去年7月底，伊朗遭受一場(chǎng)網(wǎng)絡(luò)攻擊使伊朗交通部及其國(guó)家鐵路系統(tǒng)的癱瘓，導(dǎo)致火車服務(wù)大范圍中斷，據(jù)報(bào)道是一種前所未見的可重復(fù)使用的擦除器惡意軟件“Meteor”的結(jié)果。

去年10底，伊朗再次遭受網(wǎng)絡(luò)攻擊，導(dǎo)致全國(guó)各地的加油站癱瘓，擾亂了燃料銷售，并破壞了電子廣告牌，以顯示挑戰(zhàn)其政權(quán)分配汽油能力的信息。

剛剛步入2022年，伊朗再次遭受網(wǎng)絡(luò)攻擊。對(duì) 2022 年 1 月下旬針對(duì)伊朗國(guó)家媒體公司伊朗伊斯蘭共和國(guó)廣播公司 (IRIB) 的網(wǎng)絡(luò)攻擊的調(diào)查導(dǎo)致部署了擦除惡意軟件和其他自定義植入程序，因?yàn)樵搰?guó)的國(guó)家基礎(chǔ)設(shè)施繼續(xù)面臨一波針對(duì)目標(biāo)的攻擊在造成嚴(yán)重?fù)p害時(shí)。

總部位于特拉維夫的網(wǎng)絡(luò)安全公司 Check Point 在上周發(fā)布的一份報(bào)告中表示：表明攻擊者的目標(biāo)也是破壞該州的廣播網(wǎng)絡(luò)，對(duì)電視和廣播網(wǎng)絡(luò)的破壞可能比官方報(bào)道的更為嚴(yán)重。

1 月 27 日發(fā)生的 10 秒襲擊涉及違反國(guó)家廣播公司 IRIB 播放圣戰(zhàn)者組織 ( MKO ) 領(lǐng)導(dǎo)人 Maryam 和 Massoud Rajavi 的照片，同時(shí)呼吁暗殺最高領(lǐng)導(dǎo)人 Ayatollah Ali哈梅內(nèi)伊。

IRIB 副主任 Ali Dadi對(duì)國(guó)家電視頻道 IRINN 認(rèn)為這是一種極其復(fù)雜的攻擊，只有擁有這項(xiàng)技術(shù)的人才能利用和破壞系統(tǒng)上安裝的后門和功能。在黑客攻擊過程中還部署了定制的惡意軟件，能夠截取受害者的屏幕截圖，以及用于安裝和配置惡意可執(zhí)行文件的后門、批處理腳本和配置文件。

Check Point 表示，沒有足夠的證據(jù)來正式歸因于特定的威脅行為者，目前尚不清楚攻擊者是如何獲得對(duì)目標(biāo)網(wǎng)絡(luò)的初始訪問權(quán)限的。迄今為止發(fā)現(xiàn)的證據(jù)包括負(fù)責(zé)

• 建立后門及其持久性，
• 啟動(dòng)“惡意”視頻和音頻文件，以及
• 安裝wiper惡意軟件以試圖破壞被黑網(wǎng)絡(luò)中的操作。

在幕后，攻擊涉及使用批處理腳本中斷視頻流，以刪除與 IRIB 使用的廣播軟件 TFI Arista Playout Server 相關(guān)的可執(zhí)行文件，并循環(huán)播放視頻文件(“TSE_90E11.mp4”)。

入侵還為安裝擦除器鋪平了道路，擦除器的主要目的是破壞存儲(chǔ)在計(jì)算機(jī)中的文件，更不用說擦除主引導(dǎo)記錄 ( MBR )、清除 Windows 事件日志、刪除備份、終止進(jìn)程和更改用戶的密碼。

此外，攻擊者在攻擊中利用四個(gè)后門：WinScreeny、HttpCallbackService、HttpService 和 ServerLaunch，這是一個(gè)使用 HttpService 啟動(dòng)的 dropper。綜合起來，不同的惡意軟件使攻擊者能夠捕獲屏幕截圖、從遠(yuǎn)程服務(wù)器接收命令并執(zhí)行其他惡意活動(dòng)。

一方面，攻擊者設(shè)法完成了一項(xiàng)復(fù)雜的操作，繞過安全系統(tǒng)和網(wǎng)絡(luò)分段，滲透到廣播公司的網(wǎng)絡(luò)，生產(chǎn)和運(yùn)行嚴(yán)重依賴受害者使用的廣播軟件的內(nèi)部知識(shí)的惡意工具，同時(shí)保持在偵察和初始入侵階段處于雷達(dá)之下。另一方面，攻擊者的工具質(zhì)量和復(fù)雜程度相對(duì)較低，并且是由笨拙且有時(shí)有錯(cuò)誤的 3 行批處理腳本啟動(dòng)的。這可能支持攻擊者可能從 IRIB 內(nèi)部獲得幫助的理論，或者表明具有不同技能的不同群體之間存在未知的合作。