ابعاد آسیب به شبکههای تلویزیونی و رادیویی
احتمالاً جدیتر از آن چیزی است که بهطور رسمی گزارششده است
شرکت تحقیقات سایبری چک پوینت در گزارش مبسوط «پخش شیطانی: حمله به پخش کننده دولتی ایران» سلسله عملیاتی که به قطع شدن شبکه های رادیو و تلویزیونی رژیم و پخش شعارها و تصاویر رهبری مقاومت در شماری از شبکه های سراسری و رادیو تلویزیونی رژیم در روز ۷ بهمن منجر شده را از نظر فنی مورد بررسی قرار داده است.
شرکت چک پوینت (Check Point) که یک شرکت تحقیقات امنیت رایانهای است، درروز جمعه ۱۸فوریه۲۰۲۲(۲۹بهمن ۱۴۰۰) یک گزارش تحقیقاتی فنی را با عنوان کنایه آمیز «پخش شیطانی: حمله به پخش کننده دولتی ایران» را درباره بررسی حمله به شبکه های صدا و سیمای رژیم آخوندی در ۷ بهمن ۱۴۰۰ منتشر کرد. این گزارش کارشناسی در چند بخش این حمله را مورد بررسی قرار داده است.
در مقدمه این گزارش آمده: «این مقاله تحلیل تکنیکی عمیقی از یکی از حملات علیه شرکت رسانه ملی ایران، صدا و سیمای جمهوری اسلامی ایران که در اواخر ژانویه ۲۰۲۲ رخ داد، ارائه می کند.
در این گزارش تحت عنوان «یافته های کلیدی» آمده:
«در ۲۷ ژانویه، صدا و سیمای جمهوری اسلامی ایران مورد حمله سایبری هدفمند قرار گرفت که منجر به پخش تصاویری از رهبران اپوزیسیون ایران ازطریق چندین شبکه تلویزیونی دولتی و شعار مرگ بر ولی فقیه... شد. تیم تحقیقاتی Check Point این حمله را بررسی کرد و توانست فایلها و شواهد قانونی مربوط به این حادثه را از منابع عمومی بازیابی کند.
ما برنامههای اجرایی مخربی را پیدا کردیم که هدفشان پخش پیام اعتراض بود، علاوه بر این، شواهدی را کشف کردیم که نشان میدهد از یک افزار پاککننده استفاده شده است. این نشان میدهد که هدف مهاجمان همچنین اخلال در شبکههای پخش دولتی بوده است. گزارش شرکت چک پوینت می افزاید آسیب به شبکههای تلویزیونی و رادیویی در جریان این حملات احتمالاً جدیتر از آن چیزی است که رسما گزارش شده است.
در میان ابزارهای مورد استفاده در این حمله، ما بدافزاری را شناسایی کردیم که از صفحه نمایش قربانیان عکس می گیرد، چندین درب پشتی ساخته شده، و فرامین بچ مرتبط و سندهای تنظیم که برای نصب و تنظیم بدافزارهای مخرب استفاده می شود. ما نتوانستیم هیچ مدرکی مبنی بر استفاده از این ابزارها در گذشته پیدا کنیم یا آنها را منتسب به یک گروه هکری خاص کنیم. در این مقاله به بررسی تکنیکی ابزارهای مرتبط با حمله و همچنین تاکتیک های مهاجمان می پردازیم.»
بخش بعدی این گزارش تحت عنوان «پیشینه» به سوابق حملات سایبری به زیرساخت های رژیم میپردازد.
در ادامه همین بخش از گزارش درباره حمله به شبکه صدا و سیمای حکومت آخوندی آمده:
«در ۲۷ ژانویه، تنها دو هفته قبل از سالگرد انقلاب ۱۹۷۹، گزارش هایی مبنی بر هک شدن صدا و سیما، پخش شد. IRIB که «صدا و سیمای جمهوری اسلامی ایران » نیز نامیده میشود، یک شرکت انحصاری دولتی است که کلیه خدمات رادیویی و تلویزیونی رژیم ایران را بر عهده دارد. در جریان این حمله سایبری به شبکه های تلویزیونی دولتی آنچه را که مقامات رژیم «چهره و صدای مجاهدین» توصیف کردند، پخش شد..
«منافقین» اصطلاحی است که رژیم ایران برای اشاره به مجاهدین خلق استفاده می کنند. این سازمان مبارز بزرگترین گروه اپوزیسیون سیاسی ایران است که از سرنگونی رژیم کنونی حمایت میکند ....
در ویدئوی نفوذ داده شده، چهره مریم و مسعود رجوی رهبران مجاهدین خلق ظاهر شد و به دنبال آن تصویر خامنه ای که با خط قرمز خط خورده بود و شعار «درود بر رجوی، مرگ بر خامنه ای!» پخش شد.
رضا علیدادی معاون امور فنی صدا و سیما گفت: تنها صاحبان فناوری مورد استفاده این شرکت می توانستند با اتکا به ویژگی های سیستم نصب شده بر روی سیستم ها و درب پشتی مورد سوء استفاده، حمله ای را انجام دهند. ” وی همچنین اظهار داشت که حملات مشابه دیگر کانال های رادیویی دولتی را هدف قرار داده است.»
علی دادی: به نظر می آید که این اتفاقی که افتاده یک کار ساده ای نیست کار فوق العاده پیچیده ای است که به احتمال خیلی زیاد کسانی که صاحب این تکنولوژی هستند می تونندبهر حال از بک دورها بهره برداری بکنند و بتونند صدمه بزنند به زیر ساخت ها
در قسمت بعدی این گزارش تحقیقی با عنوان «تحقیقات درباره حمله به صدا و سیما» آمده است:
«به گزارش شبکه اطلاع رسانی دولتی ؛ به نقل از آخرین خبر ، «سیستم های فنی و پخش کاملا ایزوله، مجهز به پروتکل های امنیتی قابل قبول هستند و از طریق اینترنت قابل دسترسی نیستند». در همین گزارش آمده است که نیروهای امنیتی مرتبط با شبکه دولتی صدا و سیما، خرابکاری را محتمل ترین سناریو می دانند و مقامات رژیم ایران این حمله را «بسیار پیچیده» خوانده اند .هنوز مشخص نیست که مهاجمان چگونه به این شبکه ها دسترسی اولیه پیدا کرده اند.»
در ادامه این گزارش به بررسی فنی ابعاد مختلف این حمله حول محورهای «ربودن سیگنال های پخش » و «پاک کننده» و «درهای پشتی» و «ارتباط اسناد با حمله» میپردازد.
در بخش بعدی گزارش با عنوان «منتسبین به حمله » آمده:
«به نظر می رسد مقامات رژیم ایران مطمئن هستند که مجاهدین خلق در پشت این حمله قرار دارد و معاون امور فنی صدا و سیمای جمهوری اسلامی نیز همین ادعا را دارد. با این حال، خود گروه اپوزیسیون هرگونه دخالت را رد میکند و میگوید که «گروه تنها زمانی از این حادثه مطلع شده بود که اتفاق افتاد، اما هک ممکن است کار هواداران در ایران بوده باشد».
در بخشی از «نتیجه» این گزارش آمده: «به نظر می رسد که هکر ممکن است قابلیت های زیادی داشته باشد که هنوز کشف نشده است. از یک طرف، مهاجمان موفق شدند عملیات پیچیده ای را برای دور زدن سیستم های امنیتی و شبکه تفکیک شده و نفوذ به شبکه های پخش، تولید و اجرای ابزارهای مخربی که به شدت به اطلاعات داخلی نرم افزار پخش مورد استفاده قربانیان متکی هستند انجام دهند که همه زیر رادار در مراحل شناسایی و نفوذ اولیه قرار دارند.
از سوی دیگر، ابزارهای مهاجمان از کیفیت و پیچیدگی نسبتاً پایینی برخوردار هستند و توسط اسکریپتهای بی نظم و گاها فرامین ۳ خطی اشتباه انجام شده است. این ممکن است این نظریه را تقویت کند که مهاجمان ممکن است از داخل صدا و سیما کمک داشته باشند یا نشان دهنده همکاری ناشناخته بین گروه های مختلف با مهارت های مختلف باشد.
در همین حال، تقریباً دو هفته پس از وقوع این حمله، مجاهدین خلق با انتشار گزارشی از وضعیت این حمله مدعی شد که «شبکههای رادیویی و تلویزیونی رژیم به وضعیت عادی بازنگشتهاند» و فهرست مفصلی از دستگاههای آسیبدیده را با این بیانیه ارائه کردند. بیش از ۶۰۰ سرور، تولید دیجیتال پیشرفته، آرشیو و پخش تجهیزات رادیویی و تلویزیونی از بین رفته و نرم افزار آنها آسیب دیده است.
شرکت تحقیقات سایبری چک پوینت در پایان این گزارش نتیجه گیری کرده است:
هیچ راهی برای تأیید این ادعاها برای ما وجود ندارد، اما اگر حداقل برخی از آنها درست باشد، میزان تخریب ناشی از پاک کننده و سایر ابزارهای مخربی که ما کشف کرده ایم (و آنهایی که هنوز ناشناخته هستند) فراتر از انتظارات است.»