去年7月下旬,伊朗遭到网络攻击,导致伊朗交通部及其国家铁路系统瘫痪,导致火车服务大面积中断,据报道,作为前前所未见的可重复使用的擦除器恶意软件“Meteor”。10月下旬,伊朗再次遭到网络攻击,导致全国各地的加油站瘫痪,燃料销售中断,电子广告牌遭到破坏,这些广告牌上显示的信息挑战其政权的汽油配送能力。刚刚进入2022年,伊朗又遭遇网络攻击。对2022年1月下旬针对伊朗国家媒体公司伊朗伊斯兰共和国广播公司(IRIB)的网络攻击的调查导致部署了擦除器恶意软件和其他定制植入程序,因为该国的国家基础设施在严重损坏时继续面临一波有针对性的攻击造成。总部位于特拉维夫的网络安全公司CheckPoint上周在一份报告中表示,攻击者还针对该州的广播网络,电视和广播网络受到的破坏可能比官方报道的更为严重。1月27日的10秒攻击涉及违反国家广播电台IRIB,播放圣战者组织(MKO)领导人Maryam和MassoudRajavi的照片,同时呼吁暗杀最高领袖AyatollahAliKhamenei。IRIB副主任AliDadi告诉国家电视台IRINN,这是一次极其复杂的攻击,只有掌握技术的人才能利用和破坏系统上安装的后门和功能。在黑客攻击期间还部署了自定义恶意软件,能够截取受害者的屏幕截图,以及用于安装和配置恶意可执行文件的后门、批处理脚本和配置文件。CheckPoint表示,没有足够的证据正式将其归因于特定的威胁行为者,目前尚不清楚攻击者如何获得对目标网络的初始访问权限。迄今为止发现的证据包括负责建立后门及其持久性、启动“恶意”视频和音频文件以及安装擦除器恶意软件以试图破坏被黑网络中的操作。在幕后,攻击涉及使用批处理脚本中断视频流,删除与TFIAristaPlayoutServer(IRIB使用的广播软件)相关的可执行文件,并循环播放视频文件(“TSE_90E11.mp4”)。入侵还为安装擦除器铺平了道路,擦除器的主要目的是破坏存储在计算机中的文件,更不用说擦除主引导记录(MBR)、清除Windows事件日志、删除备份、终止进程和更改用户的密码。此外,攻击者在攻击中使用了四个后门:WinScreeny、HttpCallbackService、HttpService和ServerLaunch,这是一个使用HttpService启动的投放程序。结合起来,不同的恶意软件使攻击者能够捕获屏幕截图、从远程服务器接收命令以及执行其他恶意活动。一方面,攻击者设法完成了一项复杂的操作,绕过安全系统和网络分段,渗透广播公司的网络,制作并运行严重依赖受害者所用广播软件的内部知识的恶意工具,同时保持在侦察和初始入侵阶段的雷达。另一方面,攻击者工具的质量和复杂性相对较低,并且它们是通过笨拙且有时存在错误的3行批处理脚本启动的。这可能支持攻击者可能从IRIB内部获得帮助的理论,或者表明具有不同技能的不同团队之间存在未知的协作。
