Контакты
Подписка 2025
ТБ Форум 2025
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля | ТБ Форум 2025
Регистрируйтесь и приходите!

Атака на железную дорогу Ирана первым случаем применения вайпера Meteor

30/07/21

iranian rail-1Кибератака, ранее в этом месяце парализовавшая работу железной дороги в Иране, была осуществлена с использованием не вымогательского ПО, как предполагалось ранее, а вайпера Meteor, стирающего все хранящиеся в системе данные.

Как сообщил старший исследователь ИБ-компании SentinelOne Хуан Андрес Герреро-Сааде (Juan Andres Guerrero-Saade), инцидент с иранской железной дорогой является первым случаем применения Meteor, и специалистам пока не удалось связать его с какой-либо известной киберпреступной группировкой.

По результатам анализа исследователей SentinelOne, Meteor является одним из трех инструментов, использовавшихся в атаке на иранскую железную дорогу 9 июля, получившей кодовое название MeteorExpress. В ходе атаки использовались:

  • Вредоносное ПО Meteor, стирающее файловую систему инфицированного компьютера;
  • Файл mssetup.exe, играющий роль блокировщика экрана, которыми раньше пользовались кибервымогатели для блокировки пользователям доступа к содержимому их компьютеров;
  • Файл nti.exe, переписывающий главную загрузочную запись (MBR) на компьютере жертвы.

Герреро-Сааде не уточнил, как и откуда началась атака, но сообщил, что, оказавшись внутри атакуемой сети, злоумышленники использовали групповые политики для развертывания вредоносного ПО, удалили теневые копии в целях предотвращения восстановления данных и отключили зараженные хосты от их локального контроллера домена, чтобы системные администраторы не могли незамедлительно предпринять соответствующие меры.

По завершении атаки все данные на компьютере были удалены, а на экране появлялось уведомление, предлагавшее жертве позвонить в администрацию главы Ирана Али Хаменеи. Хотя атака выглядит как злая шутка над иранским правительством, использовавшийся в ней вайпер далеко не шуточный.

По словам Герреро-Сааде, все использовавшиеся в ходе атаки инструменты представляют собой «дикую смесь кастомного кода», включающую в себя компоненты с открытым исходным кодом, древнее ПО и написанные с нуля компоненты, «изобилующие проверками работоспособности, проверкой ошибок и избыточностью в достижении своих целей».

Хотя некоторые части вайпера, по-видимому, были написаны опытным и профессиональным разработчиком, неорганизованный характер атаки MeteorExpress может указывать на то, что и сам Meteor, и вся операция могли быть выполнены в спешке несколькими командами.

Темы:ИранКиберугрозыSentinelOneвайперы
Безопасная разработка
Подходы и инструменты управления процессом разработки безопасного программного обеспечения
Регистрируйтесь и приходите! 13 февраля 2025

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Актуальные вопросы защиты информации
12 февраля 2025 | Организатор: ФСТЭК России

Еще темы...

More...