پشت پرده حمله اخیر به صداوسیما

شرکت checkpoint یک گزارش و تحلیل عمیقی از حمله اخیر به صداوسیما ایران انجام داده که در این پست بخش هایی از اون رو با هم می خونیم .اگر به چنین مطالبی علاقمند هستید از کانال ما هم دیدن کنید.

در چند ماه گذشته موج جدیدی از حملات سایبری ایران را فرا گرفته است. این حملات فقط تخریب جزئی وب سایت نیستند . موج اخیر به زیرساخت های ملی ضربه می زند و باعث اختلالات عمده در خدمات عمومی می شود. این مقاله یک تحلیل فنی عمیق از یکی از حملات علیه شرکت رسانه ملی ایران، صدا و سیمای جمهوری اسلامی ایران ( صدا و سیما ) که در اواخر ژانویه 2022 رخ داد، ارائه می دهد.

یافته های کلیدی

• در 27 ژانویه، صدا و سیمای جمهوری اسلامی ایران موضوع یک حمله سایبری هدفمند قرار گرفت که منجر به پخش تصاویری از رهبران مخالف دولت توسط چندین شبکه تلویزیونی دولتی شد و خواهان ترور رهبر معظم انقلاب شد. تیم تحقیقاتی Check Point این حمله را بررسی کرد و توانست فایل‌ها و شواهد فارنزیکی مربوط به این حادثه را از منابع در دسترس عموم بازیابی کند.
• ما برنامه‌های اجرایی مخربی را پیدا کردیم که هدفشان پخش پیام اعتراض بود، علاوه بر این، شواهدی را کشف کردیم که نشان می‌دهد از یک بدافزار از نوع wiper (برنامه ای مخرب که با هدف پاک کردن داده ها در سیستم هدف بدون قابلیت بازگردانی اجرا می شود )استفاده شده است. این نشان می‌دهد که هدف مهاجمان نیز مختل کردن شبکه‌های پخش دولتی بوده است، با آسیب زدن جدی به شبکه‌های تلویزیونی و رادیویی احتمالاً جدی‌تر از آنچه که به طور رسمی گزارش شده است.
• در میان ابزارهای مورد استفاده در این حمله، ما بدافزاری را شناسایی کردیم که از صفحه‌نمایش قربانیان عکس میگرفت، چندین درب پشتی خاص، و اسکریپت‌های batch و فایل‌های پیکربندی مورد استفاده برای نصب و پیکربندی فایل‌های اجرایی مخرب. ما نتوانستیم هیچ مدرکی مبنی بر استفاده از این ابزارها در گذشته پیدا کنیم یا آنها را به یک عامل تهدید خاص نسبت دهیم.
• در این مقاله، تحلیل تکنیکی ابزارهای مرتبط با حمله و همچنین تاکتیک‌های مهاجمان را ارائه می‌کنیم.

حملات سایبری علیه ایران

• در ژوئیه 2021، حمله ای به راه آهن سراسری و خدمات باری ایران انجام شد و باعث "اختلال بی سابقه" در قطارهای کشور شد. تنها یک روز بعد، رسانه‌ها گزارش دادند که وب‌سایت وزارت راه و شهرسازی که متولی حمل‌ونقل است، در یک «اختلال سایبری» مختل شده و از دسترسی به پورتال رسمی و خدمات فرعی آن جلوگیری شده است.این حمله باعث شد کارمندان راه‌آهن برای به‌روزرسانی دستی برنامه قطارها به همه ایستگاه‌های قطار مراجعه کنند ولی این اختلال همراه با پیامی که روی تابلوی برنامه قطارها نمایش داده می‌شد مسافران گیج‌شده را به شماره تلفن دفتر رهبر انقلاب ارجاع می‌داد. گروه ناشناخته قبلی به نام «گنجشک درنده» به سرعت مسئولیت این حملات را بر عهده گرفت. علاوه بر آن، محققان Check Point این حملات و ابزارهایی را که به کار گرفته بودند بررسی کرد و دریافت که تاکتیک‌ها و تکنیک‌های مشابهی در عملیات‌های قبلی علیه شرکت‌های خصوصی در سوریه مورد استفاده قرار می‌گرفت و همه این حملات را به گروه مخالف نظام به نام Indra مرتبط می‌کرد.
• از آن زمان، حملات سایبری همچنان به نهادهای ملی ایران ضربه می زند. با بررسی اهداف، به نظر می رسد که هر یک به دقت انتخاب شده اند تا یک پیام مناسب ارسال کنند. در آگوست 2021، گروه هکری تپندگان که قبلاً به هک کردن و نمایش پیام‌های اعتراضی بر روی تابلوهای الکترونیکی ورود و خروج پرواز در فرودگاه‌های بین‌المللی مشهد و تبریز در سال 2018 شهرت داشت، تصاویر دوربین‌های امنیتی زندان اوین را منتشر کرد. این فیلم‌ها ، توسط گروهی به نام عدالت علی («عدالت علی») در اعتراض به نقض حقوق بشر به دست آمده است. در اکتبر 2021، هر پمپ بنزین در ایران بر اثر حمله ای فلج شد که فرآیند پرداخت الکترونیکی را مختل کرد. این حادثه به مدت دو روز به صف‌های طولانی در پمپ بنزین‌ها منجر شد و مشتریان را از پرداخت با کارت‌های الکترونیکی دولتی که برای خرید سوخت یارانه‌ای استفاده می‌کردند، باز داشت. با کشیدن کارت برای پرداخت، شماره تلفن دفتر مقام معظم رهبری روی صفحه ظاهر می شد. مقامات ایرانی مدعی شدند که بازیگران خارجی مانند اسرائیل و آمریکا در پشت این حمله بودند. با این حال، گنجشک درنده مسئولیت این حمله را نیز بر عهده گرفت.
• در نوامبر 2021، شرکت هواپیمایی ماهان ایر ایران اعلام کرد که تلاش برای حمله به سیستم‌های داخلی خود را بدون هیچ آسیبی خنثی کرده است. جالب اینجاست که این بار گروهی به نام هوشیاران وطن مسئولیت را بر عهده گرفت و طی دو ماه آینده اسنادی را منتشر کرد که این شرکت هواپیمایی را به سپاه پاسداران انقلاب اسلامی مرتبط می کند.
• اخیراً در 18 بهمن 1400، گروه عدالت علی تصاویر دوربین های مدار بسته را در یکی دیگر از زندان های ایران به نام قزل حصار منتشر کرد.

صدا و سیمای جمهوری اسلامی

در 27 ژانویه، تنها دو هفته قبل از سالگرد انقلاب اسلامی 1357، گزارش‌هایی مبنی بر هک شدن صدا و سیما، منتشر شد. صدا و سیمای جمهوری اسلامی ایران یک شرکت دولتی است که مسئولیت کلیه خدمات رادیویی و تلویزیونی در ایران را بر عهده دارد. این حمله سایبری به شبکه های تلویزیونی دولتی منجر به پخش ، آنچه مقامات صدا و سیما «چهره و صدای منافقین» توصیف کردند، شود. رضا علیدادی معاون امور فنی صدا و سیما گفت: تنها صاحبان فناوری مورد استفاده این شرکت می توانستند با اتکا به ویژگی های سیستم نصب شده بر روی سیستم ها و درپشتی مورد سوء استفاده، حمله ای را انجام دهند. وی همچنین اظهار داشت که حملات مشابه دیگر کانال های رادیویی دولتی را هدف قرار داده است.

اگرچه بخشی از این تحقیقات نیست، اما شایان ذکر است که چند روز بعد، در روز 10 بهمن، مجدداً پلتفرم پخش اینترنتی صدا و سیما، تلوبیون، هک شد. این حادثه در میانه پخش زنده بازی فوتبال ایران و امارات رخ داد. این بار گروه با انگیزه سیاسی عدالت علی، مسئول حملاتی که دوربین های امنیتی زندان را هدف قرار داده بود، مسئولیت آن را بر عهده گرفت. این ادعا قابل قبول است، زیرا ویدیوی پخش شده در حین هک آرم گروه را در گوشه سمت چپ بالا نشان می دهد.

شواهد حمله به صدا و سیما

به گزارش شبکه اطلاع رسانی راه دانا ؛ «سیستم های فنی و پخش کاملا ایزوله هستند و به پروتکل های امنیتی قابل قبولی مجهز هستند و از طریق اینترنت قابل دسترسی نیستند.» در همین پست گزارش شده است که نیروهای امنیتی مرتبط با شبکه دولتی صدا و سیما، خرابکاری را محتمل ترین سناریو می دانند و مقامات ایرانی این حمله را «بسیار پیچیده» خوانده اند.

هنوز مشخص نیست که مهاجمان چگونه به این شبکه ها دسترسی اولیه پیدا کرده اند. ما توانستیم فقط فایل های مربوط به مراحل بعدی این حملات را بازیابی کنیم که مسئول این موارد هستند:

• ایجاد درهای پشتی و پرسیست (عملی که منجر به دسترسی طولانی هکرها در سیستم میکند) آنها.
• راه‌اندازی فایل صوتی یا ویدیویی "مخرب".
• نصب بدافزار wiper برای ایجاد اختلال در عملیات در شبکه های هک شده.

همه این نمونه‌ها از منابع متعدد، عمدتاً با IPهای ایرانی، در VirusTotal (VT) آپلود شدند و شامل اسکریپت‌های batch (اسکریپتهای قابل اجرا در کامند لاین ویندوز)کوتاهی بودند که پیلود (برنامه ای که بعد از نفوذ اجرا میشود مثلا اجرای یک فایل ) را نصب یا راه‌اندازی می‌کردند، چندین شواهد فارنزیکی مانند فایل‌های Windows Event Log یا دامپ حافظه(اسخراج قسمتی حافظه رم )، و خود پیلودها نیز موجود بودند. اکثراً فایلهای اجرایی دات نت هستند، بدون مبهم سازی اما timestamp آنها تغییر کرده و تاریخی در آینده دارند. این فایل‌ها علاوه بر داشتن زبان مشابه و ارسال‌کننده‌های VT مشابه، شباهت‌های دیگری نیز دارند، مانند مسیرهای PDB، دستورات رایج، نام‌ها، استفاده مجدد از کد و سبک کدگذاری عمومی.

سرقت سیگنال های پخش

از فایل ویدئویی MP4 که برای قطع جریان تلویزیون استفاده شد و به عنوان TSE_90E11.mp4 در VT آپلود شد، توانستیم به سایر شواهد مرتبط با سرقت پخش، که ظاهراً روی سرورهایی که برنامه های تلویزیونی را پخش می کنند، دسترسی داشته باشیم. برای پخش فایل ویدئویی، مهاجمان از برنامه ای به نام SimplePlayout.exe استفاده کردند، یک فایل اجرایی مبتنی بر NET که در حالت دیباگ با مسیر PDB (فایلی که موقع کامپایل برنامه تولید شده و نقشه ای کامل از فایل تولیدی است) c:\work\SimplePlayout\obj\Debug\SimplePlayout.pdb کامپایل شده است. این فایل اجرایی دارای یک عملکرد واحد است: پخش یک فایل ویدئویی در یک حلقه با استفاده از SDK MPlatform NET توسط Medialooks.

ابتدا، برنامه SimplePlayout به دنبال یک فایل پیکربندی به نام SimplePlayout.ini می‌گردد که شامل دو خط است: مسیر فایل ویدیویی، و شماره‌ای که فرمت ویدیو را نشان می‌دهد. فایل مربوطه SimplePlayout.ini که همراه با SimplePlayout آپلود شده است، مقادیر مربوط به فایل MP4 واقع در c:\windows\temp\TSE_90E11.mp4 و فرمت ویدیویی HD 1080i با refresh rate 50 هرتز را مشخص می کند. مهاجمان برای از بین بردن جریان ویدیویی در حال پخش از یک اسکریپت batch به نام playjfalcfgcdq.bat استفاده کردند. پروسس در حال اجرا و فایل اجرایی TFI Arista Playout Server را قطع و حذف می کند، نرم افزاری که صدا و سیما برای پخش از آن استفاده می کند، و متعاقباً درایور Matrox DSX را که بخشی از نرم افزار برای پردازش رسانه در زیرساخت های پخش مجازی است، حذف می کند.

• برای ترکیب تمام اجزای مخرب، یک اسکریپت دیگر layoutabcpxtveni.bat چندین کار را انجام می دهد: فایل ویدئویی MP4 واقع در c:\windows\temp\TSE_90E11.003 را به TSE_90E11.mp4 تغییر نام می دهد. این فایل احتمالاً توسط یکی از درهای پشتی در آنجا قرار داده شده است که بعداً در مورد آن صحبت خواهیم کرد.
• پروسس در حال اجرا QTV.CG.Server.exe، احتمالاً بخشی از نرم افزار پخش Autocue QTV را از بین می برد و سرور اصلی واقع در D:\CG 1400\QTV.CG.Server.exe را با SimplePlayout، ابزاری که توسط مهاجمان ویدیوی خود را پخش کنند، جایگزین میکند.
• مسیر c:\windows\SimplePlayout.exe را در SimplePlayout.ini در همان فهرستی که QTV.CG.Server.exe در آن قرار دارد کپی می کند. حداقل این نمونه از اسکریپت حاوی یک اشتباه تایپی است، زیرا احتمالاً بازیگران قصد داشتند SimplePlayout.ini را در کنار فایل اجرایی مخرب کپی کنند.
• فایل SimplePlayout.exe را از هر دو مکان اولیه و جایگزین شده اجرا می کند.

در مجموعه دیگری از شواهد مرتبط که کشف کردیم، مهاجمان از فایل WAV حاوی فایل صوتی 25 ثانیه ای با عنوان TSE_90E11.001، مشابه نام فایل MP4 استفاده شده ، استفاده می کنند. یک فایل اجرایی به نام Avar.exe مبتنی بر NAudio، یک کتابخانه صوتی منبع باز دات نت است و وظیفه پخش فایل WAV را بر عهده دارد. برخلاف SimplePlayout.exe،فایل Avar.exe به فایل پیکربندی متکی نیست. در عوض، حاوی مسیر فایل WAV بصورت مسیر هارد کد شده (مسیری که بصورت مستقیم در داخل فایل قرار میگیرد) C:\windows\temp\TSE_90E11.001 است. پس از اجرا، Avar.exe سعی می کند از طریق شمارش تمام دستگاه های صوتی فعال ، فایل WAV را روی هر یک پخش کند.

در نهایت، یک اسکریپت batch به نام avapweiguyyyw.bat قطعات را کنار هم قرار می دهد. پروسسی به نام ava.exe را از بین می برد و فایل اجرایی را در C:\Program Files\MIT\AVA\ava.exe با Avar.exe جایگزین می کند. استفاده از نام "آوا" در فایل‌ها و پوشه‌ها ممکن است نشان دهد که این فایل‌ها برای رادیو آوا صدا و سیما در نظر گرفته شده‌اند، اگرچه این موضوع که تحت تأثیر این حمله نیز قرار گرفته است، به طور رسمی تأیید نشده است.

بدافزارwiper

ما دو نمونه دات نت یکسان به نام msdskint.exe پیدا کردیم که هدف اصلی آنها پاک کردن فایل ها، درایوها و MBR کامپیوتر است. این را می توان از مسیر PDB نیز دریافت: C:\work\wiper\Wiper\obj\Release\Wiper.pdb. علاوه بر این، این بدافزار قابلیت پاک کردن گزارش رویدادهای ویندوز، حذف پشتیبان‌گیری، از بین بردن پروسسها، تغییر رمز عبور کاربران و موارد دیگر را دارد. هر دو نمونه توسط ارسال کنندگان یکسان و در یک بازه زمانی مشابه با شواهد مورد بحث قبلی در VT آپلود شدند.

این برنامه دارای سه حالت برای خراب کردن فایل ها است و بایت ها را با مقادیر تصادفی پر می کند:

• پیش فرض – 200 بایت اول هر تکه 1024 بایتی در فایل را بازنویسی کنید.
• مورد light-wipe - تعدادی از تکه های مشخص شده در پیکربندی را بازنویسی کنید.
• مورد full_purge - کل محتوای فایل را بازنویسی کنید.

این برنامه پیکربندی خود را برای فرآیند پاک کردن به یکی از این راه ها دریافت می کند:

در آرگومان های خط فرمان، یا از پیکربندی پیش فرض هاردکد شده و فهرست استثنائات در فایل meciwipe.ini. پیکربندی پیش‌فرض شامل فهرست از پیش تعریف‌شده‌ای از استثناهای مربوط به سیستم‌عامل ویندوز و محصولات امنیتی کسپرسکی و سیمانتک است که به طور گسترده در ایران استفاده می‌شوند:

اگر بدافزار هیچ آرگومان نداشته باشد، به عنوان سرویسی با نام "Service1" اجرا می شود. تابع پاک کن اصلی هش FNV1A32 هر آرگومان را محاسبه می کند و از آن برای تعیین عملکرد استفاده می کند:

پرچم DestroyMBR بدافزار را قادر می‌سازد تا MBR را با نوشتن یک باینری کدگذاری شده با base64 روی فایل precg.exe و سپس اجرای آن پاک کند. precg.exe یک MBRKiller مبتنی بر بدافزار Gh0stRAT MBR است. روند اصلی پاک کردن با جستجو برای آخرین فایل پاک شده شروع می شود. بدافزار مسیر خود را به فایلی با نام lastfile (یا lastfile2 در مورد wipe_stage_2) می نویسد. سپس، هر فایل بررسی می شود تا ببینیم آیا جزء لیست استثنائات است یا پسوند آن در لیست از پیش تعریف شده زیر نباشد:

حالت full_purge که تمام بایت های فایل را حدف می کند همیشه برای فایل های فهرست purge_extensions فعال است:

".json"، ".htm"، ".log"، ".html"، ".lst"، ".txt"، ".xml"، ".vbs"، ".inc"، ".ini"، ".sql"

اگر پرچم delete_files فعال باشد، wiper پس از بازنویسی فایل‌ها را نیز حذف می‌کند.

ما شواهد اضافی را که همراه با نمونه های Wiper ارائه شده بود، پیدا کردیم که ثابت می کند که Wiper واقعاً در یک محیط تلویزیون اجرا شده است:

• فایل lastfile2 حاوی مسیر آخرین فایل پاک شده: C:\users\tpa\videos\captures\desktop.ini است این فایل تنها در صورتی ایجاد می‌شود که Wiper در حالت wipe_stage_2 اجرا شده باشد، که پس از مراحل پاک کردن، فایل‌ها را حذف می‌کند.
• فایل breakusufjkjdil.bat، که نشان می دهد حداقل یک نمونه از Wiper قرار بوده با هدف از بین بردن جلسات کاربر موجود و تغییر رمز عبور برای همه کاربران اجرا شود: "c:\windows\temp\msdskint.exe" -break -users * -sesions
• فایل Event Viewer Application log مربوط به سرویس Wiper که Service1 را نشان می دهد. گزارش ها حاوی یک timestamp هستند که چند ساعت پس از حمله است:

درهای پشتی

بکدور WinScreeny

نام این ابزار از مسیر PDB می آید: C:\work\winscreeny\winscreeny\obj\Debug\winscreeny.pdb. هدف اصلی درب پشتی تهیه اسکرین شات از کامپیوتر قربانی است. ما دو نمونه از این درب پشتی پیدا کردیم: اولی نسخه منتشر شده با نام mslicval.exe در VT آپلود شده است، و نسخه دوم نسخه دیباگ شده به نام precg2.exe است. ناگفته نماند که این فایل ها به همراه سایر شواهدی که ما کشف کردیم قبلا به VT ارسال شده بودند.

بکدور را می توان براساس آرگومانهای خط فرمان به روش های مختلفی اجرا کرد:

• بدون آرگومان - SimpleTCPSServer را اجرا می کند که به پورت 18000 گوش می دهد.
• آرگومان service– به عنوان سرویسی با نام Service1 اجرا می شود. در شروع، سرویس یکscheduled task با دستور ایجاد می کند:

schtasks /create /TN \"Microsoft\\Windows\\.NET Framework\\.NETASM\"/TR \” <file_path> \" /ST <current_time + 1 :10> /SC ONCE /F.

• آرگومان Setup – سعی می کند با استفاده از تابع LsaAddAccountRights، API امتیازاتی (privileges) را به دست آورد و سپس خود را به عنوان یک سرویس اجرا کند.

بدافزار به بسته ها در پورت 18000 گوش می دهد و برای هر بسته بررسی می کند که آیا پیام حاوی دستور با پارامتر scr= ارسال شده با روش POST است یا خیر. اگر این شرایط رعایت شود، بدافزار یک اسکرین شات را در فایلی با نام screeny-<timestamp>.png ذخیره می‌کند و در صورت موفقیت، پیام «انجام شد» (done)به مهاجم برگردانده می‌شود.

جالب اینکه نسخه منتشر شده این بدافزار همچنین قادر به اجرای دستور است: از پارمتر s= پشتیبانی می کند که یک رشته کدگذاری شده با base64 XOR با کلید 1 بایتی 0x24 را دریافت می کند. رشته رمزگشایی شده توسط cmd اجرا می شود و نتیجه اجرا به سرور برمی گردد. کدی که این ویژگی را کنترل می کند نیز در درب پشتی HttpService که بعداً در مورد آن صحبت خواهیم کرد مجددا استفاده شده است .

بدافزار HttpCallbackService

یک ابزار مدیریت از راه دور (RAT) با مسیر PDB آشنا است: C:\work\simpleserver\HttpCallbackService\obj\Release\HttpCallbackService.pdb. آدرس URL C&C آن را می توان به دو روش مختلف مشخص کرد: آرگومان خط فرمان یا فایل پیکربندی callservice.ini. در مرحله بعد، مقدار دریافتی به یک رشته کوتاه ?m=اضافه می شود: اگر URL با ".aspx" یا ".php" ختم شود. m=، اگر URL با "/" تمام شود و /m= در سایر موارد.

متأسفانه، هیچ پیکربندی یا شواهدی دیگری مربوط به HttpCallbackService پیدا نکردیم، بنابراین سرور C&C در این حمله ناشناخته باقی می ماند.

هر 5 ثانیه، HttpCallbackService با استفاده از روش webClient.DownloadString درخواستی را به URL C&C ارسال می کند تا لیستی از دستورات جداشده با "\r\n" را دریافت کند. اگر بدافزار در 5 دقیقه گذشته هیچ فرمانی دریافت نکرد و پرچم isStayAliveMode غیرفعال شد، این بازه زمانی به 1 دقیقه افزایش می یابد. اینها دستوراتی هستند که توسط RAT پشتیبانی می شوند:

هنگامی که نتایج دستورات در سرور آپلود می شوند، داده ها به یک URL کمی متفاوت ارسال می شوند: URL C&C که قبلاً تعریف شده بود، اکنون "1" به آن اضافه می شود. داده ها با استفاده از روش WebClient.UploadValues در قالب زیر ارسال می شوند:

download=<file_name>\r\n--------------\r\n<base64 of chunk> for the download command
<command>\r\n--------------\r\n<result> for the cmd command.

بکدور HttpService

درب پشتی دیگری است که به پورت مشخصی گوش می دهد این پورت می تواند یک آرگومان خط فرمان، پورت از پیش تعریف شده بسته به نمونه، یا مقدار فایل پیکربندی: exe_name>.ini باشد. ما چندین نمونه با پورت های پیش فرض 19336، 19334، 19333 و همچنین دو فایل پیکربندی مختلف آپلود شده در VT، با مقادیر 19336 و 19335 پیدا کردیم.

هر نمونه یک نسخه هاردکد شده دارد. فایل هایی که ما کشف کردیم متعلق به سه نسخه مختلف هستند: 0.0.5، 0.0.11v4H و 0.0.15v4H. نسخه 0.0.5 به پورت مشخص شده براساس Simple TCP Server گوش می دهد، در حالی که 0.0.11v4H و 0.0.15v4H بر اساس Simple HTTP Server هستند. همه آنها از HTML Agility Packبرای تجزیه HTML و کتابخانه IonicZip برای اقدامات فشرده سازی استفاده می کنند.

بالاترین نسخه (0.0.15v4H) بکدور دارای قابلیت های متعددی از جمله اجرای دستور و دستکاری فایل ها است.

اجرای دستور: دستور "cmd" باعث می شود درب پشتی دستور مشخص شده را با cmd.exe اجرا کند و نتیجه را در این فرمت برگرداند: <div style='color: red'><result_string></div>. علاوه بر این، درب پشتی می‌تواند یک شل cmd را با دریافت پارامتر i= راه‌اندازی کند که آرگومان‌های آن می‌تواند به صورت زیر باشد:

• "1" - خروجی را از شل بگیرید و آن را به C&C برگردانید.
• "2" - شل را پایان دهد و پاک کند.
• پیش فرض – رشته XORed را رمزگشایی و سپس دستور را در شل اجرا کند و خروجی را ذخیره کند.

مشابه WinScreeny، بدافزار همچنین دارای دستور "s=" با رشته XOR با کلید 1 بایتی 0x24 به عنوان آرگومان است. رشته رمزگشایی شده توسط cmd.exe اجرا می شود و نتیجه به سرور بازگردانده می شود.

اتصال پراکسی: پس از دریافت دستور "p=" یا "b="، درب پشتی از رایانه قربانی به عنوان پروکسی برای URL دریافت شده به عنوان آرگومان استفاده می کند. درپشتی با این URL ارتباط برقرار می کند، درخواست سرور C&C را ریدایرکت میدهد و منتظر پاسخ می ماند تا آن را به C&C برگرداند.

دانلود و آپلود فایل ها: دستور "f=" یا "1=" به درب پشتی اجازه می دهد تا فایلی را از مسیری که به عنوان آرگومان داده شده است دانلود کند یا فایلی را که به عنوان آرگومان داده شده با محتوای متن پیام بنویسد. پس از دریافت فرمان "m="، بدافزار متن پیام را در مسیر base_directory><client_address>.out می‌نویسد، داده‌ها را از base_directory><client_address>.in می‌خواند و به C&C ارسال می‌کند. اگر فایل وجود نداشته باشد، بدافزار فایل را ایجاد می کند و تاریخ و زمان فعلی را روی آن می نویسد.

اجرای دستورات SQL: دستور “con=” / “c=” رشته اتصال SQL DB و پرس و جوی SQL را دریافت می کند و نتیجه را به سرور برمی گرداند.

دستکاری فایل‌های محلی: دستور <path> وجود فایل/دایرکتوری را بررسی می‌کند و سپس یکی از این سه کار را بر اساس مقدار query انجام می‌دهد:

• آرگومان "zip" - یک فایل فشرده از محتویات دایرکتوری ایجاد می کند و آن را به C&C برمی گرداند.
• آرگومان "unzip" - فایل را با استفاده از مسیر ارائه شده توسط C&C از حالت فشرده خارج می کند.
• آرگومان "del" - فایل را حذف می کند.

جالب اینجاست که در هر سه مورد بدافزار ،کل محتویات دایرکتوری (از جمله زیر دایرکتوری ها) را به عنوان یک صفحه HTML که حاوی دکمه های Zip، Unzip و Delete است، بسته به نوع فایل، می فرستد. رابط کاربری در سمت مهاجمان اینگونه به نظر می رسد:

بکدور serverlunch

نمونه HttpServer نسخه 0.0.5 همراه با dropper آن به نام dwDrvInst.exe ارسال شده که از نرم افزار دسترسی از راه دور قابل اجرا توسط DameWare تقلید می کند. مسیر PDB ابزار دارای همان الگوی C:\work\ServerLaunch\Release\ServerLaunch.pdb است. با این حال، این ابزار به زبان C++ نوشته شده است. و حدودا در 2 دسامبر 2021یعنی 2 ماه قبل از حمله کامپایل شده است.

بدافزار ServerLaunch شامل سه فایل اجرایی در بخش resources است با نام ionic.zip.dll، httpservice2 و httpservice4، که همه در C:\Users\Public قرار داده می شوند. سپس بدافزار هر دو httpservice2 و httpservice4 را بدون هیچ آرگومان اجرا می کند. هر یک از آنها یک پورت از پیش تعریف شده متفاوت برای گوش دادن دارند، که احتمالاً به مهاجمان اجازه می دهد تا از نوعی ارتباطات C&C اطمینان حاصل کنند.

ارتباط فایل ها به حمله

ما چندین ابزار مختلف و برخی از شواهد مربوط به اجرای آنها را مورد بحث قرار داده ایم. واضح است که همه این ابزارها توسط یک بازیگر ساخته شده و به هم متصل هستند. به عنوان مثال، ابزار اسکرین شات Winscreeny دارای قابلیت آپلود اسکرین شات های ایجاد شده برای مهاجمان نیست، که احتمالاً به این معنی است که برای انجام این عملیات به درهای پشتی دیگر متکی است. نام تکرارشونده Service1 برای همه ابزارها نشان می‌دهد که درب‌های پشتی مختلف که روی یک ماشین اجرا می‌شوند، عمدتاً با آرگومان‌های خط فرمان یا فایل‌های پیکربندی مشابه اجرا می‌شوند. با توجه به ارتباط نمونه ها با یکدیگر، می توان ارتباط این فایل ها با حمله سایبری صدا و سیما را اثبات کرد:

• کل فعالیت به هم پیوسته است و عمدتاً از IPهای ایرانی در یک بازه زمانی به VT ارسال شده است، احتمالاً توسط پاسخ دهندگان حادثه.
• فایل های صوتی و تصویری استفاده شده توسط این ابزار همان فایل هایی است که به صورت زنده در تلویزیون هک شده ایران پخش شده است.
• شواهد متعددی مانند Matrox DSX، Autocue QTV، TFI Arista Playout Server و غیره که در نمونه ها به آنها اشاره شده است نشان می دهد که این فایل ها برای یک محیط پخش در نظر گرفته شده اند.
• در میان شواهد فارنزیکی ارسال شده همراه با ویدئو و فایل‌های اجرایی، فایل‌های Windows Event Viewer را کشف کردیم که حاوی شواهدی است مبنی بر تلاش برای اجرای نمونه‌ها در محیط شبکه تلویزیونی ایران، دامنه‌ای که به صورت عمومی نمایش داده نشده. timestamp این گزارش‌های خاص پس از زمان واقعی وقوع حادثه است.

• شواهد متعدد فارنزیکی دیگر از این پرونده در VT حاوی شواهد دیگری است که مستقیماً با صدا و سیما مرتبط است. برای مثال، یک ابزار داخلی به نام MIT_FreeSizeService با هش (md5:307e7440a15c8eed720566f067a2e96b) دارای آرم IRIB است، و دامپ حافظه نرم افزار MetaSAN بنام executable.4504.exe با هش (md5:1fc57ccec4668bbcbebaa9c734a437ba) که در ماشینی با نام MIT-TV اجرا شده است

بازیگران

به نظر می رسد مقامات ایرانی مطمئن هستند که مجاهدین خلق در پشت این حمله قرار دارد و معاون امور فنی صدا و سیمای جمهوری اسلامی ایران نیز همین ادعا را دارد. با این حال، خود گروه هرگونه دخالت را رد می‌کند و می‌گوید که «گروه تنها زمانی که هک انجام شده است از این حادثه مطلع شده بود، اما هک ممکن است کار هواداران در ایران بوده باشد». گروه هکری «گنجشک درنده» که مسئولیت حملات علیه راه‌آهن ملی، وزارت حمل‌ونقل و پمپ بنزین‌های ایران را بر عهده گرفته بود، از طریق کانال تلگرامی خود حمله صدا و سیما را بر عهده گرفت. صبح قبل از حمله، آنها نوشتند: «منتظر خبرهای خوب تیم ما باشید. کانال را عوض نکنید.» اواخر همان شب، آنها ویدئویی از یکی از شبکه های تلویزیونی مختل شده منتشر کردند و آن را "حمله سایبری به سازمان صدا و سیمای کشور توسط تیم گنجشک درنده" معرفی کردند. در حال حاضر، هیچ مدرک فنی دال بر ارتباط این گروه به این حمله کشف نشده است. ویدیوی نمایش داده شده در کانال به صورت آنلاین در دسترس است و به اکانت تلگرام دیگر مرتبط با مجاهدین خلق اشاره دارد، بنابراین نیاز به بررسی بیشتر دارد.

جمع بندی

در این مقاله، مجموعه‌ای از ابزارها را تحلیل کردیم که احتمالاً در یک حمله سایبری علیه صدا و سیما مورد استفاده قرار گرفته‌اند که چندین کانال تلویزیونی و رادیویی دولتی را مختل کرده است. استفاده از بدافزار Wiper در حمله به یک نهاد دولتی در ایران منجر شد ما این ابزارها را با ابزارهای ایندرا مقایسه کنیم که در کنار سایر حملات، مسئول اجرای Wiper در سیستم های راه آهن و وزارت راه ایران است. اگرچه این wiper کدگذاری شده‌اند و رفتار بسیار متفاوتی دارند، برخی جزئیات پیاده‌سازی مانند اجرای بر اساس فایل‌های batch یا الگوهای تغییر رمز عبور ([تعدادی تصادفی]aA1! برای این حمله و Aa153![دنباله تصادفی] در مورد ایندرا)، نشان می‌دهد که مهاجمان پشت هک صدا و سیما ممکن است از حملات قبلی در ایران الهام گرفته باشند.

همانطور که در مورد ایندرا، به نظر می رسد که بازیگر ممکن است توانایی های زیادی داشته باشد که هنوز کشف نشده است. به عبارت دیگر، مهاجمان موفق شدند عملیات پیچیده ای را برای دور زدن سیستم های امنیتی و شبکه، نفوذ به شبکه های پخش کننده، تولید و اجرای ابزارهای مخربی که به شدت به دانش داخلی نرم افزار پخش مورد استفاده قربانیان متکی هستند، انجام دهند. همگی زیر مونیتورینگ شدید در مراحل شناسایی و نفوذ اولیه.

از سوی دیگر، ابزارهای مهاجمان از کیفیت و پیچیدگی نسبتاً پایینی برخوردار هستند و توسط اسکریپت‌های batch سه خطی ناشیانه و گاهی اوقات همراه با خطا اجرا می‌شوند. این ممکن است از این نظریه پشتیبانی کند که مهاجمان ممکن است از داخل صدا و سیما کمک داشته باشند یا نشان دهنده همکاری ناشناخته بین گروه های مختلف با مهارت های مختلف باشد.

در همین حال، تقریباً دو هفته پس از وقوع این حمله، اخبار وابسته به مجاهدین خلق با انتشار گزارشی از وضعیت این حمله مدعی شد «شبکه‌های رادیویی و تلویزیونی رژیم به وضعیت عادی بازنگشته‌اند» و فهرست مفصلی از دستگاه‌های آسیب‌دیده را با این بیانیه ارائه کردند. بیش از 600 سرور، تولید دیجیتال پیشرفته، آرشیو و پخش تجهیزات رادیویی و تلویزیونی از بین رفته و نرم افزار آنها آسیب دیده است. هیچ راهی برای تأیید این ادعاها برای ما وجود ندارد، اما اگر حداقل برخی از آنها درست باشد، میزان تخریب ناشی از wiper و سایر ابزارهای مخربی که ما کشف کرده ایم (و آنهایی که هنوز ناشناخته هستند) فراتر از انتظارات است.

IOC

Attack files:
hash name description 1607f31ac66dfec739dc675ade921582acb8446c2ac7d6d1bc65a3e993fc5b54 msdskint.exe Wiper
42ed646eed4f949c456c637a222e7d94dd8ac67ed5ebda5e63c7b7979076d9cf msdskint.exe Wiper
8bdf6e262966a59a7242d279e511dd694467f07d1d76c456a0c26d0db2ec48a8 HttpService2.exe HttpService
427c105859c3dc62ece790e41a42b0f6ae587496a07d3bd190143179cdf6c6bd HttpService4.exe HttpService
e3d61cbbfbe41295dd52acff388d1d8b1d414a143d77def4221fd885aae6cd83 HttpService2.exe HttpService
096bae94e09059e2e3106503353b1b4f7116fa667600ca2ab3fa7591708e645a HttpService4.exe HttpService
13a016b8f502c81e172c09114f25e4d8a8632768aefd56c5f6d147e9b6466216 HttpService4.exe HttpService
ea740894227ae1df923997edb7bda3a00f523fbff7cc02d3b5e6b3de19d672fc HttpCallbackService.exe HttpCallbackService 62b692be251feb63af2723a68975976b749cab20014ffaa6488af80f4f03e0a1 dwDrvInst.exe ServerLaunch
41e0c19cd6a66b4c48cc693fd4be96733bc8ccbe91f7d92031d08ed7ff69759a precg2.exe Winscreeny
e9e4a8650094e4de6e5d748f7bc6f605c23090d076338f437a9a70ced4a9382d mslicval.exe Winscreeny
d788ebc7ee98c222f46d7ca2347027643784a78b5954c9a31734ec1b197bc2aa Avar.exe Avar 1155dd06e0b108bde3addcdbd5d1da4dc18ca245c39ce7d967f8971eb0f88dbb SimplePlayout.exe SimplePlayout a25215c9adce51a3ecfe34c802d3e7d865cf410ddbe10101e3b41f6ba11347a4 TSE_90E11.mp4 MP4 video file
4cc21810d786dca94e01d0714d37e3f097ff6e3813bf6e17a9bd86cd9a4ceb2b TSE_90E11.001 WAV file
7ea7b20b87ded3c297ec0890ee8a396427d70caf983b42f479d8fad38629b684 playoutabcpxtveni.bat bc8de80a28c8ae55415ccdfece270f6548f067fc2a00e799baf0279d4d560807 breakusufjkjdil.bat 197f13580ec249fa84b1e54f978c5cab60f22561a2fab2ff60bdb2d5bfa25512 avapweiguyyyw.bat efc8f12c53d1730fa8ac00cfa60e63ab43d90f42879ef69d7f6fb9978246f9cb playjfalcfgcdq.bat a2d493c2cb25fc03f5d31cf3023b473d71d38b972eccdb7873f50d2344ea7753 simpleplayout.ini c305b3cb96a34258a3e702526de6548b2de99449c0839a9aea518accc7c861ab 436748-HttpService4.exe.ini 8b74c08c33cd8a0cc1eaf822caeaad6b54bc39e4839e575f3c0ece4bb8992408 436751-HttpService4_2.exe.ini

Forensics artifacts:
hash name description 0daa0aefdc6d0641eb06e62bc8c92a0696aa8089258cb2d3552ac137d53237ec sec.evtx security event log from one of the machines a3b9bd57e6b281610e570be87883d907992bdf7be3bcd37885ee2cf97d930cd3 application.evtx applications event log from one of the machines 067ae6ecfd108a79a32eb1a76a262868d8f3a9a7924b26091f0e2229152bdd9d lastfile2 path to the last file wiped and deleted by the wiper

ویدیوی دنیای توسعه دهندگان زیرودی ، مشاهده در : آپارات - یوتیوب - تلگرام

دریافت نشریه تخصصی امنیت سایبری ONHEX : شماره اول | شماره دوم

ما را در تلگرام دنبال کنید

یه قهوه من مهمون کن