伊朗国家广播公司IRIB被破坏性恶意软件攻击

2022年1月下旬，针对伊朗伊斯兰共和国广播公司（IRIB）的网络攻击展开调查，结果部署了一个雨刷恶意软件和其他定制植入物，因为伊朗国家基础设施继续面临一波旨在造成严重破坏的攻击。

总部位于特拉维夫的网络安全公司Check Point在上周发布的一份报告中说：“这表明，攻击者的目的也是扰乱该州的广播网络，对电视和广播网络的破坏可能比官方报道的更严重。”。

这起持续10秒的袭击发生在1月27日，涉及国家广播公司IRIB违规播放圣战者组织（MKO）领导人马里亚姆和马苏德·拉贾维的照片，同时呼吁暗杀最高领袖阿亚图拉·阿里·哈梅内伊。

“这是一次极其复杂的攻击，只有这项技术的所有者才能利用和破坏安装在系统上的后门和功能，”IRIB副局长阿里·达迪对国家电视台IRIN说。

在黑客攻击过程中，还部署了定制的恶意软件，能够截取受害者的屏幕，以及用于安装和配置恶意可执行文件的后门、批处理脚本和配置文件。

Check Point said it didn't have enough evidence to make a formal attribution to a specific threat actor, and it's currently not known how the attackers gained initial access to the targeted networks. Artifacts uncovered so far include files responsible for –

• 建立后门和他们的坚持，
• 启动“恶意”视频和音频文件，以及
• 安装雨刮器恶意软件，试图扰乱被黑客攻击的网络的运行。

在幕后，攻击涉及使用批处理脚本中断视频流，以删除与TFI Arista Playout Server（IRIB使用的广播软件）相关的可执行文件，并循环播放视频文件（“TSE_90E11.mp4”）。

入侵还为安装雨刷铺平了道路，雨刷的主要目的是损坏存储在计算机中的文件，更不用说删除主引导记录（MBR）、清除Windows事件日志、删除备份、终止进程和更改用户密码。

此外，威胁参与者在攻击中利用了四个后门：WinScreeny、HttpCallbackService、HttpService和ServerLaunch，后者是使用HttpService启动的滴管。综上所述，不同的恶意软件使对手能够捕获屏幕截图，从远程服务器接收命令，并执行其他恶意活动。

“一方面，攻击者成功完成了一项复杂的操作，绕过安全系统和网络分割，渗透广播公司的网络，制造并运行严重依赖受害者使用的广播软件内部知识的恶意工具，同时在侦察和监视过程中保持低调研究人员说。

“另一方面，攻击者的工具质量和复杂度相对较低，由笨拙且有时有缺陷的三行批处理脚本启动。这可能支持攻击者可能从IRIB内部获得帮助的理论，或者表明不同技能的不同团队之间存在未知的协作。”