Атака на железную дорогу Ирана первым случаем применения вайпера Meteor

Кибератака, ранее в этом месяце парализовавшая работу железной дороги в Иране, была осуществлена с использованием не вымогательского ПО, как предполагалось ранее, а вайпера Meteor, стирающего все хранящиеся в системе данные.

Как сообщил старший исследователь ИБ-компании SentinelOne Хуан Андрес Герреро-Сааде (Juan Andres Guerrero-Saade), инцидент с иранской железной дорогой является первым случаем применения Meteor, и специалистам пока не удалось связать его с какой-либо известной киберпреступной группировкой.

По результатам анализа исследователей SentinelOne, Meteor является одним из трех инструментов, использовавшихся в атаке на иранскую железную дорогу 9 июля, получившей кодовое название MeteorExpress. В ходе атаки использовались:

• Вредоносное ПО Meteor, стирающее файловую систему инфицированного компьютера;
• Файл mssetup.exe, играющий роль блокировщика экрана, которыми раньше пользовались кибервымогатели для блокировки пользователям доступа к содержимому их компьютеров;
• Файл nti.exe, переписывающий главную загрузочную запись (MBR) на компьютере жертвы.

Герреро-Сааде не уточнил, как и откуда началась атака, но сообщил, что, оказавшись внутри атакуемой сети, злоумышленники использовали групповые политики для развертывания вредоносного ПО, удалили теневые копии в целях предотвращения восстановления данных и отключили зараженные хосты от их локального контроллера домена, чтобы системные администраторы не могли незамедлительно предпринять соответствующие меры.

По завершении атаки все данные на компьютере были удалены, а на экране появлялось уведомление, предлагавшее жертве позвонить в администрацию главы Ирана Али Хаменеи. Хотя атака выглядит как злая шутка над иранским правительством, использовавшийся в ней вайпер далеко не шуточный.

По словам Герреро-Сааде, все использовавшиеся в ходе атаки инструменты представляют собой «дикую смесь кастомного кода», включающую в себя компоненты с открытым исходным кодом, древнее ПО и написанные с нуля компоненты, «изобилующие проверками работоспособности, проверкой ошибок и избыточностью в достижении своих целей».

Хотя некоторые части вайпера, по-видимому, были написаны опытным и профессиональным разработчиком, неорганизованный характер атаки MeteorExpress может указывать на то, что и сам Meteor, и вся операция могли быть выполнены в спешке несколькими командами.