Атака на железную дорогу Ирана была осуществлена с использованием вайпера, а не вымогателя

Атака на железную дорогу Ирана была осуществлена с использованием вайпера, а не вымогателя

Инцидент с иранской железной дорогой является первым случаем применения Meteor.

Кибератака, ранее в этом месяце парализовавшая работу железной дороги в Иране, была осуществлена с использованием не вымогательского ПО, как предполагалось ранее, а вайпера Meteor, стирающего все хранящиеся в системе данные.

Как сообщил старший исследователь ИБ-компании SentinelOne Хуан Андрес Герреро-Сааде (Juan Andres Guerrero-Saade), инцидент с иранской железной дорогой является первым случаем применения Meteor, и специалистам пока не удалось связать его с какой-либо известной киберпреступной группировкой.

По результатам анализа исследователей SentinelOne, Meteor является одним из трех инструментов, использовавшихся в атаке на иранскую железную дорогу 9 июля, получившей кодовое название MeteorExpress. В ходе атаки использовались:

  • Вредоносное ПО Meteor, стирающее файловую систему инфицированного компьютера;

  • Файл mssetup.exe, играющий роль блокировщика экрана, которыми раньше пользовались кибервымогатели для блокировки пользователям доступа к содержимому их компьютеров;

  • Файл nti.exe, переписывающий главную загрузочную запись (MBR) на компьютере жертвы.

Герреро-Сааде не уточнил, как и откуда началась атака, но сообщил, что, оказавшись внутри атакуемой сети, злоумышленники использовали групповые политики для развертывания вредоносного ПО, удалили теневые копии в целях предотвращения восстановления данных и отключили зараженные хосты от их локального контроллера домена, чтобы системные администраторы не могли незамедлительно предпринять соответствующие меры.

По завершении атаки все данные на компьютере были удалены, а на экране появлялось уведомление, предлагавшее жертве позвонить в администрацию главы Ирана Али Хаменеи. Хотя атака выглядит как злая шутка над иранским правительством, использовавшийся в ней вайпер далеко не шуточный.

По словам Герреро-Сааде, все использовавшиеся в ходе атаки инструменты представляют собой «дикую смесь кастомного кода», включающую в себя компоненты с открытым исходным кодом, древнее ПО и написанные с нуля компоненты, «изобилующие проверками работоспособности, проверкой ошибок и избыточностью в достижении своих целей».

Хотя некоторые части вайпера, по-видимому, были написаны опытным и профессиональным разработчиком, неорганизованный характер атаки MeteorExpress может указывать на то, что и сам Meteor, и вся операция могли быть выполнены в спешке несколькими командами.

SOC как супергерой: не спит, не ест, следит за безопасностью!

И мы тоже не спим, чтобы держать вас в курсе всех угроз

Подключитесь к экспертному сообществу!