Meteor Wiper Malware
Meteor Wiper, adından da anlaşılacağı gibi, virüslü bilgisayarlarda geri dönüşü olmayan hasara neden olmak için tasarlanmış bir silecek kötü amaçlı yazılımdır. Bu tür tehditler, tehdit aktörü herhangi bir parasal kazanç peşinde olmadığında devreye girer. Bunun yerine amaç, ya belirli hedefin operasyonlarında olduğu kadar kesintiye neden olmak ya da bilgisayar korsanlarının gerçek amacını gizlemek için silecek saldırısını dikkat dağıtıcı olarak kullanmaktır. Meteor silecek, İran'ın demiryolu sistemine yönelik siber saldırının bir parçası olarak dağıtılan, önceden bilinmeyen bir kötü amaçlı yazılımdır.
Meteor Sileceklerinin Keşfi
Saldırının ilk analizi, silecek tehdidinin izini alamadı. Saldırının arkasındaki tehdit aktörü şu ana kadar belirlenemedi. Yine de siber suçlular, İran'ın ulaştırma bakanlığını başarıyla ihlal etmeyi ve ülkenin tren sistemini bozmayı başardılar. Saldırganlar ajansın resmi web sitesini kapattılar ve demiryolunun mesaj panolarına siber saldırı hakkında bir mesaj göstererek başarılarını duyurdular. Görüntülenen bazı mesajlarda olay hakkında daha fazla bilgi almak isteyen yolcuların İran'ın dini lideri Ali Hamaney'e ait olduğu belirlenen bir telefon numarasını aramaları da istendi. Arka planda, saldırı aynı zamanda birden fazla Windows cihazının sistemlere erişimi engelleyen bir kilit ekranının arkasında kilitlenmesine neden oldu.
Meteor Wiper gibi ek tehditlerin de konuşlandırıldığını ilk keşfeden İranlı siber güvenlik firması Aman Pardaz oldu. SentinelOne ve araştırmacı Juan Andres Guerrero-Saade tarafından hazırlanan bir rapor, tehdit ve ortaya çıkarılan birkaç yeni bileşen hakkında daha derin bilgiler ortaya koydu.
Saldırı Zinciri
Meteor Wiper'ı dağıtmadan önce, tehdit aktörü, güvenliği ihlal edilmiş her cihaza teslim edilen ve yerel ortamı son yükler için hazırlama görevi verilen birkaç yürütülebilir dosya ve toplu iş dosyası kullandı. İlk olarak, sistem, tespit edilirse daha sonra sonlandırılan belirli kötü amaçlı yazılımdan koruma ürünleri için tarandı. Ardından, hedeflenen cihazın ağ bağlantısı kesilir. Kötü amaçlı yazılım tehditlerinin sorunsuz çalışmasını kolaylaştırmak için Windows Defender'a istisnalar eklenir. Bir sonraki adımda, birkaç kötü amaçlı yazılım yükü ayıklanır. Windows olay günlüklerini temizleme ve dosya sistemi önbelleğini diske boşaltma gibi birkaç ek görevi gerçekleştirdikten sonra, son yükler başlatılır. Bunlara 'env.exe' veya 'msapp.exe' adlı bir dosya olarak teslim edilen Meteor sileceği, bir MBR (Ana Önyükleme Kaydı) dolabı ve bir ekran dolabı dahildir.
