گزارش شرکت تحقیقات سایبری «چک پوینت»
از ابعاد شگفتانگیز سلسله عملیات قطع
شبکههای رادیو و تلویزیونی رژیم و پخش شعارها
در روز ۷بهمن ۱۴۰۰
ابعاد آسیب به شبکههای تلویزیونی و رادیویی
احتمالاً جدیتر از آن چیزی است که بهطور رسمی گزارششده است
شرکت چک پوینت (Check Point) که یک شرکت تحقیقات امنیت رایانهای است، در روز جمعه ۱۸فوریه۲۰۲۲ (۲۹بهمن ۱۴۰۰) یک گزارش تحقیقاتی فنی را با عنوان کنایه آمیز «پخش شیطانی: حمله به پخش کننده دولتی ایران» را درباره بررسی حمله به شبکههای صدا و سیمای رژیم آخوندی در ۷بهمن ۱۴۰۰ منتشر کرد. این گزارش کارشناسی در چند بخش این حمله را مورد بررسی قرار داده است.
در مقدمه این گزارش آمده: «این مقاله تحلیل تکنیکی عمیقی از یکی از حملات علیه شرکت رسانه ملی ایران، صدا و سیمای جمهوری اسلامی ایران که در اواخر ژانویه ۲۰۲۲ رخ داد، ارائه میکند.
در این گزارش تحت عنوان «یافتههای کلیدی» آمده:
«در ۲۷ژانویه، صدا و سیمای جمهوری اسلامی ایران مورد حمله سایبری هدفمند قرار گرفت که منجر به پخش تصاویری از رهبران اپوزیسیون ایران از طریق چندین شبکه تلویزیونی دولتی و شعار مرگ بر ولیفقیه... شد. تیم تحقیقاتی Check Point این حمله را بررسی کرد و توانست فایلها و شواهد قانونی مربوط به این حادثه را از منابع عمومی بازیابی کند.
ما برنامههای اجرایی مخربی را پیدا کردیم که هدفشان پخش پیام اعتراض بود، علاوه بر این، شواهدی را کشف کردیم که نشان میدهد از یک افزار پاککننده استفاده شده است. این نشان میدهد که هدف مهاجمان همچنین اخلال در شبکههای پخش دولتی بوده است. گزارش شرکت چک پوینت میافزاید آسیب به شبکههای تلویزیونی و رادیویی در جریان این حملات احتمالاً جدیتر از آن چیزی است که رسماً گزارششده است.
در میان ابزارهای مورد استفاده در این حمله، ما بدافزاری را شناسایی کردیم که از صفحه نمایش قربانیان عکس میگیرد، چندین درب پشتی ساخته شده، و فرامین بچ مرتبط و سندهای تنظیم که برای نصب و تنظیم بدافزارهای مخرب استفاده میشود. ما نتوانستیم هیچ مدرکی مبنی بر استفاده از این ابزارها در گذشته پیدا کنیم یا آنها را منتسب به یک گروه هکری خاص کنیم. در این مقاله به بررسی تکنیکی ابزارهای مرتبط با حمله و همچنین تاکتیکهای مهاجمان میپردازیم».
در بخش بعدی این گزارش تحت عنوان «پیشینه» به سوابق حملات سایبری به زیرساختهای رژیم میپردازد.
درادامه همین بخش ازگزارش درباره حمله به شبکه صداوسیمای حکومت آخوندی آمده:
«در ۲۷ژانویه، تنها دو هفته قبل از سالگرد انقلاب ۱۹۷۹، گزارشهایی مبنی بر هک شدن صدا و سیما، پخش شد. IRIB که «صدا و سیمای جمهوری اسلامی ایران» نیز نامیده میشود، یک شرکت انحصاری دولتی است که کلیه خدمات رادیویی و تلویزیونی رژیم ایران را بر عهده دارد. در جریان این حمله سایبری به شبکههای تلویزیونی دولتی آنچه را که مقامات رژیم «چهره و صدای مجاهدین» توصیف کردند، پخش شد. .
«منافقین» اصطلاحی است که رژیم ایران برای اشاره به مجاهدین خلق استفاده میکنند. این سازمان مبارز بزرگترین گروه اپوزیسیون سیاسی ایران است که از سرنگونی رژیم کنونی حمایت میکند در ویدئوی نفوذ داده شده، چهره مریم و مسعود رجوی رهبران مجاهدین خلق ظاهر شد و بهدنبال آن تصویر خامنهای که با خط قرمز خط خورده بود و شعار «درود بر رجوی، مرگ بر خامنهای!» پخش شد.
رضا علیدادی معاون امور فنی صدا و سیما گفت: تنها صاحبان فناوری مورد استفاده این شرکت میتوانستند با اتکا به ویژگیهای سیستم نصب شده بر روی سیستمها و درب پشتی مورد سوء استفاده، حملهیی را انجام دهند. ”وی همچنین اظهار داشت که حملات مشابه دیگر کانالهای رادیویی دولتی را هدف قرار داده است».
در قسمت بعدی این گزارش تحقیقی با عنوان «تحقیقات درباره حمله به صدا و سیما» آمده است:
«به گزارش شبکه اطلاعرسانی دولتی؛ بهنقل از آخرین خبر، «سیستمهای فنی و پخش کاملاً ایزوله، مجهز به پروتکلهای امنیتی قابل قبولی هستند و از طریق اینترنت قابل دسترسی نیستند». در همین گزارش آمده است که نیروهای امنیتی مرتبط با شبکه دولتی صدا و سیما، خرابکاری را محتمل ترین سناریو میدانند و مقامات رژیم ایران این حمله را «بسیار پیچیده» خواندهاند. هنوز مشخص نیست که مهاجمان چگونه به این شبکهها دسترسی اولیه پیدا کردهاند».
در ادامه این گزارش به بررسی فنی ابعاد مختلف این حمله حول محورهای «ربودن سیگنالهای پخش» و «پاک کننده» و «درهای پشتی» و «ارتباط اسناد با حمله» میپردازد.
در بخش بعدی گزارش با عنوان «منتسبین به حمله» آمده:
«بهنظر میرسد مقامات رژیم ایران مطمئن هستند که مجاهدین خلق در پشت این حمله قرار دارد و معاون امور فنی صدا و سیمای جمهوری اسلامی نیز همین ادعا را دارد. با این حال، خود گروه اپوزیسیون هر گونه دخالت را رد میکند و میگوید که «گروه تنها زمانی از این حادثه مطلع شده بود که اتفاق افتاد، اما هک ممکن است کار هواداران در ایران بوده باشد».
در بخشی از «نتیجه» این گزارش آمده: «بهنظر میرسد که هکر ممکن است قابلیتهای زیادی داشته باشد که هنوز کشف نشده است. از یک طرف، مهاجمان موفق شدند عملیات پیچیدهای را برای دور زدن سیستمهای امنیتی و شبکه تفکیک شده و نفوذ به شبکههای پخش، تولید و اجرای ابزارهای مخربی که بهشدت به اطلاعات داخلی نرمافزار پخش مورد استفاده قربانیان متکی هستند انجام دهند که همه زیر رادار در مراحل شناسایی و نفوذ اولیه قرار دارند.
از سوی دیگر، ابزارهای مهاجمان از کیفیت و پیچیدگی نسبتاً پایینی برخوردار هستند و توسط اسکریپتهای بینظم و گاها فرامین ۳ خطی اشتباه انجام شده است. این ممکن است این نظریه را تقویت کند که مهاجمان ممکن است از داخل صدا و سیما کمک داشته باشند یا نشاندهنده همکاری ناشناخته بین گروههای مختلف با مهارتهای مختلف باشد.
در همین حال، تقریباً دو هفته پس از وقوع این حمله، مجاهدین خلق با انتشار گزارشی از وضعیت این حمله مدعی شد که «شبکههای رادیویی و تلویزیونی رژیم به وضعیت عادی بازنگشتهاند» و فهرست مفصلی از دستگاههای آسیبدیده را با این بیانیه ارائه کردند. بیش از ۶۰۰ سرور، تولید دیجیتال پیشرفته، آرشیو و پخش تجهیزات رادیویی و تلویزیونی از بین رفته و نرمافزار آنها آسیب دیده است.
شرکت تحقیقات سایبری چک پوینت در پایان این گزارش نتیجهگیری کرده است:
هیچ راهی برای تأیید این ادعاها برای ما وجود ندارد، اما اگر حداقل برخی از آنها درست باشد، میزان تخریب ناشی از پاک کننده و سایر ابزارهای مخربی که ما کشف کردهایم (و آنهایی که هنوز ناشناخته هستند) فراتر از انتظارات است».