IPImen ، Firewall ، NGFirewall-UTM، آیپی ایمن، فایروال ایرانی ، فایروال بومی، یوتی ام بومی، یوتی ام ایرانی، فایروال نسل بعدی ایرانی، فایروال نسل بعدی بومی

 

در چند ماه گذشته موج جدیدی از حملات سایبری ایران را فرا گرفته است. این حملات تنها شامل تخریب جزئی وب سایت نیستند. موج اخیر به زیرساخت های ملی ضربه زده و باعث اختلالات عمده در خدمات عمومی شده است.

این مقاله یک تحلیل فنی عمیق از یکی از حملات علیه شرکت رسانه ملی ایران، صدا و سیمای جمهوری اسلامی ایران (صدا و سیما) که در اواخر ژانویه 2022 رخ داد، ارائه می دهد.

 

یافته های کلیدی

در 27 ژانویه، صدا و سیمای جمهوری اسلامی ایران تحت یک حمله سایبری هدفمند قرار گرفت که منجر به پخش تصاویری از رهبران مخالف دولت توسط چندین شبکه تلویزیونی دولتی شد و شعارهایی علیه رهبر معظم انقلاب پخش شد. تیم تحقیقاتی چک پوینت این حمله را بررسی کرد و توانست فایل‌ها و شواهد تحلیلی رسمی مربوط به این حادثه را از منابع در دسترس عموم بدست آورد.

 

چک پوینت گفت:

ما برنامه‌های اجرایی مخربی را پیدا کردیم که هدفشان پخش پیام اعتراض بود، علاوه بر این، شواهدی را کشف کردیم که نشان می‌دهد در این حملات از یک بدافزار وایپر استفاده شده است. این نشان می‌دهد که هدف مهاجمان نیز مختل کردن شبکه‌های پخش دولتی، با آسیبی به شبکه‌های تلویزیونی و رادیویی احتمالاً جدی‌تر از آنچه که به طور رسمی گزارش شده، بوده است.

در میان ابزارهای مورد استفاده در این حمله، ما بدافزاری را شناسایی کردیم که از صفحه‌نمایش قربانیان اسکرین گرفته، چندین backdoor سفارشی و اسکریپت‌های دسته‌ای مرتبط و فایل‌های پیکربندی مورد استفاده برای نصب و پیکربندی فایل‌های اجرایی مخرب را اعمال میکرده است. ما نتوانستیم هیچ مدرکی مبنی بر استفاده از این ابزارها در گذشته پیدا کنیم یا آنها را به یک عامل تهدید خاص نسبت دهیم.

در این مقاله، تحلیل تکنیکی ابزارهای مرتبط با حمله و همچنین تاکتیک‌های مهاجمان ارائه شده است.

 

زمینه حملات

حملات سایبری به ایران

در جولای 2021، حمله‌ای به راه‌آهن ملی و خدمات باری ایران انجام گرفت و باعث «اختلال بی‌سابقه» در قطارهای کشور شد. تنها یک روز بعد، رسانه‌ها گزارش دادند که وب‌سایت وزارت راه و شهرسازی ایران، که متولی حمل‌ونقل است، در یک «اختلال سایبری» حذف شده و از دسترسی به پورتال رسمی و خدمات فرعی آنها جلوگیری می‌شد. انگار مجبور کردن کارمندان راه‌آهن برای بروزرسانی دستی برنامه قطارها (در همه ایستگاه‌های قطار) کافی نبود، پیامی که روی تابلوی برنامه قطارها نمایش داده می‌شد مسافرانی که سردرگم شده بودند را به شماره تلفن دفتر رهبر معظم انقلاب اسلامی ارجاع می‌داد. گروه ناشناخته ای به نام «گنجشک درنده» به سرعت مسئولیت این حملات را بر عهده گرفت. علاوه بر این، Check Point Research این حملات و ابزارهایی را که به کار گرفته‌اند بررسی کرد و متوجه شد که تاکتیک‌ها و تکنیک‌های مشابهی در عملیات‌های قبلی علیه شرکت‌های خصوصی در سوریه مورد استفاده قرار گرفته‌اند که همه آن حملات را به گروه ضد رژیم موسوم به Indra مرتبط می‌کند.

از آن زمان، حملات سایبری همچنان به نهادهای ملی ایران آسیب میرساند. با بررسی اهداف، به نظر می رسد که هر یک به دقت انتخاب شده اند تا یک پیام مشخص را ارسال کنند. در آگوست 2021، گروه هکری تپندگان، که قبلاً به دلیل هک کردن و نمایش پیام‌های اعتراضی در تابلوهای الکترونیکی ورود و خروج پرواز در فرودگاه‌های بین‌المللی مشهد و تبریز در سال 2018 شناخته می‌شد، تصاویر دوربین‌های امنیتی زندان اوین که زندانیان سیاسی در آن نگهداری میشوند را منتشر کرد.

این فیلم‌ها که ظاهرا برخوردهایی را با زندانیان نشان می‌داد، توسط گروهی به نام «عدالت علی» در اعتراض به نقض حقوق بشر منتشر شده بوو. در اکتبر 2021، پمپ بنزین‌های ایران بر اثر حمله ای فلج شد که فرآیند پرداخت الکترونیکی را مختل کرده بودند. این حادثه به بروز صف‌های طولانی در پمپ بنزین‌ها به مدت دو روز منجر شد و مشتریان را از پرداخت با کارت‌های الکترونیکی دولتی که برای خرید سوخت یارانه‌ای استفاده می‌کردند، باز داشت. با کشیدن کارت برای پرداخت، شماره تلفن دفتر مقام معظم رهبری روی صفحه ظاهر شد و بار دیگر بالاترین مقام نظام برای ارتباط معرفی میکرد. مقامات ایرانی ادعا کردند که عاملان خارجی مانند اسرائیل و ایالات متحده در پشت این حمله بودند. با این حال، گروه گنجشک درنده مسئولیت این حمله را نیز بر عهده گرفت.

در نوامبر 2021، شرکت هواپیمایی ماهان ایر اعلام کرد که تلاشی برای حمله به سیستم‌های داخلی خود را، بدون هیچ آسیبی خنثی کرده است. عجیب اینکه این بار گروهی به نام «هوشیاران وطن» مسئولیت حمله را پذیرفت و طی دو ماه بعدی اسنادی را منتشر کرد که گویا در این هک به سرقت رفته بود که این شرکت هواپیمایی را به سپاه پاسداران انقلاب اسلامی مرتبط می‌کرد.

به تازگی در 7 فوریه 2022، گروه عدالت علی فیلم دوربین های مداربسته یکی دیگر از زندان های ایران به نام قزل حصار را منتشر کرد.

 

صدا و سیمای جمهوری اسلامی ایران

در 27 ژانویه، تنها دو هفته قبل از سالگرد انقلاب اسلامی 1979، گزارش‌هایی مبنی بر هک شدن صدا و سیما پخش شد. صدا و سیمای جمهوری اسلامی ایران که یک شرکت انحصاری دولتی است، مسئولیت کلیه خدمات رادیویی و تلویزیونی در ایران را بر عهده دارد. این حمله سایبری به شبکه‌های تلویزیونی دولتی منجر شد که آنچه را مقامات صدا و سیما «چهره و صدای منافقین» توصیف کردند، پخش کردند.

«منافقین» اصطلاحی است که رژیم ایران برای اشاره به مجاهدین خلق (مجاهدین خلق که مجاهدین خلق ایران نیز نامیده می‌شود)، یک سازمان افراد تبعیدی و گروه اپوزیسیون سیاسی که طرفدار سرنگونی حکومت کنونی است، استفاده می‌کند. آنها با تکیه بر تفسیری جایگزین از اسلام، حکومت خود را منصوب میداند. در ویدئوی منتشر شده، چهره مریم و مسعود رجوی رهبران منافقین ظاهر شد و به دنبال آن تصویر آیت الله خامنه ای با خط قرمز خط خورده و اعلانی بر علیه رهبر معظم انقلاب اسلامی منتشر شد. رضا علیدادی معاون امور فنی صدا و سیما گفت: تنها صاحبان فناوری مورد استفاده این شرکت می توانستند با اتکا به ویژگی های سیستم نصب شده بر روی سیستم ها و backdoor مورد سواستفاده، حمله ای را انجام دهند. وی همچنین اظهار داشت که حملات مشابه دیگر کانال های رادیویی دولتی را هدف قرار داده است.

 

محتوای حملات صدا و سیما

به گزارش شبکه خبری آخرین خبر، «سیستم‌های فنی و پخش کاملاً ایزوله هستند، مجهز به پروتکل‌های امنیتی قابل قبولی هستند و از طریق اینترنت قابل دسترسی نیستند». در همین پست، گزارش شد که نیروهای امنیتی مرتبط با شبکه تلویزیونی دولتی ایران، خرابکاری را محتمل‌ترین سناریو می‌دانند و مقامات ایرانی این حمله را «بسیار پیچیده» خوانده‌اند.

هنوز مشخص نیست که مهاجمان چگونه به این شبکه ها دسترسی اولیه پیدا کرده اند. ما توانستیم فقط فایل های مربوط به مراحل بعدی این حملات را بازیابی کنیم که مسئول این موارد هستند:

ایجاد backdoorها و تداوم آنها.

راه‌اندازی تراک صوتی یا ویدیویی "مخرب".

نصب بدافزار پاک کننده (وایپر) در تلاش برای ایجاد اختلال در عملیات در شبکه های هک شده.

همه این نمونه‌ها از منابع متعدد، عمدتاً با IPهای ایرانی، در VirusTotal (VT) آپلود شدند و شامل اسکریپت‌های دسته‌ای کوتاهی بودند که payloadها را نصب یا راه‌اندازی می‌کردند، چندین مصنوع مستند مانند فایل‌های Windows Event Log یا تخلیه حافظه، و خود payloadها را شامل میشدند. موارد بعدی آنها اکثراً فایلهای قابل اجراهای دات نت (.NET) هستند که بدون ابهام اما تاریخ گردآوری آنها زمانی در آینده ذکر شده است. این فایل‌ها علاوه بر داشتن زبان مشابه و ارسال‌کننده‌های VT مشابه، شباهت‌های دیگری نیز دارند، مانند مسیرهای PDB، دستورات رایج، نام‌ها، استفاده مجدد از کد و سبک کدگذاری عمومی.

 

ربودن سیگنال های پخش

از فایل ویدئویی MP4 که برای قطع جریان تلویزیون استفاده می‌شد و تحت عنوان TSE_90E11.mp4 در VT آپلود شد، توانستیم به سایر فایل‌های ساختگی مرتبط با ربودن پخش، که ظاهراً روی سرورهایی که برنامه‌های تلویزیونی را پخش می‌کنند، اجرا شوند. برای پخش فایل ویدیویی، مهاجمان از برنامه‌ای به نام SimplePlayout.exe استفاده کردند، یک فایل اجرایی مبتنی بر NET که در حالت اشکال‌زدایی با مسیر PDB c:\work\SimplePlayout\obj\Debug\SimplePlayout.pdb کامپایل شده است. این فایل اجرایی دارای یک عملکرد واحد است: پخش یک فایل ویدیویی در یک حلقه با استفاده از SDK MPlatform.NET توسط Medialooks.

ابتدا، برنامه SimplePlayout به دنبال یک فایل پیکربندی به نام SimplePlayout.ini می‌گردد که شامل دو خط است: مسیر فایل ویدیویی، و شماره‌ای که فرمت ویدیو را نشان می‌دهد. فایل SimplePlayout.ini مربوطه که همراه با SimplePlayout آپلود شده است، مقادیر مربوط به فایل MP4 واقع در c:\windows\temp\TSE_90E11.mp4 و فرمت ویدیویی HD 1080i با نرخ تازه‌سازی 50 هرتز را مشخص می‌کند.

مهاجمان برای از بین بردن جریان ویدیویی در حال پخش از یک اسکریپت دسته‌ای به نام playjfalcfgcdq.bat استفاده کردند. فرآیند در حال اجرا را از بین می‌برد و فایل اجرایی TFI Arista Playout Server را که صدا و سیما از آن برای پخش استفاده می‌کند، حذف می‌کند و متعاقباً درایور Matrox DSX، بخشی از نرم‌افزار برای پردازش رسانه در زیرساخت‌های پخش مجازی، را حذف نصب می‌کند.

برای ترکیب همه اجزای مخرب، یک اسکریپت دیگر layoutabcpxtveni.bat چند کار را انجام می دهد:

فایل ویدیوی MP4 واقع در c:\windows\temp\TSE_90E11.003 را به TSE_90E11.mp4 تغییر نام می‌دهد. این فایل احتمالاً توسط یکی از Backdoorهایی که رها شده است مستقر میشود که بعداً در مورد آن صحبت خواهیم کرد.

روند اجرای QTV.CG.Server.exe، احتمالاً بخشی از نرم‌افزار پخش Autocue QTV را از بین می‌برد و سرور اصلی واقع در D:\CG 1400\QTV.CG.Server.exe با SimplePlayout که ابزاریست که توسط مهاجمان ویدیوی خود را پخش کنند، بازنویسی میشود.

مسیر c:\windows\SimplePlayout.exe را در همان فهرستی که QTV.CG.Server.exe در آن قرار دارد در SimplePlayout.ini کپی می‌کند. حداقل این نمونه از اسکریپت دسته‌ای حاوی یک اشتباه تایپی است، زیرا احتمالاً بازیگران قصد داشتند SimplePlayout.ini  را در کنار فایل اجرایی مخرب کپی کنند.

فایل SimplePlayout.exe را از هر دو مکان اولیه و جایگزین شده اجرا می کند.

در مجموعه دیگری از برنامه های ساخته شده مرتبط که کشف کردیم، مهاجمان از فایل WAV حاوی تراک صوتی 25 ثانیه‌ای با عنوان TSE_90E11.001، مشابه نام فایل فایل MP4 مورد استفاده در جریان تلویزیون ربوده‌شده استفاده می‌کنند. یک فایل اجرایی به نام Avar.exe مبتنی بر NAudio، یک لایبرری صوتی .NET متن باز است و مسئولیت پخش فایل WAV را بر عهده دارد. برخلاف SimplePlayout.exe، Avar.exe به فایل پیکربندی متکی نیست. درعوض، حاوی مسیر فایل WAV است که به صورت C:\windows\temp\TSE_90E11.001 کدگذاری شده است. پس از اجرا، Avar.exe  سعی می‌کند همه دستگاه‌های صوتی فعال را شمارش کند و فایل WAV را روی هر یک پخش کند.

در نهایت، یک اسکریپت دسته‌ای به نام avapweiguyyyw.bat قطعات را کنار هم قرار می‌دهد. فرآیندی به نام ava.exe را از بین می‌برد و فایل اجرایی در C:\Program Files\MIT\AVA\ava.exe را با Avar.exe جایگزین می‌کند. استفاده از نام Ava در فایل‌ها و پوشه‌ها ممکن است نشان دهد که این فایل‌ها برای رادیو AVA صدا و سیما در نظر گرفته شده‌اند، اگرچه این واقعیت که تحت تأثیر این حمله نیز قرار گرفته است، به طور رسمی تأیید نشده است.

 

وایپر

ما دو نمونه .NET یکسان به نام‌های msdskint.exe پیدا کردیم که هدف اصلی آنها پاک کردن فایل‌ها، درایوها و MBR رایانه است. این را می توان از مسیر PDB نیز دریافت کرد: C:\work\wiper\Wiper\obj\Release\Wiper.pdb. علاوه بر آن، این بدافزار قابلیت پاک کردن گزارش لاگ‌های ویندوز، حذف بک‌آپ‌ها، متوقف کردن فرآیندها، تغییر رمز عبور کاربران و موارد دیگر را دارد. هر دو نمونه توسط ارسال کنندگان یکسان و در بازه زمانی مشابهی که فایل‌های ساخته شده که قبلاً مورد بحث قرار گرفته بودند، در VT آپلود شدند.

پاک کننده یا وایپر دارای سه حالت برای خراب کردن فایل ها است و بایت ها را با مقادیر تصادفی پر می کند:

default  – 200 بایت اول هر تکه 1024 بایتی در فایل را بازنویسی کنید.

light-wipe – تعدادی از تکه‌های مشخص‌شده در پیکربندی را بازنویسی کنید.

full_purge – کل محتوای فایل را بازنویسی کنید.

وایپر، پیکربندی خود را برای فرآیند پاک کردن به یکی از این راه ها دریافت می کند: در آرگومان های خط فرمان، یا از پیکربندی پیش فرض سخت کد شده و فهرست حذف در فایل <code>meciwipe.ini</code>. پیکربندی پیش‌فرض شامل فهرست از پیش تعریف‌شده‌ای از استثناهای مربوط به سیستم‌عامل ویندوز و محصولات امنیتی کسپرسکی و سیمانتک است که به طور گسترده در ایران استفاده می‌شوند:

اگر بدافزار هیچ آرگومانی نداشته باشد، به عنوان سرویسی با نام "Service1" اجرا می شود.

تابع پاک کننده اصلی هش FNV1A32 هر آرگومان را محاسبه می کند و از آن برای تعیین عملکرد استفاده می کند:

فلگ (flag) DestroyMBR به بدافزار این امکان را می‌دهد که MBR را با نوشتن یک باینری رمزگذاری‌شده 64-based روی فایل precg.exe را حذف کرده  سپس اجرا کند. precg.exe یک MBRKiller مبتنی بر پاک کننده Gh0stRAT MBR است.

روند اصلی پاک کردن با جستجو برای آخرین فایل پاک شده شروع می شود. بدافزار مسیر خود را به فایلی با نام lastfile (یا lastfile2 در این مورد wipe_stage_2) می‌نویسد. سپس، هر فایل بررسی می شود تا ببینیم آیا حذف شده است یا پسوند آن در لیست از پیش تعریف شده نیست:

".accdb"، ".cdx"، ".dmp"، ".h"، ".js"، ".pnf"، ".rom"، ".tif"، ".wmdb"، ".acl"، ".cfg"، ".doc"، ".hlp"، ".json"، ".png"، ".rpt"، ".tiff"، ".wmv"، ".acm"، ".chk"، ".docx"، ".hpi"، ".lnk"، ".pps"، ".rsp"، ".tlb"، ".xdr"، ".amr"، ".com"، ".dot"، «.htm»، «log.»، «ppt.»، «.sam»، «tmp.»، «.xls»، «.apln»، «.cpl»، «drv.»، «.html»، ".lst"، "pptx."، ".scp"، "tsp.، ".xlsx، ".asp، ".cpx، ".dwg، ".hxx، ".m4a"، «.pro»، «.scr»، «txt.»، «.xml»، «.avi»، «.dat»، «.eml»، «.ico»، «.mid»، «psd.»، ".sdb"، ".vbs"، ".xsd"، ".ax"، ".db"، ".exe"، ".inc"، ".nls"، ".rar"، ".sig"، ".wab"، ".zip"، ".bak"، ".dbf"، ".ext"، ".ini"، ".one"، ".rar"، ".sql"، ".wab~" , ".bin"، ".dbx"، ".fdb"، ".jar"، ".pdf"، ".rdf"، ".sqlite"، ".wav"، ".bmp"، ".dll" , ".gif"، ".jpg"، ".pip"، ".resources"، ".theme"، ".wma"، ".config"، ".mxf"، ".mp3،".mp4. , ".cs"، ".vb"، ".tib"، ".aspx"، ".pem"، ".crt"، ".msg"، ".mail"، ".enc"، ".msi" , ".cab"، ".plb"، ".plt"

حالت full_purge که همه بایت‌های فایل را لغو می‌کند همیشه برای فایل‌های فهرست <code>purge_extensions</code> فعال است:

".json"، ".htm"، ".log"، ".html"، ".lst"، ".txt"، ".xml"، ".vbs"، ".inc"، ".ini"، ".sql"

اگر فلگ delete_files فعال باشد، پاک‌کننده پس از بازنویسی فایل‌ها را نیز حذف می‌کند.

ما برنامه های ساخته شده رسمی اضافی را که همراه با نمونه های وایپر ارائه شده بود، پیدا کردیم که ثابت می کند که وایپر واقعاً در یک محیط تلویزیون اجرا شده است:

اساسا Lastfile2 حاوی مسیر آخرین فایل پاک‌شده: C:\users\tpa\videos\captures\desktop.ini است. این فایل تنها در صورتی ایجاد می‌شود که پاک‌کننده در حالت wipe_stage_2 اجرا شده باشد، که پس از مراحل پاک کردن، فایل‌ها را حذف می‌کند.

فایل breakusufjkjdil.bat ، که نشان می‌دهد حداقل یک نمونه از پاک‌کننده قرار بوده با هدف از بین بردن sessionهای کاربر موجود و تغییر رمز عبور برای همه کاربران اجرا شود: "c:\windows\temp\msdskint.exe" -break -users * -sesions

فایل لاگ برنامه نمایشگر رویداد، رویدادهای مربوط به سرویس پاک کننده سرویس1 را نشان می دهد. گزارش ها حاوی یک مشخصه زمانی هستند که مربوط به چند ساعت پس از حمله است:

 

Backdoorها

WinScreeny

نام این ابزار از مسیر PDB آمده است: C:\work\winscreeny\winscreeny\obj\Debug\winscreeny.pdb. هدف اصلی این Backdoor، تهیه اسکرین‌شات از کامپیوتر قربانی است. ما دو نمونه از این backdoor را پیدا کردیم: اولین نمونه نسخه انتشاری است که با نام mslicval.exe در VT آپلود شده است و نمونه دوم نسخه اشکال زدایی با نام precg2.exe است. ناگفته نماند که این فایل ها به همراه سایر فایل‌هایی ساخته شده که ما کشف کردیم به VT ارسال شد.

این Backdoor را می توان به روش های مختلفی اجرا کرد، بر اساس آرگومان خط فرمان:

none- یک SimpleTCPS Server را اجرا می کند که در پورت 18000 مبتنی میباشد.

service – Run as a service با نام Service1 اجرا می شود. در شروع، سرویس یک کار زمان‌بندی شده با دستور ایجاد می‌کند: schtasks /create /TN \"Microsoft\\Windows\\.NET Framework\\.NETASM\"/TR \” <file_path> \" /ST <current_time + 1 :10> /SC ONCE /F.

Setup  – سعی می‌کند با استفاده از عملکرد API LsaAddAccountRights اختیاراتی را به دست آورد و سپس خود را به‌عنوان یک سرویس اجرا کند.

بدافزار به بسته‌ها در پورت 18000 گوش می‌دهد، و برای هر بسته، بررسی می‌کند که آیا پیام حاوی دستور scr= است که با روش POST ارسال شده است یا خیر. اگر این شرایط رعایت شود، بدافزار یک عکس از صفحه را در فایلی با نام screeny-<timestamp>.png ذخیره می‌کند و در صورت موفقیت، پیام «done» به مهاجم برگردانده می‌شود.

جالب اینجاست که نسخه منتشر شده این بدافزار همچنین قادر به اجرای دستور است: از فرمان s= پشتیبانی می‌کند که یک رشته کدگذاری شده با پایه 64 XOR با کلید 1 بایتی 0x24 را دریافت می‌کند. رشته رمزگشایی شده توسط cmd اجرا می شود و نتیجه اجرا به سرور برمی گردد. کدی که این ویژگی را کنترل می کند نیز در درب پشتی HttpService که بعداً در مورد آن صحبت خواهیم کرد استفاده مجدد می شود.

 

HttpCallbackService

مشخصا HttpCallbackService یک ابزار مدیریت از راه دور (RAT) با مسیر PDB آشنا است: C:\work\simpleserver\HttpCallbackService\obj\Release\HttpCallbackService.pdb. نشانی وب C&C آن را می‌توان به دو روش مختلف مشخص کرد: آرگومان خط فرمان یا فایل پیکربندی callservice.ini. سپس، مقدار دریافتی با یک رشته کوتاه اضافه می‌شود: ?m= اگر URL با «.aspx» یا «.php.» ختم شود. m=، اگر URL با "/" یا  /m= در هر مورد دیگر ختم شود.

متأسفانه، ما هیچ پیکربندی یا طراحی دیگری مربوط به HttpCallbackService پیدا نکردیم، بنابراین سرور C&C در این حمله ناشناخته باقی می ماند.

هر 5 ثانیه، HttpCallbackService با استفاده از روش WebClient.DownloadString، درخواستی را به URL C&C ارسال می‌کند تا فهرستی از دستورات تقسیم‌شده با «\r\n» را دریافت کند. اگر بدافزار در 5 دقیقه گذشته هیچ فرمانی دریافت نکند و پرچم isStayAliveMode غیرفعال شده و این بازه زمانی به 1 دقیقه افزایش می‌یابد.

اینها دستوراتی هستند که توسط RAT پشتیبانی می شوند:

هنگامی که نتایج دستورات در سرور آپلود می شوند، داده ها به یک URL کمی متفاوت ارسال می شوند: URL C&C که قبلا تعریف شده بود، اکنون با "1" اضافه شده است. داده‌ها با استفاده از روش WebClient.UploadValues  در قالب زیر ارسال می‌شوند:

download=<file_name>\r\n--------------\r\n<base64 of chunk> برای دستور دانلود

<command>\r\n--------------\r\n<result> برای دستور cmd.

 

HttpService

ظاهرا HttpService یک Backdoor دیگری است که به یک پورت مشخص متصل است: می تواند یک آرگومان خط فرمان، پورت از پیش تعریف شده بسته به نمونه، یا مقدار فایل پیکربندی: <exe_name>.ini باشد. ما چندین نمونه با پورت های پیش فرض 19336، 19334، 19333 و همچنین دو فایل پیکربندی مختلف آپلود شده در VT، با مقادیر 19336 و 19335 پیدا کردیم.

هر نمونه یک نسخه هاردکد دارد. فایل هایی که ما کشف کردیم متعلق به سه نسخه مختلف هستند: 0.0.5، 0.0.11v4H و 0.0.15v4H. نسخه 0.0.5 به پورت مشخص شده با یک سرور TCP ساده متصل است، در حالی که 0.0.11v4H و 0.0.15v4H بر اساس سرور HTTP ساده هستند. همه آنها از HTML Agility Pack برای تجزیه HTML و لایبرری IonicZip برای اقدامات فشرده سازی استفاده می کنند.

بالاترین نسخه (0.0.15v4H) Backdoor دارای قابلیت های متعددی از جمله اجرای دستور و دستکاری فایل ها است.

اجرای دستور: دستور «cmd» باعث می‌شود backdoor فرمان مشخص‌شده را با cmd.exe اجرا کند و نتیجه را در این قالب برگرداند: <div style='color: red'><result_string></div>. علاوه بر این، backdoor می‌تواند یک shell تعاملی cmd را با دریافت دستور i= راه‌اندازی کند که آرگومان‌های آن می‌تواند به صورت زیر باشد:

"1" - خروجی را از shell بگیرید و آن را به C&C برگرداند.

"2" - بتواند shell تعاملی را پایان دهد و پاک کند.

پیش فرض – رشته XORed را رمزگشایی و کدگشایی کند و سپس دستور را در shell اجرا کند و خروجی را ذخیره نماید.

مشابه WinScreeny، بدافزار همچنین دارای دستور "s=" با رشته XOR با کلید 1 بایتی 0x24 به عنوان آرگومان است. رشته رمزگشایی شده توسط cmd.exe اجرا می شود و نتیجه به سرور بازگردانده می شود.

اتصالات پراکسی: پس از دریافت دستور "p=" یا "b="، سپس backdoor از رایانه قربانی به عنوان پروکسی برای URL دریافت شده تحت عنوان آرگومان استفاده می کند. backdoor با این URL ارتباط برقرار می کند، درخواست سرور C&C را تغییر مسیر می دهد و منتظر پاسخ می ماند تا آن را به C&C برگرداند.

دانلود و آپلود فایل ها: دستور "f=" یا "1=" به backdoor اجازه می دهد تا فایلی را از مسیری که به عنوان آرگومان داده شده است دانلود کند یا فایلی را که به عنوان آرگومان داده شده با محتوای متن پیام بنویسد. پس از دریافت فرمان "m="، بدافزار متن پیام را در مسیر  <base_directory><client_address>.out می‌نویسد، داده‌ها را از <base_directory><client_address>.in می‌خواند و به C&C ارسال می‌کند.

اگر فایل وجود نداشته باشد، بدافزار فایل را ایجاد می کند و تاریخ و زمان فعلی را روی آن می نویسد.

اجرای دستورات SQL: دستور “con=” / “c=” رشته اتصال SQL DB و پرس و جوی SQL را دریافت می کند و نتیجه را به سرور برمی گرداند.

دستکاری فایل‌های محلی: دستور «<path>» وجود فایل/دایرکتوری را بررسی می‌کند و سپس یکی از این سه کار را بر اساس مقدار کوئری انجام می‌دهد:

عمل "zip" - یک فایل فشرده از محتویات دایرکتوری ایجاد می کند و آن را به C&C برمی گرداند.

عمل "unzip" - فایل را با استفاده از مسیر ارائه شده توسط C&C از حالت فشرده خارج می کند.

عمل "del" - فایل را حذف می کند.

جالب اینجاست که در هر سه مورد، بدافزار کل محتویات دایرکتوری (از جمله زیرمجموعه‌ها) را به عنوان یک صفحه HTML که حاوی دکمه‌های Zip، Unzip و Delete است، بسته به نوع فایل، پس می‌فرستد. رابط کاربری در سمت مهاجمان اینگونه به نظر می رسد:

 

دراپر اجرای سرور

نمونه HttpServer نسخه 0.0.5 همراه با دراپر آن به نام dwDrvInst.exe ارسال شد که از نرم افزار دسترسی از راه دور قابل اجرا توسط DameWare تقلید می کند. مسیر PDB ابزار دارای همان الگوی C:\work\ServerLaunch\Release\ServerLaunch.pdb است. با این حال، این ابزار به زبان C++ نوشته شده است، نه مانند سایر ابزارها.

اجرای سرور یا ServerLaunch شامل سه فایل اجرایی در منابع است که آنها را به ionic.zip.dll، httpservice2 و httpservice4، همه در C:\Users\Public\ مستقر می کند. سپس بدافزار هر دو httpservice2 و httpservice4  را بدون هیچ آرگومان شروع می‌کند. هر یک از آنها یک پورت از پیش تعریف شده متفاوت برای اتصال دادن دارند، که احتمالاً به مهاجمان اجازه می دهد تا از نوعی افزونگی ارتباطات C&C اطمینان حاصل کنند.

 

ارتباط فایل ها به حمله

ما چندین ابزار مختلف و برخی از فایلهای ساخته شده مربوط به اجرای آنها را مورد بحث قرار داده ایم. واضح است که همه این ابزارها توسط یک عامل ساخته شده و به هم متصل هستند. به عنوان مثال، ابزار اسکرین شات Winscreeny دارای قابلیت آپلود اسکرین شات های ایجاد شده برای مهاجمان نیست، که احتمالاً به این معنی است که برای انجام این عملیات به backdoorهای دیگر متکی است. نام تکرارشونده Service1 برای همه ابزارها نشان می‌دهد که backdoorهای مختلف، اگر روی یک دستگاه اجرا می‌شوند، عمدتاً با آرگومان‌های خط فرمان یا فایل‌های پیکربندی ارائه شده، اجرا می‌شوند.

با توجه به ارتباط نمونه ها با یکدیگر، می توان ارتباط این فایل ها با حمله سایبری صدا و سیما را اثبات کرد:

کل کلاستر فعالیت به هم پیوسته است و عمدتاً از IPهای ایرانی در یک بازه زمانی به VT ارسال شده است، که احتمالاً توسط پاسخ دهندگان حادثه است.

فایل های صوتی و تصویری استفاده شده توسط این ابزار همان فایل هایی است که به صورت زنده در تلویزیون هک شده ایران پخش می شود. حساب توییتر GhyamSarnegouni که در این ویدیو نمایش داده می‌شود، حاوی چند قطعه ضبط شده از جریان‌های کانال‌های تلویزیونی مختلف است که هم آهنگ‌های ویدئویی و هم آهنگ‌های صوتی مورد بحث ما را نشان می‌دهند.

آرتیفکت های متعددی مانند Matrox DSX، Autocue QTV، TFI Arista Playout Server و غیره که در نمونه ها به آنها اشاره شده است نشان می دهد که این فایل ها برای یک محیط پخش در نظر گرفته شده اند.

در میان آرتیفکت های رسمی ارسال شده همراه با ویدئو و فایل‌های اجرایی، فایل‌های Windows Event Viewer را کشف کردیم که حاوی شواهدی است مبنی بر تلاش برای اجرای نمونه‌ها در محیط شبکه تلویزیونی ایران، دامنه‌ای که به صورت عمومی حل نشده است. مشخصه زمانی این گزارش‌های خاص پس از زمان وقوع حادثه واقعی است.

شواهد متعدد رسمی دیگر از این کلاستر فایل VT حاوی آرتیفکت های دیگری است که مستقیماً با صدا و سیما مرتبط است. برای مثال، یک ابزار داخلی به نام MIT_FreeSizeService (md5:307e7440a15c8eed720566f067a2e96b) نشان‌واره IRIB را دارد و حافظه خالی نرم‌افزار MetaSAN به نام executable، دامنه MIT-TV را نشان میدهد.

 

انتساب حملات

به نظر می رسد مقامات ایرانی مطمئن هستند که مجاهدین خلق در پشت این حمله قرار دارند و معاون امور فنی صدا و سیمای جمهوری اسلامی ایران نیز همین ادعا را دارد. با این حال، خود گروه مخالف هر گونه دخالت را رد می‌کند و بیان می‌کند که «گروه تنها زمانی از این حادثه آگاه شده بود که این حادثه اتفاق افتاد، اما هک ممکن است کار حامیان در ایران بوده باشد».

گروه هکری «گنجشک درنده» که مسئولیت حملات علیه راه‌آهن ملی، وزارت راه و شهرسازی و پمپ بنزین‌های ایران را بر عهده گرفت، از طریق کانال تلگرامی خود به حمله صدا و سیما مرتبط دانسته شده است. صبح قبل از حمله، آنها نوشتند: «منتظر خبرهای خوب تیم ما باشید. کانال را عوض نکنید.» اواخر همان شب، آنها ویدیویی را از یکی از کانال‌های تلویزیونی مختل شده پست کردند و آن را «حمله سایبری به سازمان رادیو و تلویزیون کشور توسط تیم گنجشک درنده» معرفی کردند. در حال حاضر، هیچ مدرک فنی دال بر انتساب این گروه به این حمله کشف نشده است. ویدئوی نمایش داده شده در کانال به صورت آنلاین در دسترس است و مربوط به اکانت تلگرام دیگر GhyamSarnegouni است، بنابراین باید با احتیاط ادعاها بررسی شود.

نتیجه گیری

در این مقاله، مجموعه‌ای از ابزارها را تحلیل کردیم که احتمالاً در یک حمله سایبری علیه صدا و سیما مورد استفاده قرار گرفته‌اند، که چندین کانال تلویزیونی و رادیویی دولتی را مختل کرده است. استفاده از بدافزار وایپر در حمله به یک نهاد دولتی در ایران از ما می خواهد که ابزارها را با ابزارهای متعلق به Indra مقایسه کنیم که در میان سایر حملات، مسئول راه اندازی یک وایپر در سیستم های راه آهن و وزارت راه ایران است. اگرچه این وایپرها کدگذاری شده‌اند و رفتار بسیار متفاوتی دارند، برخی از جزئیات پیاده‌سازی مانند اجرا بر اساس فایل‌های دسته‌ای، یا الگوهای تغییر گذرواژه ([random sequence]aA1! برای این حمله و Aa153![random sequence] در مورد Indra)، نشان می‌دهد که مهاجمان پشت هک صدا و سیما ممکن است از حملات قبلی در ایران الهام گرفته باشند.

همانطور که در مورد Indra، به نظر می رسد که عامل سایبری ممکن است قابلیت های زیادی داشته باشد که هنوز کشف نشده است. از یک طرف، مهاجمان موفق شدند عملیات پیچیده ای را برای دور زدن سیستم های امنیتی و تقسیم بندی شبکه، نفوذ به شبکه های پخش کننده، تولید و اجرای ابزارهای مخربی که به شدت به دانش داخلی نرم افزار پخش مورد استفاده قربانیان متکی هستند، از امکان شناسایی و تشخیص مصون مانده و نفوذ اولیه را انجام دهند.

از سوی دیگر، ابزارهای مهاجمان از کیفیت و پیچیدگی نسبتاً پایینی برخوردار هستند و توسط اسکریپت‌های دسته‌ای 3 خطی ناشیانه و گاهی اوقات باگ راه‌اندازی می‌شوند. این ممکن است از این نظریه حمایت کند که مهاجمان ممکن است از داخل صدا و سیما کمکی داشته باشند یا نشان دهنده همکاری ناشناخته بین گروه های مختلف با مهارت های مختلف باشد.

در همین حال، تقریباً دو هفته پس از وقوع حمله، اخبار وابسته به مجاهدین خلق گزارشی از وضعیت حمله منتشر کرد و مدعی شد که «شبکه‌های رادیویی و تلویزیونی رژیم به وضعیت عادی بازنگشته‌اند» و فهرست مفصلی از دستگاه‌های آسیب‌دیده را با این عبارت ارائه کردند. بیش از 600 سرور، تولید دیجیتال پیشرفته، آرشیو و پخش تجهیزات رادیویی و تلویزیونی از بین رفته و نرم افزار آنها آسیب دیده است. هیچ راهی برای تأیید این ادعاها برای ما وجود ندارد، اما اگر حداقل برخی از آنها درست باشد، میزان تخریب ناشی از وایپر و سایر ابزارهای مخربی که ما کشف کرده ایم (و آنهایی که هنوز ناشناخته هستند) فراتر از انتظارات است.

شرکت تاکیان مستقلا نمیتواند محتوای ارائه شده در گزارش ارائه شده توسط موسسه چک پوینت را تایید نماید و این متن صرفا ترجمه ای از خبر ارائه شده توسط شرکت چک پوینت است.