Una reciente investigación confirmó que el ciberataque contra los sistemas de la televisión estatal de Irán ocurrido a finales de enero estuvo relacionado con una variante de malware de eliminación (wiper), en conjunto con diversos backdoors, scripts y archivos de configuración empleados para ataques posteriores.
Investigadores de la firma de seguridad Check Point reportan que los actores de amenazas usaron esta variante de wiper malware para interrumpir las redes de transmisión de la televisión iraní, interrumpiendo considerablemente las actividades normales de la institución. Los expertos reconocen que no fue posible encontrar evidencia de uso previo de estas herramientas de malware o determinar el origen de la actividad maliciosa.
Durante el ataque, los actores de amenazas transmitieron imágenes de los líderes de la Organización Mujahedin-e-Khalq (MKO), Maryam y Massoud Rajavi, junto con la imagen del ayatolá Khamenei tachada con líneas rojas y con el mensaje “Muerte a Khamenei”.
Al respecto, el subdirector de la televisión estatal Ali Dadi mencionó que el ataque es extremadamente complejo e involucra el uso de sofisticadas variantes de hacking: “Interrupciones similares ocurrieron en Koran Channel, Radio Javan y Radio Payam, otros canales de radio y televisión estatales”.
Los expertos descubrieron dos muestras de .NET idénticas llamadas msdskint.exe, empleadas para eliminar archivos, unidades y el MBR en los dispositivos infectados. El malware también tiene la capacidad de borrar los registros de eventos de Windows, eliminar copias de seguridad, eliminar procesos y cambiar las contraseñas de los usuarios.
Además del malware wiper, los actores de amenazas usaron cuatro variantes de backdoor diferentes:
- WinScreeny: Capaz de tomar capturas de pantalla de los sistemas afectados
- HttpCallbackService: Herramienta de administración remota (RAT)
- HttpService: Backdoor de escucha en puertos específicos
- ServerLaunch: Un dropper de malware
Poco después de la emisión de este reporte, el grupo de hacktivismo Predatory Sparrow se atribuyó la responsabilidad de este ataque, además de los recientes ataques contra el sistema ferroviario, el ministerio de transporte y las gasolineras de Irán. Este mensaje fue emitido a través de un canal de Telegram.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
