Eine Untersuchung des Cyberangriffs auf das staatliche iranische Medienunternehmen Islamic Republic of Iran Broadcasting (IRIB) Ende Januar 2022 ergab, dass eine Wiper-Malware und andere benutzerdefinierte Implantate eingesetzt wurden, da die nationale Infrastruktur des Landes weiterhin einer Welle von Angriffen ausgesetzt ist, die darauf abzielen, schweren Schaden anzurichten.
„Dies deutet darauf hin, dass die Angreifer auch das Ziel hatten, die staatlichen Rundfunknetze zu stören, wobei die Schäden an den Fernseh- und Rundfunknetzen möglicherweise schwerwiegender sind als offiziell berichtet“, so das in Tel Aviv ansässige Cybersicherheitsunternehmen Check Point in einem letzte Woche veröffentlichten Bericht.
Bei dem 10-Sekunden-Angriff, der am 27. Januar stattfand, wurde in den staatlichen Sender IRIB eingebrochen, um Bilder der Führer der Mudschaheddin-e-Khalq-Organisation (MKO) Maryam und Massoud Rajavi zusammen mit einem Aufruf zur Ermordung des Obersten Führers Ayatollah Ali Khamenei zu senden.
„Dies ist ein extrem komplexer Angriff und nur die Besitzer dieser Technologie können die Hintertüren und Funktionen, die in den Systemen installiert sind, ausnutzen und beschädigen“, wurde der stellvertretende IRIB-Chef Ali Dadi gegenüber dem staatlichen Fernsehsender IRINN zitiert.
Während des Hacks wurden auch speziell angefertigte Schadprogramme eingesetzt, die Screenshots von den Bildschirmen der Opfer anfertigen können, sowie Backdoors, Batch-Skripte und Konfigurationsdateien, die zur Installation und Konfiguration der bösartigen Programme verwendet werden.
Check Point sagte, dass es nicht genügend Beweise hat, um eine formale Zuordnung zu einem bestimmten Bedrohungsakteur vorzunehmen, und es ist derzeit nicht bekannt, wie die Angreifer Zugang zu den Zielnetzwerken erlangt haben. Zu den bisher entdeckten Artefakten gehören Dateien, die für –
das Einrichten von Backdoors und deren Persistenz,
das Starten der „bösartigen“ Video- und Audiodateien und
Installieren der Wiper-Malware, um den Betrieb in den gehackten Netzwerken zu stören.
Hinter den Kulissen wurde der Videostream mithilfe eines Batch-Skripts unterbrochen, um die ausführbare Datei zu löschen, die mit dem TFI Arista Playout Server verbunden ist, einer von IRIB verwendeten Broadcasting-Software, und die Videodatei („TSE_90E11.mp4“) in einer Schleife abzuspielen.
Das Eindringen ebnete auch den Weg für die Installation eines Wipers, dessen Hauptzweck es ist, die auf dem Computer gespeicherten Dateien zu beschädigen, ganz zu schweigen vom Löschen des Master Boot Records (MBR), dem Löschen von Windows-Ereignisprotokollen, dem Löschen von Backups, dem Beenden von Prozessen und dem Ändern von Benutzerpasswörtern.
Darüber hinaus nutzte der Angreifer vier Hintertüren für seinen Angriff: WinScreeny, HttpCallbackService, HttpService und ServerLaunch, ein Dropper, der mit HttpService gestartet wird. Die verschiedenen Schadprogramme ermöglichten es dem Angreifer, Screenshots zu erstellen, Befehle von einem entfernten Server zu empfangen und andere bösartige Aktivitäten auszuführen.
„Einerseits gelang es den Angreifern in einer komplizierten Operation, die Sicherheitssysteme und die Netzwerksegmentierung zu umgehen, in die Netzwerke des Senders einzudringen, die bösartigen Tools zu produzieren und auszuführen, die sich stark auf das interne Wissen über die von den Opfern genutzte Rundfunksoftware stützen, und das alles, während sie während der Aufklärungs- und der anfänglichen Eindringungsphase unter dem Radar blieben“, so die Forscher.
„Auf der anderen Seite sind die Tools der Angreifer von relativ geringer Qualität und Raffinesse und werden durch plumpe und manchmal fehlerhafte 3-zeilige Batch-Skripte gestartet. Dies könnte die Theorie unterstützen, dass die Angreifer Hilfe aus dem IRIB hatten oder auf eine bisher unbekannte Zusammenarbeit zwischen verschiedenen Gruppen mit unterschiedlichen Fähigkeiten hinweisen.“