Meteor Wiper Malware
Meteor Wiper, jak sama nazwa wskazuje, to malware typu wiper, którego celem jest powodowanie nieodwracalnych uszkodzeń zainfekowanych komputerów. Takie zagrożenia pojawiają się, gdy podmiotowi zagrażającemu nie zależy na żadnych korzyściach pieniężnych. Zamiast tego celem jest spowodowanie jak największego zakłócenia operacji określonego celu lub użycie ataku wycieraczek jako odwrócenia uwagi, aby ukryć prawdziwy cel hakerów. Meteor wiper to nieznane wcześniej szkodliwe oprogramowanie, które zostało wdrożone w ramach cyberataku na irański system kolejowy.
Odkrycie wycieraczki meteorytowej
Wstępna analiza ataku nie wykryła śladów zagrożenia wycieraczek. Czynnik zagrożenia stojący za włamaniem do tej pory nie został określony. Mimo to cyberprzestępcom udało się z powodzeniem włamać się do irańskiego ministerstwa transportu i zakłócić system kolejowy w kraju. Napastnicy zamknęli oficjalną stronę internetową agencji i ogłosili swoje osiągnięcie, wyświetlając komunikat o cyberataku na forach dyskusyjnych kolei. Kilka z wyświetlanych wiadomości zachęcało również pasażerów chcących uzyskać więcej informacji o incydencie, aby zadzwonili pod numer telefonu, który został określony jako należący do najwyższego przywódcy Iranu Alego Chameneiego. W tle włamanie spowodowało również zablokowanie wielu urządzeń z systemem Windows za ekranem blokady, który uniemożliwiał dostęp do systemów.
Jako pierwsza odkryła, że zastosowano również dodatkowe zagrożenia, takie jak Meteor Wiper, była irańska firma zajmująca się cyberbezpieczeństwem Aman Pardaz. Raport SentinelOne i badacza Juana Andresa Guerrero-Saade ujawnił głębsze informacje na temat zagrożenia i kilka nowych komponentów, które zostały odkryte.
Łańcuch Ataku
Przed wdrożeniem narzędzia Meteor Wiper cyberprzestępca użył kilku plików wykonywalnych i plików wsadowych, które zostały dostarczone do każdego zhakowanego urządzenia, a jego zadaniem było przygotowanie lokalnego środowiska na ostateczne ładunki. Najpierw system został przeskanowany w poszukiwaniu określonych produktów anty-malware, które w przypadku wykrycia zostały następnie usunięte. Następnie docelowe urządzenie jest odłączane od sieci. Aby ułatwić płynne działanie zagrożeń złośliwym oprogramowaniem, do Windows Defender dodawane są wyjątki. W następnym kroku wyodrębnionych zostanie kilka ładunków złośliwego oprogramowania. Po wykonaniu kilku dodatkowych zadań, takich jak wyczyszczenie dzienników zdarzeń systemu Windows i opróżnienie pamięci podręcznej systemu plików na dysk, uruchamiane są końcowe ładunki. Należą do nich wycieraczka Meteor dostarczana jako plik o nazwie „env.exe” lub „msapp.exe”, szafka MBR (Master Boot Record) i szafka na ekranie.
