Το κακόβουλο λογισμικό του Meteor Wiper χτυπά τους ιρανικούς σιδηροδρόμους

Τα τελευταία χρόνια έχουμε δει μια τεράστια αλλαγή στον τρόπο λειτουργίας των εγκληματιών στον κυβερνοχώρο. Αντί να χρησιμοποιούν καταστροφικό κακόβουλο λογισμικό, έχουν επικεντρωθεί στην ανάπτυξη περίπλοκων προγραμμάτων εκβιασμών ή κακόβουλου λογισμικού υψηλής ποιότητας που κλέβει ευαίσθητα δεδομένα από το θύμα. Ενώ αυτές οι λειτουργίες είναι πολύ κερδοφόρες, εξακολουθούν να υπάρχουν ορισμένοι φορείς απειλής που βασίζονται στο κλασικό καταστροφικό κακόβουλο λογισμικό. Ένα από τα δημοφιλή εμφυτεύματα που ταιριάζουν σε αυτήν την κατηγορία είναι τα λεγόμενα «υαλοκαθαριστήρες». Συμπεριφέρονται με τρόπο παρόμοιο με το ransomware, αλλά υπάρχει μια σημαντική διαφορά - διαγράφουν αρχεία αντί να τα κρυπτογραφούν. Φυσικά, οι εγκληματίες δεν προσφέρουν επιλογή ανάκτησης, ούτε ζητούν χρήματα - ο στόχος τους είναι να είναι όσο το δυνατόν πιο καταστροφικοί.

Το Meteor Wiper Malware εισέρχεται στη σκηνή

Τον Ιούλιο, οι ειδικοί στον τομέα της ασφάλειας στον κυβερνοχώρο εντόπισαν ένα νέο εμφύτευμα, το οποίο ταιριάζει στην παραπάνω περιγραφή - το Meteor Wiper Malware. Χρησιμοποιήθηκε σε επίθεση μεγάλης κλίμακας κατά του ιρανικού σιδηροδρομικού οργανισμού. Αν και η "διαγραφή αρχείων" μπορεί να ακούγεται σαν μια απλή εργασία, μπορείτε να είστε σίγουροι ότι οι απειλές όπως το Meteor Wiper Malware δεν είναι καθόλου βασικές. Συνήθως εκτελούν μια μακρά λίστα εργασιών για να βεβαιωθούν ότι η εκτέλεσή τους πάει άψογα και ότι το θύμα δεν θα έχει χρόνο να αντιδράσει.

Στην περίπτωση του Meteor Wiper Malware, φαίνεται ότι η επίθεση μπορεί να έχει πολιτικό κίνητρο-ωστόσο, η πολιτική πίστη ή η προέλευση των επιτιθέμενων δεν είναι ακόμη σαφής. Κατά τη διάρκεια της επίθεσης, οι πίνακες μηνυμάτων του σιδηροδρόμου ήταν ανεπιθύμητες με μηνύματα που έλεγαν τους επιβάτες να καλέσουν ένα συγκεκριμένο τηλέφωνο για περισσότερες λεπτομέρειες. Το τηλέφωνο, ωστόσο, δεν ανήκει στον σιδηρόδρομο - η κλήση του θα φέρει τους επιβάτες σε επαφή με το γραφείο του Ανώτατου Ηγέτη Αλί Χαμενεΐ.

Η επίθεση του Meteor Wiper Malware περιλαμβάνει πολλά στάδια για να εξασφαλιστεί η άψογη εκτέλεση. Ο αρχικός φορέας μόλυνσης δεν είναι σαφής. Μόλις λειτουργήσει, ο υαλοκαθαριστήρας χρησιμοποιεί πολλά στοιχεία για να πραγματοποιήσει την επίθεση:

• Setup.bat - παραβιάζει την πολιτική ομάδας των Windows για να καταστεί δυνατή η αντιγραφή των κακόβουλων εκτελέσιμων σε άλλα συστήματα στο ίδιο δίκτυο. Ελέγχει επίσης την ύπαρξη λογισμικού προστασίας από ιούς, απενεργοποιεί το Windows Defender και αποσυνδέει προσωρινά τον υπολογιστή από το Διαδίκτυο. Διαγράφει επίσης τα αρχεία καταγραφής συμβάντων των Windows και προχωρά στην εκτέλεση τριών αρχείων.
• Env.exe ή msapp.exe - και τα δύο αρχεία εξυπηρετούν το ίδιο σύστημα, αλλά τα ονόματά τους διαφέρουν. Αυτά φιλοξενούν το στοιχείο υαλοκαθαριστήρα, το οποίο διαγράφει αρχεία.
• Nti.exe - ένα ντουλάπι MBR, το οποίο παρακάμπτει το MBR (Master Boot Record) για να αποτρέψει την εκκίνηση υπολογιστών.
• Mssetup.exe - ένα κλείδωμα οθόνης, το οποίο εμφανίζει μια εικόνα και ένα μήνυμα στο θύμα.

Συνήθως, καταστρεπτικές επιθέσεις όπως αυτή που πραγματοποιεί το Meteor Wiper Malware προορίζονται να μεταδώσουν ένα μήνυμα. Ωστόσο, οι φορείς απειλής δεν κάνουν κάτι τέτοιο - δεν έχουν απαιτήσεις, δεν αναφέρουν το κίνητρό τους και αφήνουν το θύμα στο σκοτάδι. Δεν έχουμε ακόμη δει αν το Meteor Wiper Malware θα ακολουθήσει άλλη εταιρεία ή εταιρεία.