Meteor Wiper Malware

Meteor Wiper is, zoals de naam al doet vermoeden, een wiper-malware die is ontworpen om onomkeerbare schade aan geïnfecteerde computers te veroorzaken. Dergelijke dreigingen worden ingezet wanneer de dreigingsactor niet uit is op geldelijk gewin. In plaats daarvan is het doel om ofwel zoveel mogelijk verstoring van de activiteiten van het specifieke doelwit te veroorzaken of de wisseraanval te gebruiken als afleiding om het ware doel van de hackers te verbergen. Meteor wiper is een voorheen onbekende malware die werd ingezet als onderdeel van de cyberaanval op het Iraanse spoorwegsysteem.

De ontdekking van Meteor Wiper

De eerste analyse van de aanval leverde geen sporen op van de wisserdreiging. De dreigingsactor achter de hack is tot nu toe niet vastgesteld. Toch slaagden de cybercriminelen erin het Iraanse ministerie van Transport met succes te doorbreken en het treinsysteem van het land te verstoren. De aanvallers sloten de officiële website van het agentschap af en kondigden hun prestatie aan door een bericht over de cyberaanval op de prikborden van de spoorwegen weer te geven. In verschillende van de weergegeven berichten werden passagiers die meer informatie over het incident wilden krijgen, aangespoord om een telefoonnummer te bellen, waarvan werd vastgesteld dat het toebehoorde aan de Iraanse Opperste Leider Ali Khamenei. Op de achtergrond zorgde de hack er ook voor dat meerdere Windows-apparaten werden vergrendeld achter een vergrendelscherm dat de toegang tot de systemen blokkeerde.

De eerste die ontdekte dat er ook andere bedreigingen zoals Meteor Wiper werden ingezet, was het Iraanse cyberbeveiligingsbedrijf Aman Pardaz. Een rapport van SentinelOne en de onderzoeker Juan Andres Guerrero-Saade onthulde diepere informatie over de dreiging en verschillende nieuwe componenten die werden ontdekt.

De aanvalsketen

Voordat de Meteor Wiper werd ingezet, gebruikte de dreigingsactor verschillende uitvoerbare bestanden en batchbestanden die op elk gecompromitteerd apparaat werden afgeleverd en was hij belast met het voorbereiden van de lokale omgeving voor de uiteindelijke payloads. Eerst werd het systeem gescand op specifieke anti-malwareproducten die, indien gedetecteerd, vervolgens werden beëindigd. Vervolgens wordt het doelapparaat losgekoppeld van het netwerk. Om de vlotte werking van malwarebedreigingen te vergemakkelijken, zijn er uitsluitingen toegevoegd aan Windows Defender. Tijdens de volgende stap worden verschillende malware-payloads geëxtraheerd. Na het uitvoeren van verschillende aanvullende taken, zoals het wissen van de gebeurtenislogboeken van Windows en het leegmaken van de cache van het bestandssysteem naar de schijf, worden de laatste payloads gelanceerd. Deze omvatten de Meteor wiper geleverd als een bestand met de naam 'env.exe' of 'msapp.exe', een MBR (Master Boot Record) locker en een screen locker.