„Meteor Wiper“ kenkėjiška programa patenka į Irano geležinkelius

Pastaraisiais metais matėme didžiulius kibernetinių nusikaltėlių veiklos pokyčius. Užuot naudoję destruktyvią kenkėjišką programinę įrangą, jie sutelkė dėmesį į sudėtingų turto prievartavimo schemų kūrimą arba aukštos kokybės kenkėjiškų programų, kurios vagia jautrius duomenis iš aukos, kūrimą. Nors šios operacijos yra labai pelningos, vis dar yra keletas grėsmės veikėjų, kurie remiasi klasikine destruktyvia kenkėjiška programa. Vienas iš populiarių implantų, atitinkančių šią kategoriją, yra vadinamieji valytuvai. Jie elgiasi panašiai kaip išpirkos programos, tačiau yra vienas esminis skirtumas - jie ištrina failus, užuot juos užšifravę. Natūralu, kad nusikaltėliai nesiūlo susigrąžinimo galimybės ir neprašo pinigų - jų tikslas yra kuo labiau griauti.

„Meteor Wiper“ kenkėjiška programa patenka į sceną

Liepos mėnesį kibernetinio saugumo ekspertai nustatė naują implantą, kuris atitinka aukščiau aprašytą - „Meteor Wiper Malware“. Jis buvo panaudotas didelio masto išpuoliui prieš Irano geležinkelio agentūrą. Nors „failų ištrynimas“ gali atrodyti paprasta užduotis, galite būti tikri, kad tokios grėsmės kaip „Meteor Wiper Malware“ nėra pagrindinės. Paprastai jie atlieka ilgą užduočių sąrašą, kad įsitikintų, jog jų vykdymas vyksta nepriekaištingai ir kad auka neturės laiko reaguoti.

Panašu, kad „Meteor Wiper“ kenkėjiškų programų atveju ataka gali būti politiškai motyvuota, tačiau užpuolikų politinė ištikimybė ar kilmė dar nėra aiški. Per išpuolį geležinkelio pranešimų lentose buvo siunčiamos žinutės, liepiančios keleiviams paskambinti konkrečiu telefonu ir gauti daugiau informacijos. Tačiau telefonas nepriklauso geležinkeliui - paskambinus juo keleiviai susisiektų su vyriausiojo lyderio Ali Khamenei biuru.

„Meteor Wiper Malware“ ataka apima kelis etapus, kad būtų užtikrintas nepriekaištingas vykdymas. Pradinis infekcijos vektorius nėra aiškus. Pradėjęs veikti valytuvas naudoja kelis komponentus atakai įvykdyti:

• Setup.bat - sugadina „Windows“ grupės politiką, kad būtų galima nukopijuoti kenkėjiškas vykdomas programas į kitas to paties tinklo sistemas. Ji taip pat tikrina, ar nėra antivirusinės programinės įrangos, išjungia „Windows Defender“ ir laikinai atjungia kompiuterį nuo interneto. Tai taip pat ištrina „Windows“ įvykių žurnalus ir vykdo tris failus.
• „Env.exe“ arba „msapp.exe“ - abu failai tarnauja ta pačiai sistemai, tačiau jų pavadinimai skiriasi. Juose yra valytuvo komponentas, kuris ištrina failus.
• Nti.exe - MBR spintelė, kuri nepaiso MBR (pagrindinio įkrovos įrašo), kad neleistų kompiuteriams paleisti.
• Mssetup.exe - ekrano spintelė, kurioje rodomas vaizdas ir pranešimas aukai.

Paprastai tokios destruktyvios atakos, kokias atlieka „Meteor Wiper Malware“, yra skirtos pranešti. Tačiau grėsmės veikėjai nieko nedaro - jie neturi reikalavimų, nenurodo savo motyvacijos ir palieka auką nežinioje. Mes dar nematome, ar „Meteor Wiper“ kenkėjiška programa seks kitą agentūrą ar įmonę.