Вредоносное ПО Meteor Wiper

Meteor Wiper, как следует из названия, представляет собой вредоносное ПО, предназначенное для необратимого повреждения зараженных компьютеров. Такие угрозы возникают, когда злоумышленник не преследует никаких денежных выгод. Вместо этого цель состоит в том, чтобы либо вызвать столько же сбоев в работе конкретной цели, либо использовать атаку вайпера в качестве отвлечения, чтобы скрыть истинную цель хакеров. Meteor wiper - это ранее неизвестное вредоносное ПО, которое было развернуто в рамках кибератаки на железнодорожную систему Ирана.

Открытие метеоритного стеклоочистителя

Первоначальный анализ атаки не обнаружил следов угрозы вайпера. Автор угрозы, стоящей за взломом, до сих пор не определен. Тем не менее, злоумышленникам удалось успешно взломать министерство транспорта Ирана и нарушить работу железнодорожной системы страны. Злоумышленники закрыли официальный сайт агентства и объявили о своем достижении, разместив сообщение о кибератаке на досках сообщений железной дороги. Некоторые из отображаемых сообщений также призывали пассажиров, желающих получить дополнительную информацию об инциденте, позвонить по номеру телефона, который, как было установлено, принадлежит верховному лидеру Ирана Али Хаменеи. В фоновом режиме взлом также привел к тому, что несколько устройств Windows были заблокированы за экраном блокировки, который закрыл доступ к системам.

Первой, кто обнаружил, что были развернуты дополнительные угрозы, такие как Meteor Wiper, была иранская фирма по кибербезопасности Aman Pardaz. Отчет SentinelOne и исследователя Хуана Андреса Герреро-Сааде раскрыл более глубокую информацию об угрозе и нескольких новых компонентах, которые были обнаружены.

Цепочка атак

Перед развертыванием Meteor Wiper злоумышленник использовал несколько исполняемых файлов и пакетных файлов, которые были доставлены на каждое взломанное устройство, и ему было поручено подготовить локальную среду для конечных полезных нагрузок. Во-первых, система была просканирована на предмет наличия определенных продуктов для защиты от вредоносных программ, которые в случае обнаружения впоследствии были прекращены. Затем целевое устройство отключается от сети. Чтобы облегчить бесперебойную работу вредоносных программ, в Защитник Windows добавляются исключения. На следующем этапе извлекается несколько вредоносных программ. После выполнения нескольких дополнительных задач, таких как очистка журналов событий Windows и сброс кеша файловой системы на диск, запускаются финальные полезные данные. К ним относятся очиститель Meteor, поставляемый в виде файла с именем env.exe или msapp.exe, шкафчик MBR (Master Boot Record) и шкафчик экрана.