Iraanse staatsomroep IRIB wordt getroffen door destructieve wissermalware

Destructive Wiper Malware Nachrichten

Een onderzoek naar de cyberaanval gericht op het Iraanse nationale mediabedrijf, Islamic Republic of Iran Broadcasting (IRIB), eind januari 2022 resulteerde in de inzet van een wiper-malware en andere aangepaste implantaten, aangezien de nationale infrastructuur van het land nog steeds wordt geconfronteerd met een golf van aanvallen gericht op bij het toebrengen van ernstige schade.

“Dit geeft aan dat het doel van de aanvallers ook was om de omroepnetwerken van de staat te verstoren, waarbij de schade aan de tv- en radionetwerken mogelijk ernstiger is dan officieel is gemeld”, aldus het in Tel Aviv gevestigde cyberbeveiligingsbedrijf Check Point. zei in een rapport dat vorige week werd gepubliceerd.

De aanval van 10 seconden, die plaatsvond op 27 januari, betrof de schending van de staatsomroep IRIB om foto’s uit te zenden van de Mujahedin-e-Khalq Organization (MKO) leiders Maryam en Massoud Rajavi naast een oproep tot de moord op de hoogste leider ayatollah Ali Khamenei.

“Dit is een uiterst complexe aanval en alleen de eigenaren van deze technologie kunnen de achterdeuren en functies die op de systemen zijn geïnstalleerd, misbruiken en beschadigen”, zei plaatsvervangend IRIB-chef Ali Dadi. geciteerd aldus tegen staatstelevisiezender IRINN.

Tijdens de hack werd ook op maat gemaakte malware ingezet die schermafbeeldingen van de schermen van de slachtoffers kon maken, evenals backdoors, batchscripts en configuratiebestanden die werden gebruikt om de schadelijke uitvoerbare bestanden te installeren en configureren.

Check Point zei dat het niet genoeg bewijs had om een ​​formele toeschrijving aan een specifieke dreigingsactor te maken, en het is momenteel niet bekend hoe de aanvallers de eerste toegang hebben gekregen tot de gerichte netwerken. Tot nu toe ontdekte artefacten omvatten bestanden die verantwoordelijk zijn voor:

  • Het opzetten van achterdeurtjes en hun volharding,
  • Het starten van de “kwaadaardige” video- en audiobestanden, en
  • Het installeren van de wiper-malware in een poging de operaties in de gehackte netwerken te verstoren.

Achter de schermen hield de aanval in dat de videostream werd onderbroken met behulp van een batchscript om het uitvoerbare bestand te verwijderen dat is gekoppeld aan TFI Arista Playout Server, een uitzendsoftware die wordt gebruikt door IRIB, en het videobestand (“TSE_90E11.mp4”) in een lus af te spelen.

De inbraak maakte ook de weg vrij voor de installatie van een wisser waarvan het hoofddoel is om de bestanden die op de computer zijn opgeslagen te beschadigen, om nog maar te zwijgen van het wissen van het master-opstartrecord (MBR), wis Windows-gebeurtenislogboeken, verwijder back-ups, stop processen en wijzig de wachtwoorden van gebruikers.

Bovendien maakte de dreigingsactor gebruik van vier achterdeurtjes bij de aanval: WinScreeny, HttpCallbackService, HttpService en ServerLaunch, een dropper gelanceerd met HttpService. Alles bij elkaar stelden de verschillende stukjes malware de aanvaller in staat schermafbeeldingen te maken, opdrachten van een externe server te ontvangen en andere kwaadaardige activiteiten uit te voeren.

“Aan de ene kant slaagden de aanvallers erin een gecompliceerde operatie uit te voeren om beveiligingssystemen en netwerksegmentatie te omzeilen, de netwerken van de omroep binnen te dringen, de kwaadaardige tools te produceren en uit te voeren die sterk afhankelijk zijn van interne kennis van de uitzendsoftware die door slachtoffers wordt gebruikt, en dat allemaal terwijl ze in de buurt blijven. onder de radar blijven tijdens de verkennings- en eerste indringingsfasen”, aldus de onderzoekers.

“Aan de andere kant zijn de tools van de aanvallers van relatief lage kwaliteit en verfijning en worden ze gelanceerd door onhandige en soms foutieve 3-regelige batchscripts. Dit zou de theorie kunnen ondersteunen dat de aanvallers hulp van binnenuit de IRIB zouden hebben gehad, of duiden op een nog onbekende samenwerking tussen verschillende groepen met verschillende vaardigheden.”

David
Rate author
Hackarizona