В ходе атаки на иранский гостелеканал использовалось мощное деструктивное ПО

Как показало расследование кибератаки на иранский государственный телеканал IRIB в январе 2022 года, злоумышленники использовали деструктивное вредоносное ПО, известное как вайпер, и другие кастомные импланты.

«Это указывает на то, что целью атакующих было разрушить государственную вещательную сеть, причинив теле- и радиосетям, возможно, гораздо больший ущерб, чем официально заявлено», - сообщили специалисты ИБ-компании Check Point.

По словам заместителя директора телеканала Али Дади, атака была технологически очень сложной, и «только владельцы этой технологии могли проэксплуатировать бэкдоры и функции, установленные на системе».

Кроме того, в ходе атаки использовалось кастомное вредоносное ПО, способное делать скриншоты, скрипты batch и конфигурационные файлы, использующиеся для установки и конфигурирования вредоносных исполняемых файлов.

По словам специалистов Check Point, им не удалось собрать достаточное количество доказательств, чтобы отнести атаку на счет какой-либо конкретной киберпреступной группировки. Также неизвестно, каким образом злоумышленники получили первоначальный доступ к атакуемым сетям.

В ходе атаки хакеры прервали видеотрансляцию, удалив с помощью скрипта batch исполняемый файл, связанный с TFI Arista Playout Server – ПО для вещания, которым пользуется IRIB. Прервав трансляцию, они снова и снова воспроизводили собственный видеофайл.

Кроме того, злоумышленники установили вайпер, чьей основной задачей было повреждение хранящихся на компьютере файлов, стирание главной загрузочной записи (MBR), очистка журнала событий Windows, удаление резервных копий, завершение процессов и изменения паролей пользователей.

Хакеры использовали четыре бэкдора: WinScreeny, HttpCallbackService, HttpService и ServerLaunch – дроппер, запускающийся с HttpService.