Meteor Wiper Malware
उल्का वाइपर, जैसा कि इसके नाम से पता चलता है, एक वाइपर मैलवेयर है जिसे संक्रमित कंप्यूटरों को अपरिवर्तनीय क्षति पहुंचाने के लिए डिज़ाइन किया गया है। इस तरह की धमकियाँ तब तैनात की जाती हैं जब धमकी देने वाला अभिनेता किसी मौद्रिक लाभ के लिए नहीं होता है। इसके बजाय, लक्ष्य या तो विशिष्ट लक्ष्य के संचालन में अधिक से अधिक व्यवधान पैदा करना है या हैकर्स के वास्तविक लक्ष्य को छिपाने के लिए वाइपर हमले का उपयोग व्याकुलता के रूप में करना है। उल्का वाइपर एक पूर्व अज्ञात मैलवेयर है जिसे ईरान की रेलवे प्रणाली के खिलाफ साइबर हमले के हिस्से के रूप में तैनात किया गया था।
उल्का वाइपर की खोज
हमले के प्रारंभिक विश्लेषण में वाइपर खतरे के निशान नहीं मिले। हैक के पीछे का खतरा अभिनेता अभी तक निर्धारित नहीं किया गया है। फिर भी, साइबर अपराधियों ने ईरान के परिवहन मंत्रालय को सफलतापूर्वक भंग करने और देश की ट्रेन प्रणाली को बाधित करने में कामयाबी हासिल की। हमलावरों ने एजेंसी की आधिकारिक वेबसाइट को बंद कर दिया और रेलवे के संदेश बोर्डों पर साइबर हमले के बारे में एक संदेश प्रदर्शित करके अपनी उपलब्धि की घोषणा की। प्रदर्शित संदेशों में से कई ने उन यात्रियों से भी आग्रह किया जो घटना के बारे में अधिक जानकारी प्राप्त करना चाहते हैं, एक फोन नंबर पर कॉल करें, जो ईरान के सर्वोच्च नेता अली खामेनेई से संबंधित था। पृष्ठभूमि में, हैक के परिणामस्वरूप कई विंडोज़ डिवाइस लॉक स्क्रीन के पीछे लॉक हो गए जो सिस्टम तक पहुंच को रोक दिया।
सबसे पहले पता चला कि उल्का वाइपर जैसे अतिरिक्त खतरों को भी तैनात किया गया था, ईरानी साइबर सुरक्षा फर्म अमन परदाज़ थे। SentinelOne और शोधकर्ता जुआन एंड्रेस ग्युरेरो-साडे की एक रिपोर्ट ने खतरे और कई नए घटकों के बारे में गहन जानकारी का खुलासा किया, जिन्हें उजागर किया गया था।
हमले की श्रृंखला
उल्का वाइपर को तैनात करने से पहले, खतरे के अभिनेता ने कई निष्पादन योग्य और बैच फ़ाइलों का उपयोग किया जो प्रत्येक समझौता किए गए डिवाइस पर वितरित किए गए थे और अंतिम पेलोड के लिए स्थानीय वातावरण तैयार करने का काम सौंपा गया था। सबसे पहले, सिस्टम को विशिष्ट एंटी-मैलवेयर उत्पादों के लिए स्कैन किया गया था, यदि पता चला, तो बाद में समाप्त कर दिया गया। फिर, लक्षित डिवाइस को नेटवर्क से डिस्कनेक्ट कर दिया जाता है। मैलवेयर खतरों के सुचारू संचालन की सुविधा के लिए, विंडोज डिफेंडर में बहिष्करण जोड़े जाते हैं। अगले चरण के दौरान, कई मैलवेयर पेलोड निकाले जाते हैं। कई अतिरिक्त कार्य करने के बाद, जैसे कि विंडोज इवेंट लॉग को साफ करना और फाइल सिस्टम कैश को डिस्क पर फ्लश करना, अंतिम पेलोड लॉन्च किया जाता है। इनमें 'env.exe' या 'msapp.exe' नाम की फाइल के रूप में दिया गया उल्का वाइपर, एक MBR (मास्टर बूट रिकॉर्ड) लॉकर और एक स्क्रीन लॉकर शामिल हैं।
