در چند ماه گذشته، موج جدیدی از حملات سایبری ایران را فرا گرفته است. این حملات بههیچوجه به سادگی تخریب چهرهی وبسایتها نیستند؛ این موج جدید زیرساختهای ملی را هدف گرفته و اختلالاتی اساسی در خدمات عمومی ایجاد کرده است.
در این مقاله، یک تجزیهوتحلیل عمیق از یکی از این حملات به سازمان صداوسیمای جمهوری اسلامی ایران ارائه میشود که در اواخر ژانویه ۲۰۲۲ رخ داد.
یافتههای کلیدی در خصوص حمله سایبری به صدا و سیما
در ۲۷ ژانویه صداوسیمای ایران تحت تأثیر یک حملهی سایبری هدفمند قرار گرفت. تیم Check Point Research با بررسی این حمله توانست فایلها و شواهد جرمشناسانهی مربوط به حادثه را از منابعی که بهصورت عمومی قابل دسترسی هستند جمعآوری کند. این موسسه فایلهای قابل اجرایی را پیدا کرد که هدف از آنها پخش پیام اعتراضی بود و همچنین شواهدی از استفاده از یک بدافزار Wiper را نیز یافت. این امر نشان میدهد که هدف مهاجمان ایجاد اختلال در شبکههای پخش بوده است.
از جمله ابزاری که در حمله مورد استفاده قرار گرفته بود، بدافزاری شناسایی شد که تصاویری را از صفحات قربانیان ثبت میکند. همچنین Backdoorهای سفارشی و Batch Scriptها و فایلهای پیکربندی پیدا شد که برای نصب و پیکربندی فایلهای اجرایی مخرب مورد استفاده قرار گرفتند. هیچ شواهدی مبنی بر اینکه این ابزارها قبلاً مورد استفاده قرار گرفتهاند یا آنها را به عامل تهدید مشخصی نسبت دهد، پیدا نشد.
در این مقاله، یک تجزیهوتحلیل فنی از ابزار مرتبط به این حمله و همچنین تاکتیکهای مهاجم ارائه میگردد.
حملات سایبری در ایران
در جولای ۲۰۲۱، حملهای به راهآهن و ترابری ریلی ایران انجام شد که باعث اختلالاتی بیسابقه در قطارهای کشور گشت. فقط یک روز بعد، رسانهها گزارش دادند که وبسایت وزارت راه و شهرسازی در یک اختلال سایبری دچار قطعی شده و پورتال و زیرمجموعه خدمات آنها از دسترس خارج گردیده است. گروهی به نام گنجشک درنده که قبلاً ناشناخته بود، بهسرعت مسئولیت این حملات را بر عهده گرفت. موسسهی Check Point Research با بررسی این حملات و ابزارهای استفاده شده در آن به این نتیجه رسید که تاکتیکها و تکنیکهای مشابهی در عملیات قبلی در شرکتهای خصوصی در سوریه مورد استفاده قرار گرفتهاند که همهی آن حملات به یک گروه ضد حکومتی به نام Indra مرتبط بود.
از آن زمان به بعد حملات سایبری به نهادهای ایرانی ادامه دارد. با بررسی هدفها به نظر میرسد که هر یک از آنها به دقت انتخاب شده که پیامی با طراحی مشخص ارسال کند. در ماه اوت ۲۰۲۱ یک گروه هکتیویست به نام تپندگان که قبلاً در سال ۲۰۱۸ به هک کردن و نمایش پیامهای اعتراضی روی تابلوهای الکترونیکی پروازهای ورودی و خروجی در فرودگاههای بینالمللی مشهد و تبریز معروف شده بود، تصاویری از دوربینهای امنیتی از زندان اوین را منتشر کرد که توسط گروهی به نام عدالت علی تهیه شده بود. در اکتبر ۲۰۲۱، تمام پمپبنزینهای ایران توسط حملهای که فرایند پرداخت الکترونیکی را دچار اختلال کرد از کار افتادند. این حادثه منجر به صفهای بسیار طولانی در پمپبنزینها به مدت دو روز شد و طی این مدت مشتریان نتوانستند با کارت سوخت، هزینهی بنزین را پرداخت کنند. گنجشک درنده مسئولیت این حمله را نیز برعهده گرفت.
در نوامبر ۲۰۲۱، شرکت هواپیمایی ایرانی به نام ماهان ایر اعلام کرد که حملهای در مقابل سیستمهای داخلی خود را خنثی کرده و هیچ آسیبی ایجاد نشده است. جالبتوجه است که این بار گروهی به نام «هوشیاران وطن» مسئولیت این حمله را بر عهده گرفتند.
اخیراً در هفتم فوریه ۲۰۲۲، گروه عدالت علی تصاویری را از دوربینهای مداربستهی یک زندان ایرانی دیگر به نام قزلحصار منتشر کرد.
شکل ۱ – زمان آخرین حملات سایبری در ایران.
تجزیه و تحلیل فنی حمله به صدا و سیما
در ۲۷ ژانویه، فقط دو هفته قبل از سالگرد انقلاب اسلامی، گزارشاتی مبنی بر هک شدن صداوسیما منتشر شد. معاون امور فنی صداوسیما، رضا علیدادی بیان کرد که «فقط صاحبان تکنولوژی مورد استفادهی سازمان قادر به انجام حمله با تکیه بر ویژگیهای سیستم نصب شده بر روی سیستمها و Backdoorهای اکسپلویت شده هستند.» او همچنین بیان داشت که حملات مشابهی به کانالهای رادیویی نیز انجام شده است.
با اینکه این موضوع بخشی از این تحقیق و بررسی نیست، جا دارد اشاره شود که چند روز بعد، در یکم فوریه، تلوبیون نیز هک شد. این بار گروه عدالت علی که انگیزهی سیاسی دارد و مسئول حمله به دوربینهای امنیتی زندانها بوده است، مسئولیت حمله را برعهده گرفت. این ادعا محتمل است، زیرا ویدیویی که در حین هک پخش شد، لوگوی گروه را در قسمت بالا و چپ نمایش میداد.
هنوز مشخص نیست که مهاجمین چطور دسترسی اولیه به این شبکهها را بدست آوردند. فقط امکان دریافت فایلهای مرتبط با مراحل بعدی این حملات پیدا شد که مسئول موارد زیر بودند:
- ایجاد Backdoorها و ماندگاری آنها
- پخش کردن ویدئو یا صوت «مخرب»
- نصب بدافزار Wiper جهت اختلال در فعالیت شبکههای هک شده
تمام این نمونهها از چندین منبع در VirusTotal یا VT آپلود شد که اکثرا از طریق IPهای ایران بوده است و حاوی اسکریپتهای Batch کوتاهی که Payloadها را نصب و اجرا میکنند، چندین Artifact جرمشناسی مثل فایلهای Windows Event Log یا Memory Dumpها و خودِ Payloadها بوده است. Payloadها اکثرا فایلهای قابلاجرای NET. هستند، بدون هیچ مبهمسازی اما با مهرزمانیِ یک تاریخ گردآوری در آینده. این فایلها علاوه بر داشتن زبان یکسان و ارسالکنندگان یکسان به VT دارای شباهتهای دیگری نیز هستند، مثلا مسیرهای PDB، دستورات متداول، نامها، استفاده مجدد از کد و شیوهی کلی کدگذاری.
سرقت سیگنالهای پخش توسط مهاجمین
از فایل ویدئویی MP4 که برای ایجاد اختلال در پخش تلویزیونی مورد استفاده قرار گرفته بود و تحت عنوان TSE_90E11.mp4 در VT آپلود شده بود، میتوان به Artifactهای دیگری رسید که مرتبط به سرقت سیگنال پخش هستند و ظاهرا روی سرورهایی اجرا میشوند که برنامههای تلویزیونی را پخش میکنند. برای پخش فایل ویدئویی، مهاجمین از برنامهای به نام SimplePlayout.exe استفاده کردند که یک فایل قابلاجرای مبتنی بر NET. است و در حالت Debug با مسیر PDB زیر جمعآوری شده بود: c:\work\SimplePlayout\obj\Debug\SimplePlayout.pdb. این فایل دارای یک عملکرد واحد است: پخش فایل ویدئو در یک چرخه با استفاده از NET. MPlatform SDK ساختهی شرکت Medialooks.
شکل ۲ – بخشی از کد SimplePlayout که برای پخش فایل ویدئویی از MPlatform SDK استفاده میکند.
در ابتدا، برنامه SimplePlayout به دنبال یک فایل پیکربندی میگردد که SimplePlayout.ini نام دارد و حاوی دو خط است: مسیر فایل ویدئویی و شمارهای که نشاندهندهی فرمت ویدئو است. فایل SimplePlayout.ini که همراه با SimplePlayout آپلود شده است، مقادیری را مشخص میکند که با فایل MP4ی که در مسیر c:\windows\temp\TSE_90E11.mp4 قرار دارد و یک فرمت ویدئویی HD 1080i با نرخ بروزرسانی ۵۰ Hz تطبیق دارند.
مهاجمین برای قطع کردن ویدئویی که از قبل در حال پخش بود از یک اسکریپت Batch به نام playjfalcfgcdq.bat استفاده کردند. این اسکریپت فرایند در حال اجرا را قطع کرده و فایل قابل اجرای TFI Arista Playout Server را حذف میکند، این فایل نرمافزاری است که صدا و سیما برای پخش از آن استفاده مینماید؛ سپس این اسکریپت درایور Matrox DSX را حذف میکند که بخشی از نرمافزاری برای پردازش رسانه در زیرساخت پخش مجازیسازیشده است.
برای ترکیب کردن تمام اجزای مخرب، اسکریپت دیگری به نام layoutabcpxtveni.bat چندین کار را انجام میدهد:
- نام ویدئوی MP4 که در مسیر c:\windows\temp\TSE_90E11.003 قرار دارد را به TSE_90E11.mp4 تغییر میدهد. این فایل احتمالا توسط یکی از Backdoorها آنجا قرار داده شده است.
- فرایند QTV.CG.Server.exe را قطع میکند که احتمالا بخشی از نرمافزار پخش Autocue QTV است و سرور اصلی که در مسیر D:\CG 1400\QTV.CG.Server.exe قرار دارد را با SimplePlayout بازنویسی میکند؛ این ابزار توسط مهاجمین برای پخش ویدئو مورد استفاده قرار میگیرد.
- در همان دایرکتوری که QTV.CG.Server.exe قرار دارد، فایل c:\windows\SimplePlayout.exe را در SimplePlayout.ini کپی میکند. حداقل این نمونه از اسکریپت Batch حاوی یک اشتباه تایپی است، زیرا احتمالا مهاجمین میخواستند SimplePlayout.ini را کنار فایل قابلاجرای مخرب کپی کنند.
- SimplePlayout.exe را هم از مکان ابتدایی و هم جایگزین اجرا میکند.
در مجموعهی دیگری از Artifactهای مرتبطی که کشف شدهاند، مهاجمین از فایل WAV استفاده کردند که حاوی یک فایلی صوتی ۲۵ ثانیهای با عنوان TSE_90E11.001 بود که مشابه نام فایل MP4 مورد استفاده در سرقت پخش تلویزیونی بود. یک فایل قابلاجرا با نام Avar.exe بر مبنای NAudio است که یک کتابخانهی صوتی متن باز مبتنی بر NET. بوده و مسئول اجرای فایل WAV است. Avar.exe بر خلافSimplePlayout.exe روی فایل پیکربندی حساب نمیکند. بلکه حاوی مسیر به فایل WAV است که بهصورت C:\windows\temp\TSE_90E11.001 هاردکد شده است. فایل Avar.exe، پس از اجرا شدن سعی میکند که تمام دستگاههای صوتی فعال را بشمارد و فایل WAV را روی هر یک از آنها پخش کند.
در نهایت یک اسکریپت Batch به نام avapweiguyyyw.bat قطعات را کنار هم قرار میدهد. این اسکریپت فرایندی به نام ava.exe را قطع کرده و فایل قابلاجرا در مسیر C:\Program Files\MIT\AVA\ava.exe را با Avar.exe جایگزین میکند. استفاده از نام Ava در فایلها و پوشهها میتواند نشان دهد که هدف این فایلها رادیو آوا از صدا و سیما بوده است، هرچند رسما تایید نشده است که این رادیو هم تحت تاثیر این حمله قرار گرفته باشد.
منبع:
https://research.checkpoint.com/2022/evilplayout-attack-against-irans-state-broadcaster