。研究人员目前仍然不确定攻击者如何获得对IRIB网络的初始访问权限。

攻击者使用了四种后门工具：WinScreeny、HttpCallbackService、HttpService和ServerLaunch。WinScreeny是一个后门程序，主要目的是捕获受害者计算机的屏幕截图。HttpCallbackService是一种远程管理工具(RAT)，它每五秒与命令和控制(C2)服务器通信以接收要执行的命令。HttpService是一个后门，它监听指定的端口，可以执行命令、操作本地文件、下载或上传文件或执行其他恶意活动。ServerLaunch释放器可以同时启动httpservice2和httpservice4，可能允许攻击者确保C2通信。

在分析攻击中使用的wiper时，研究人员发现了两个相同的.NET样本，名为msdskint.exe，其主要目的是擦除计算机文件、驱动器和MBR，还具有清除Windows事件日志、删除备份、终止进程和更改用户密码等功能。

结论

袭击发生近两周后，MEK附属新闻出版一份关于此次袭击的状况报告声称，“政权的广播和电视网络尚未恢复正常状态”，并提供了一份详细的受影响设备清单，其中声明“600多台服务器、先进的数字制作、存档以及广播和电视设备已被摧毁，其软件已被损坏。”但这一说法无法验证。目前，研究人员无法准确将IRIB攻击归因于特定攻击者。