Введение.
В последние несколько месяцев Иран захлестнула новая волна кибератак. Эти нападения не ограничиваются незначительным повреждением веб-сайтов - атаки поражают критическую государственную инфраструктуру и вызывает серьезные сбои в работе государственных служб.
В данной статье представлен углубленный технический анализ одной из атак на иранскую национальную медиакорпорацию Islamic Republic of Iran Broadcasting (IRIB), которая произошла в конце января 2022 года.
Ключевые выводы.
• 27 января иранская государственная вещательная корпорация стала объектом таргетированной кибератаки, в результате которой несколько государственных телеканалов транслировали кадры с лидерами оппозиции и призывами к убийству верховного лидера Ирана. Команда Check Point Research провела расследование этой атаки и смогла получить файлы и криминалистические доказательства, связанные с инцидентом, из общедоступных источников.
• Мы обнаружили вредоносные исполняемые файлы, целью которых была трансляция сообщения, кроме того, мы обнаружили доказательства использования вредоносного ПО «The Wiper». Это указывает на то, что целью злоумышленников также было нарушение работы государственных сетей вещания, причем ущерб, нанесенный теле- и радиосетям, возможно, был более серьезным, чем официально заявлено.
• Среди использованных в атаке инструментов мы обнаружили вредоносное ПО, делающее скриншоты экранов жертв, несколько созданных на заказ бэкдоров, а также соответствующие пакетные скрипты и конфигурационные файлы, используемые для установки и настройки вредоносных исполняемых файлов. Мы не смогли найти никаких доказательств того, что эти инструменты использовались ранее, или приписать их конкретной хакерской группировке.
• В этой статье мы приводим технический анализ инструментов, связанных с атакой, а также описание тактики злоумышленников.
Обзор проблематики.
Кибератаки на Иран.
В июле 2021 года кибератака поразила национальные железнодорожные и грузовые службы Ирана и вызвала «беспрецедентные перебои» в движении поездов в стране. Всего через день СМИ сообщили, что сайт Министерства дорожного и городского развития Ирана был выведен из строя в результате «сбоя систем», что лишило доступа к официальному порталу министерства и его сервисам. Как будто этого было недостаточно, чтобы заставить железнодорожников обновлять расписание поездов вручную на всех вокзалах - сообщение, повсеместно отображаемое на табло расписания поездов, отсылало недоумевающих пассажиров к телефону офиса Верховного лидера Ирана. Ранее неизвестная хакерская группа под названием «Predatory Sparrow» быстро
