La emisora estatal iraní, IRIB, afectada por el destructivo malware Wiper

Publicado por: Manuel Abreu Ortiz - social@manuelabreuo.com

Una investigación sobre el ciberataque dirigido a la corporación nacional de medios de comunicación iraní, Islamic Republic of Iran Broadcasting (IRIB), a finales de enero de 2022, dio como resultado el despliegue de un malware wiper y otros implantes personalizados, mientras la infraestructura nacional del país sigue enfrentándose a una ola de ataques destinados a infligir graves daños.

“Esto indica que el objetivo de los atacantes era también interrumpir las redes de radiodifusión del Estado, con el daño a las redes de televisión y radio posiblemente más grave de lo que se informó oficialmente”, dijo la firma de ciberseguridad Check Point, con sede en Tel Aviv, en un informe publicado la semana pasada.

El ataque de 10 segundos, que tuvo lugar el 27 de enero, supuso la violación de la emisora estatal IRIB para emitir imágenes de los líderes de la Organización Mujahedin-e-Khalq (MKO), Maryam y Massoud Rajavi, junto con un llamamiento al asesinato del líder supremo, el ayatolá Ali Khamenei.

En el transcurso del hackeo también se desplegó un malware a medida capaz de realizar capturas de pantalla de las víctimas, así como puertas traseras, scripts por lotes y archivos de configuración utilizados para instalar y configurar los ejecutables maliciosos.

Check Point dijo que no tenía suficiente evidencia para hacer una atribución formal a un actor de amenaza específico, y actualmente no se sabe cómo los atacantes obtuvieron el acceso inicial a las redes de destino. Los artefactos descubiertos hasta ahora incluyen archivos responsables de

La intrusión también allanó el camino para la instalación de un limpiador cuyo objetivo principal es corromper los archivos almacenados en el ordenador, además de borrar el registro de arranque maestro (MBR), borrar los registros de eventos de Windows, eliminar las copias de seguridad, matar procesos y cambiar las contraseñas de los usuarios.

Además, el actor de la amenaza aprovechó cuatro puertas traseras en el ataque: WinScreeny, HttpCallbackService, HttpService y ServerLaunch, un dropper lanzado con HttpService. En conjunto, las diferentes piezas de malware permitían al adversario capturar pantallas, recibir comandos de un servidor remoto y realizar otras actividades maliciosas.

Traducción realizada con la versión gratuita del traductor www.DeepL.com/Translator

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *