۱۴۰۰ اسفند ۲, دوشنبه

گزارش شرکت تحقیقات سایبری «چک پوینت» از ابعاد شگفت‌انگیز سلسله عملیات قطع شبکه‌های رادیو و تلویزیونی رژیم و پخش شعارها در روز ۷بهمن۱۴۰۰


                             گزارش شرکت تحقیقات سایبری «چک پوینت»

از ابعاد شگفت‌انگیز سلسله عملیات قطع

شبکه‌های رادیو و تلویزیونی رژیم و پخش شعارها

در روز ۷بهمن ۱۴۰۰



ابعاد آسیب به شبکه‌های تلویزیونی و رادیویی

احتمالاً جدی‌تر از آن چیزی است که به‌طور رسمی گزارش‌شده است

شرکت تحقیقات سایبری چک پوینت در گزارش مبسوط «پخش شیطانی: حمله به پخش کننده دولتی ایران» سلسله عملیاتی که به قطع شدن شبکه‌های رادیو و تلویزیونی رژیم و پخش شعارها و تصاویر رهبری مقاومت در شماری از شبکه‌های سراسری و رادیو تلویزیونی رژیم در روز ۷بهمن منجر شده را از نظر فنی مورد بررسی قرار داده است.

شرکت چک پوینت (Check Point) که یک شرکت تحقیقات امنیت رایانه‌ای است، در روز جمعه ۱۸فوریه۲۰۲۲ (۲۹بهمن ۱۴۰۰) یک گزارش تحقیقاتی فنی را با عنوان کنایه آمیز «پخش شیطانی: حمله به پخش کننده دولتی ایران» را درباره بررسی حمله به شبکه‌های صدا و سیمای رژیم آخوندی در ۷بهمن ۱۴۰۰ منتشر کرد. این گزارش کارشناسی در چند بخش این حمله را مورد بررسی قرار داده است.

در مقدمه این گزارش آمده: «این مقاله تحلیل تکنیکی عمیقی از یکی از حملات علیه شرکت رسانه ملی ایران، صدا و سیمای جمهوری اسلامی ایران که در اواخر ژانویه ۲۰۲۲ رخ داد، ارائه می‌کند.

در این گزارش تحت عنوان «یافته‌های کلیدی» آمده:

«در ۲۷ژانویه، صدا و سیمای جمهوری اسلامی ایران مورد حمله سایبری هدفمند قرار گرفت که منجر به پخش تصاویری از رهبران اپوزیسیون ایران از طریق چندین شبکه تلویزیونی دولتی و شعار مرگ بر ولی‌فقیه... شد. تیم تحقیقاتی Check Point این حمله را بررسی کرد و توانست فایل‌ها و شواهد قانونی مربوط به این حادثه را از منابع عمومی بازیابی کند.

ما برنامه‌های اجرایی مخربی را پیدا کردیم که هدفشان پخش پیام اعتراض بود، علاوه بر این، شواهدی را کشف کردیم که نشان می‌دهد از یک افزار پاک‌کننده استفاده شده است. این نشان می‌دهد که هدف مهاجمان هم‌چنین اخلال در شبکه‌های پخش دولتی بوده است. گزارش شرکت چک پوینت می‌افزاید آسیب به شبکه‌های تلویزیونی و رادیویی در جریان این حملات احتمالاً جدی‌تر از آن چیزی است که رسماً گزارش‌شده است.

در میان ابزارهای مورد استفاده در این حمله، ما بدافزاری را شناسایی کردیم که از صفحه نمایش قربانیان عکس می‌گیرد، چندین درب پشتی ساخته شده، و فرامین بچ مرتبط و سندهای تنظیم که برای نصب و تنظیم بدافزارهای مخرب استفاده می‌شود. ما نتوانستیم هیچ مدرکی مبنی بر استفاده از این ابزارها در گذشته پیدا کنیم یا آنها را منتسب به یک گروه هکری خاص کنیم. در این مقاله به بررسی تکنیکی ابزارهای مرتبط با حمله و هم‌چنین تاکتیکهای مهاجمان می‌پردازیم».

در بخش بعدی این گزارش تحت عنوان «پیشینه» به سوابق حملات سایبری به زیرساختهای رژیم می‌پردازد.


درادامه همین بخش ازگزارش درباره حمله به شبکه صداوسیمای حکومت آخوندی آمده:

«در ۲۷ژانویه، تنها دو هفته قبل از سالگرد انقلاب ۱۹۷۹، گزارشهایی مبنی بر هک شدن صدا و سیما، پخش شد. IRIB که «صدا و سیمای جمهوری اسلامی ایران» نیز نامیده می‌شود، یک شرکت انحصاری دولتی است که کلیه خدمات رادیویی و تلویزیونی رژیم ایران را بر عهده دارد. در جریان این حمله سایبری به شبکه‌های تلویزیونی دولتی آنچه را که مقامات رژیم «چهره و صدای مجاهدین» توصیف کردند، پخش شد. .

«منافقین» اصطلاحی است که رژیم ایران برای اشاره به مجاهدین خلق استفاده می‌کنند. این سازمان مبارز بزرگ‌ترین گروه اپوزیسیون سیاسی ایران است که از سرنگونی رژیم کنونی حمایت می‌کند در ویدئوی نفوذ داده شده، چهره مریم و مسعود رجوی رهبران مجاهدین خلق ظاهر شد و به‌دنبال آن تصویر خامنه‌ای که با خط قرمز خط خورده بود و شعار «درود بر رجوی، مرگ بر خامنه‌ای!» پخش شد.

رضا علیدادی معاون امور فنی صدا و سیما گفت: تنها صاحبان فناوری مورد استفاده این شرکت می‌توانستند با اتکا به ویژگیهای سیستم نصب شده بر روی سیستم‌ها و درب پشتی مورد سوء استفاده، حمله‌یی را انجام دهند. ”وی هم‌چنین اظهار داشت که حملات مشابه دیگر کانال‌های رادیویی دولتی را هدف قرار داده است».

در قسمت بعدی این گزارش تحقیقی با عنوان «تحقیقات درباره حمله به صدا و سیما» آمده است:

«به گزارش شبکه اطلاع‌رسانی دولتی؛ به‌نقل از آخرین خبر، «سیستم‌های فنی و پخش کاملاً ایزوله، مجهز به پروتکل‌های امنیتی قابل قبولی هستند و از طریق اینترنت قابل دسترسی نیستند». در همین گزارش آمده است که نیروهای امنیتی مرتبط با شبکه دولتی صدا و سیما، خرابکاری را محتمل ترین سناریو می‌دانند و مقامات رژیم ایران این حمله را «بسیار پیچیده» خوانده‌اند. هنوز مشخص نیست که مهاجمان چگونه به این شبکه‌ها دسترسی اولیه پیدا کرده‌اند».

در ادامه این گزارش به بررسی فنی ابعاد مختلف این حمله حول محورهای «ربودن سیگنال‌های پخش» و «پاک کننده» و «درهای پشتی» و «ارتباط اسناد با حمله» می‌پردازد.

در بخش بعدی گزارش با عنوان «منتسبین به حمله» آمده:

«به‌نظر می‌رسد مقامات رژیم ایران مطمئن هستند که مجاهدین خلق در پشت این حمله قرار دارد و معاون امور فنی صدا و سیمای جمهوری اسلامی نیز همین ادعا را دارد. با این حال، خود گروه اپوزیسیون هر گونه دخالت را رد می‌کند و می‌گوید که «گروه تنها زمانی از این حادثه مطلع شده بود که اتفاق افتاد، اما هک ممکن است کار هواداران در ایران بوده باشد».

در بخشی از «نتیجه» این گزارش آمده: «به‌نظر می‌رسد که هکر ممکن است قابلیتهای زیادی داشته باشد که هنوز کشف نشده است. از یک طرف، مهاجمان موفق شدند عملیات پیچیده‌ای را برای دور زدن سیستم‌های امنیتی و شبکه تفکیک شده و نفوذ به شبکه‌های پخش، تولید و اجرای ابزارهای مخربی که به‌شدت به اطلاعات داخلی نرم‌افزار پخش مورد استفاده قربانیان متکی هستند انجام دهند که همه زیر رادار در مراحل شناسایی و نفوذ اولیه قرار دارند.

از سوی دیگر، ابزارهای مهاجمان از کیفیت و پیچیدگی نسبتاً پایینی برخوردار هستند و توسط اسکریپت‌های بی‌نظم و گاها فرامین ۳ خطی اشتباه انجام شده است. این ممکن است این نظریه را تقویت کند که مهاجمان ممکن است از داخل صدا و سیما کمک داشته باشند یا نشان‌دهنده همکاری ناشناخته بین گروه‌های مختلف با مهارتهای مختلف باشد.

در همین حال، تقریباً دو هفته پس از وقوع این حمله، مجاهدین خلق با انتشار گزارشی از وضعیت این حمله مدعی شد که «شبکه‌های رادیویی و تلویزیونی رژیم به وضعیت عادی بازنگشته‌اند» و فهرست مفصلی از دستگاههای آسیب‌دیده را با این بیانیه ارائه کردند. بیش از ۶۰۰ سرور، تولید دیجیتال پیشرفته، آرشیو و پخش تجهیزات رادیویی و تلویزیونی از بین رفته و نرم‌افزار آنها آسیب دیده است.

شرکت تحقیقات سایبری چک پوینت در پایان این گزارش نتیجه‌گیری کرده است:

هیچ راهی برای تأیید این ادعاها برای ما وجود ندارد، اما اگر حداقل برخی از آنها درست باشد، میزان تخریب ناشی از پاک کننده و سایر ابزارهای مخربی که ما کشف کرده‌ایم (و آنهایی که هنوز ناشناخته هستند) فراتر از انتظارات است».