Το νέο file wiping malware που ονομάζεται Meteor ανακαλύφθηκε στις πρόσφατες επιθέσεις κατά του σιδηροδρομικού συστήματος του Ιράν.
Νωρίτερα αυτόν τον μήνα, το υπουργείο μεταφορών του Ιράν και το εθνικό σύστημα τρένων υπέστησαν κυβερνοεπίθεση, με αποτέλεσμα να κλείσουν οι ιστότοποι της υπηρεσίας και να διακοπεί η υπηρεσία τρένων.
Οι απειλητικοί φορείς εμφάνισαν επίσης μηνύματα στους πίνακες μηνυμάτων του σιδηροδρόμου αναφέροντας ότι τα δρομολόγια των τρένων καθυστέρησαν ή ακυρώθηκαν λόγω κυβερνοεπίθεσης.
Ορισμένα από αυτά τα μηνύματα είπαν στους επιβάτες να καλέσουν έναν αριθμό τηλεφώνου για περισσότερες πληροφορίες, ο οποίος είναι για το γραφείο του ανώτατου ηγέτη Ali Khamenei.
Εκτός από τη συρτή του σιδηροδρόμου, οι απειλητικοί παράγοντες κλειδώνουν τις συσκευές Windows στο δίκτυο με μια οθόνη κλειδώματος που εμπόδισε την πρόσβαση στη συσκευή.
Νέο Meteor wiper που χρησιμοποιείται στις επιθέσεις στο Ιράν
Σε μια νέα έκθεση του SentinelOne, ο ερευνητής ασφαλείας Juan Andres Guerrero-Saade αποκάλυψε ότι η κυβερνοεπίθεση στο Ιράν χρησιμοποίησε έναν μη ορατό file wiper που ονομάζεται Meteor.
Το wiper Meteor είναι malware που διαγράφει σκόπιμα αρχεία σε έναν υπολογιστή και προκαλεί την αδυναμία εκκίνησης του.
Σε αντίθεση με τις επιθέσεις ransomware, οι καταστροφικές επιθέσεις wiper δεν χρησιμοποιούνται για τη δημιουργία εσόδων για τους επιτιθέμενους. Αντίθετα, στόχος τους είναι να προκαλέσουν χάος για έναν οργανισμό ή να αποσπάσουν τους διαχειριστές ενώ πραγματοποιείται μια άλλη επίθεση.
Ενώ η ιρανική εταιρεία κυβερνοασφάλειας Aman Pardaz στο παρελθόν ανέλυσε το wiper, το SentinelOne θα μπορούσε να βρει επιπλέον components που λείπουν για να δώσει μια σαφέστερη εικόνα της επίθεσης.
Η ίδια η επίθεση ονομάζεται “MeteorExpress” και χρησιμοποιεί μια εργαλειοθήκη αρχείων batch και executables για να κάνει wipe ένα σύστημα, να κλειδώσει το Master Boot Record (MBR) της συσκευής και να εγκαταστήσει ένα screen locker.
Για να ξεκινήσει η επίθεση, οι απειλητικοί φορείς έναν extract ένα αρχείο RAR προστατευμένο με τον κωδικό πρόσβασης «hackemall». Στη συνέχεια, οι επιτιθέμενοι πρόσθεσαν αυτά τα αρχεία σε ένα κομμάτι δικτύου προσβάσιμο στους υπόλοιπους υπολογιστές στο δίκτυο του ιρανικού σιδηροδρόμου.
Στη συνέχεια, ο απειλητικός παράγοντας διαμόρφωσε τα Windows group policies για να ξεκινήσει ένα setup.bat batch file που στη συνέχεια θα αντιγράψει διάφορα εκτελέσιμα αρχεία και αρχεία batch στην τοπική συσκευή και θα τα εκτελέσει.
Όταν ολοκληρωθεί, η συσκευή θα είναι unbootable, το αρχείο της θα διαγραφεί και θα εγκατασταθεί ένα screen locker που θα εμφανίζει το ακόλουθο φόντο ταπετσαρίας πριν από την επανεκκίνηση του υπολογιστή για πρώτη φορά.
Πηγή πληροφοριών: bleepingcomputer.com, secnews.gr
sidirodromikanea