伊朗国家广播公司遭wiper恶意软件攻击

引言

1月27日，伊朗国家广播公司（IRIB）遭到黑客攻击，导致多个国营电视频道播放反动视频。2月18日，研究人员发布 告称，这是一次笨拙而简单的雨刷式(wiper)攻击。

简况

此前，伊朗曾发生一系列出于政治动机的攻击事件，包括7月份针对伊朗国家交通 络的雨刷式攻击。尽管早期的多起攻击被归因于伊朗APT组织Indra，但研究人员基于攻击中使用的恶意软件和工具推断，此次针对IRIB的攻击者并非Indra组织，而是一个模仿者。伊朗最新 络攻击的时间表如下图：

研究人员发现了截取受害者屏幕截图的恶意软件、几个定制的后门，以及用于安装和配置恶意可执行文件的相关批处理脚本和配置文件。研究人员分析了 IRIB 络攻击中的工具，并将它们与 Indra 的工具进行了比较。尽管攻击者在针对 IRIB的攻击中使用了wiper，但与Indra使用的似乎不是同一个wiper。

针对IRIB的攻击设法绕过安全系统和 络分段，渗透到广播公司的 络。攻击者的工具质量和复杂度相对较低，并且攻击是由笨拙且有时有bug的 3 行批处理脚本启动的。这可能表明攻击者可能从 IRIB 内部获得了帮助，或者具有不同技能的不同群体之间存在未知的合作。研究人员目前仍然不确定攻击者如何获得对 IRIB 络的初始访问权限。

攻击者使用了四种后门工具：WinScreeny、HttpCallbackService、HttpService 和 ServerLaunch。WinScreeny 是一个后门程序，主要目的是捕获受害者计算机的屏幕截图。HttpCallbackService 是一种远程管理工具 (RAT)，它每五秒与命令和控制 (C2) 服务器通信以接收要执行的命令。HttpService 是一个后门，它监听指定的端口，可以执行命令、操作本地文件、下载或上传文件或执行其他恶意活动。ServerLaunch 释放器可以同时启动 httpservice2 和 httpservice4，可能允许攻击者确保 C2 通信。

在分析攻击中使用的wiper时，研究人员发现了两个相同的 .NET 样本，名为 msdskint.exe，其主要目的是擦除计算机文件、驱动器和 MBR，还具有清除 Windows 事件日志、删除备份、终止进程和更改用户密码等功能。

总结

在攻击发生近两周后，MEK 附属新闻发布了一份攻击状态 告，声称国家支持的广播和电视 络仍未恢复正常，超过 600 台服务器、存档和播放设备等被毁，但这一说法无法验证。目前，研究人员无法准确将 IRIB 攻击归因于特定攻击者。