Rekaman pemimpin oposisi yang menyerukan pembunuhan Pemimpin Tertinggi Iran ditayangkan di beberapa saluran TV milik negara pada akhir Januari setelah serangan siber yang disponsori negara terhadap penyiar negara Iran IRIB.
Insiden – salah satu dari serangkaian motivasi politik serangan di Iran yang telah terjadi pada tahun lalu – termasuk penggunaan wiper yang berpotensi terkait dengan serangan profil tinggi sebelumnya pada jaringan transportasi nasional Iran pada bulan Juli, menurut peneliti dari Check Point Research.
Namun, meskipun serangan sebelumnya telah dikaitkan dengan aktor Indra yang disponsori negara Iran, para peneliti percaya aktor peniru berada di balik serangan IRIB berdasarkan malware dan alat yang digunakan dalam serangan itu, kata mereka dalam sebuah laporan yang diterbitkan Jumat.
Click to Register for FREE
“Di antara alat yang digunakan dalam serangan itu, kami mengidentifikasi malware yang mengambil tangkapan layar dari layar korban, beberapa pintu belakang yang dibuat khusus, dan skrip batch terkait dan co file nfiguration yang digunakan untuk menginstal dan mengonfigurasi executable berbahaya,” tulis para peneliti dalam laporan tersebut. “Kami tidak dapat menemukan bukti bahwa alat ini digunakan sebelumnya, atau mengaitkannya dengan pelaku ancaman tertentu.”
Serangan mengganggu terhadap IRIB terjadi pada 27 Januari, dengan penyerang menunjukkan kecerdasan dan pengetahuan tentang cara menyusup ke sistem yang menyarankannya. mungkin juga merupakan pekerjaan orang dalam, kata para peneliti.
Serangan itu berhasil melewati sistem keamanan dan segmentasi jaringan, menembus jaringan penyiar, dan memproduksi serta menjalankan alat berbahaya yang mengandalkan pengetahuan internal dari perangkat lunak penyiaran yang digunakan oleh para korban, “sementara tetap berada di bawah radar selama tahap pengintaian dan penyusupan awal,” catat mereka.
Memang, hampir dua minggu setelah serangan terjadi, baru yang berafiliasi dengan partai oposisi MEK menerbitkan laporan status serangan yang mengklaim bahwa jaringan radio dan TV yang disponsori negara masih memiliki tidak kembali normal, dan bahwa lebih dari 600 server, produksi digital lanjutan, pengarsipan, dan penyiaran radio dan televisi n peralatan telah dihancurkan, menurut report.
Spate of Attacks
Infrastruktur nasional Iran telah menjadi korban gelombang serangan yang bertujuan menyebabkan gangguan dan kerusakan serius. Dua insiden yang menargetkan infrastruktur transportasi nasional terjadi dalam dua hari berikutnya di bulan Juli.
Salah satunya adalah insiden transportasi kereta api – yang mengganggu layanan kereta api dan juga mengejek Pemimpin Tertinggi Iran Ayatollah Sayyid Ali Hosseini Khamenei melalui layar tampilan angkutan umum yang diretas. Sehari kemudian, Kementerian Pembangunan Jalan dan Perkotaan Iran juga terkena serangan cyber yang melumpuhkan sistem komputer karyawan.
Kemudian pada bulan Oktober, serangan terhadap jaringan distribusi bahan bakar Iran membuat pengemudi terdampar di pompa bahan bakar di seluruh negeri dengan melumpuhkan pemerintah -mengeluarkan kartu elektronik yang memberikan subsidi yang digunakan banyak orang Iran untuk membeli bahan bakar dengan harga diskon. Peneliti
Check Point menganalisis alat dalam serangan cyber IRIB dan membandingkannya dengan alat milik Indra, kelompok yang diyakini bertanggung jawab atas serangan sebelumnya di infrastruktur Iran. Secara khusus, penghapus baru bernama Meteor – yang tidak hanya menghapus file tetapi juga dapat mengubah kata sandi pengguna, menonaktifkan screensaver, menghentikan proses dan menonaktifkan mode pemulihan, di antara fitur-fitur jahat lainnya – digunakan dalam serangan kereta api dan jalan raya.
Namun, meskipun wiper digunakan untuk melawan IRIB, tampaknya tidak sama. Pelaku ancaman di baliknya juga tidak mungkin sama, meskipun situasi peniru mungkin berperan, peneliti menyimpulkan.
“Meskipun wiper ini dikodekan dan berperilaku sangat berbeda, beberapa detail implementasi seperti eksekusi berdasarkan file batch, atau perubahan kata sandi pola ([urutan acak]aA1! untuk serangan ini dan Aa153![urutan acak] dalam kasus Indra), menunjukkan bahwa penyerang di balik peretasan IRIB mungkin terinspirasi oleh serangan sebelumnya [yang] terjadi di Iran,” tulis mereka dalam report.
Mengklaim Tanggung Jawab
Masih belum jelas siapa sebenarnya pelaku serangan IRIB. Sementara pejabat Iran percaya partai politik oposisi Iran MEK berada di balik serangan itu, kelompok itu sendiri telah membantah keterlibatan, kata peneliti.
Selanjutnya, kelompok hacktivist Predatory Sparrow, yang mengaku bertanggung jawab atas tiga serangan infrastruktur sebelumnya, juga berafiliasi dengan serangan IRIB melalui saluran Telegramnya. Namun, ini tidak mungkin, karena “tidak ada bukti teknis dari kelompok yang dikaitkan dengan serangan yang telah ditemukan”, menurut Check Point.
Apa yang diketahui tentang pelaku ancaman, bagaimanapun, adalah karena kompleksitas relatif dari serangan itu sendiri, kelompok "mungkin memiliki banyak kemampuan yang belum dieksplorasi," catat para peneliti.
Pada saat yang sama, ketergantungan mereka pada orang dalam IRIB mungkin menjadi rahasia keberhasilan penyerang, karena alat yang mereka gunakan "berkualitas relatif rendah dan kecanggihan, dan diluncurkan oleh skrip batch 3-baris yang canggung dan terkadang buggy,” menurut Check Point.
“Ini mungkin mendukung teori bahwa penyerang mungkin mendapat bantuan dari dalam IRIB, atau menunjukkan kolaborasi yang belum diketahui antara berbagai kelompok dengan keterampilan yang berbeda,” catat para peneliti.
Malware Spesifik
Sementara peneliti mengatakan mereka masih tidak yakin bagaimana penyerang mendapatkan akses awal ke jaringan IRIB, mereka berhasil mengambil dan menganalisis malware yang terkait dengan tahap serangan selanjutnya yang melakukan tiga hal: membangun pintu belakang dan kegigihannya, meluncurkan trek video atau audio yang memutar pesan pembunuhan, dan memasang penghapus untuk mengganggu operasi di jaringan yang diretas.
Attackers menggunakan empat strategi pintu belakang dalam serangan: WinScreeny, HttpCallbackService, HttpService dan ServerLaunch, penetes yang diluncurkan dengan HttpService.
WinScreeny adalah pintu belakang dengan tujuan utama menangkap tangkapan layar komputer korban. HttpCallbackService adalah alat administrasi jarak jauh (RAT) yang berkomunikasi dengan server perintah-dan-kontrol (C2) setiap lima detik untuk menerima perintah untuk dieksekusi. HttpService adalah pintu belakang yang mendengarkan pada port tertentu dan dapat menjalankan perintah, memanipulasi file lokal, mengunduh atau mengunggah file, atau melakukan aktivitas jahat lainnya.
Akhirnya, penetes ServerLaunch – yang memulai httpservice2 dan httpservice4, masing-masing memiliki standar yang berbeda port untuk mendengarkan – kemungkinan memungkinkan penyerang untuk memastikan semacam redundansi komunikasi C2, tulis para peneliti.
Membajak Aliran Video
Untuk mengganggu aliran TV dan memutar pesan lawan, penyerang menggunakan program yang disebut SimplePlayout.exe, sebuah .NET- berbasis executable dengan fungsi tunggal: untuk memutar file video dalam satu lingkaran menggunakan .NET MPlatform SDK oleh Medialooks.
Untuk mematikan aliran video yang sudah diputar sehingga mereka dapat menyebarkannya sendiri, penyerang menggunakan skrip batch yang disebut playjfalcfgcdq.bat, yang mematikan proses yang sedang berjalan dan menghapus executable dari TFI Arista Playout Server, sebuah perangkat lunak yang diketahui digunakan oleh IRIB untuk siaran ing.
Attackers menghubungkan titik-titik dengan skrip, layoutabcpxtveni.bat, yang membuat koneksi yang diperlukan untuk mengganti konten video IRIB dengan milik mereka sendiri melalui serangkaian fungsi, termasuk peluncuran SimplePlayout.exe, tulis para peneliti.
Penghapus
Dalam menganalisis penghapus digunakan dalam serangan, peneliti menemukan "dua sampel .NET identik bernama msdskint.exe yang tujuan utamanya adalah untuk menghapus file komputer, drive, dan MBR," mereka melaporkan.
Malware ini juga memiliki kemampuan untuk menghapus Log Peristiwa Windows, menghapus cadangan , mematikan proses dan mengubah kata sandi pengguna, di antara fitur lainnya.
Untuk merusak file, penghapus memiliki tiga mode: default, yang menimpa 200 byte pertama dari setiap potongan 1024 byte dengan nilai acak; light-wipe, yang menimpa sejumlah potongan yang ditentukan dalam konfigurasi; dan full_purge, yang melakukan hal itu – menimpa seluruh isi file.
Tulis komentar
Bagikan artikel ini:
- iWeb Security
