Forscher des Cybersicherheitsunternehmens SentinelOne rekonstruierten in einem neuen Bericht den jüngsten Cyberangriff auf das iranische Zugsystem und entdeckten einen neuen Bedrohungsakteur – den sie „MeteorExpresss“ nannten – und einen noch nie dagewesenen Wischer.
Am 9. Juli begannen lokale Nachrichtenagenturen über einen Cyberangriff auf das iranische Zugsystem zu berichten, bei dem Hacker Bildschirme in Bahnhöfen verunstalteten, indem sie Passagiere aufforderten, “64411” anzurufen, die Telefonnummer des Büros des iranischen Obersten Führers Khamenei.
Der Zugverkehr wurde unterbrochen und nur einen Tag später zerstörten Hacker die Website des iranischen Verkehrsministeriums. Laut Reuters gingen die Portal- und Unterportalseiten des Ministeriums aus, nachdem der Angriff auf Computer des Ministeriums für Straßen und Stadtentwicklung gerichtet war.
Hacker übernahmen am 9. Juli Bildschirme in iranischen Bahnhöfen und stellten die Telefonnummer 64411– die Nummer des iranischen Obersten Büro des Führers.
Fars-Nachrichten
In seiner Untersuchung erklärte Juan Andres Guerrero-Saade, Principal Threat Analyst von SentinelOne, dass die Menschen hinter dem Angriff den nie zuvor gesehenen Wischer „Meteor“ nannten und ihn in den letzten drei Jahren entwickelten.
“Zu diesem Zeitpunkt konnten wir diese Aktivität weder mit einer zuvor identifizierten Bedrohungsgruppe noch mit zusätzlichen Angriffen in Verbindung bringen”, sagte Guerrero-Saade und fügte hinzu, dass sie den Angriff dank der Sicherheit rekonstruieren konnten Forscher Anton Cherepanov und ein iranisches Antiviren-Unternehmen.
„Trotz des Fehlens spezifischer Kompromittierungsindikatoren konnten wir die meisten der im Beitrag beschriebenen Angriffskomponenten sowie zusätzliche Komponenten, die sie übersehen hatten, wiederherstellen. Hinter dieser seltsamen Geschichte von angehaltenen Zügen und fliehenden Trollen fanden wir die Fingerabdrücke eines unbekannten Angreifer.”
Guerrero-Saade sagte, dass die frühe Analyse der Sicherheitsforscher von Padvish neben “einem wiederhergestellten Angreiferartefakt, das eine längere Liste von Komponentennamen enthielt”, der Schlüssel zur Rekonstruktion von SentinelOne war.
“Die Angreifer haben die Gruppenrichtlinien missbraucht, um eine Cab-Datei zu verteilen, um ihren Angriff durchzuführen. Das gesamte Toolkit besteht aus einer Kombination von Batch-Dateien, die verschiedene Komponenten aus RAR-Archiven orchestrieren”, erklärt Guerrero-Saade.
“Die Archive wurden mit einer vom Angreifer bereitgestellten Kopie von Rar.exe in Verbindung mit dem Passwort 'hackemall' dekomprimiert. Die Wiper-Komponenten sind nach Funktionalität aufgeteilt: Meteor verschlüsselt das Dateisystem basierend auf einer verschlüsselten Konfiguration, nti.exe beschädigt den MBR und mssetup.exe sperrt das System.”
SentinelOne stellte fest, dass der Großteil des Angriffs „über eine Reihe von Batch-Dateien orchestriert wurde, die neben ihren jeweiligen Komponenten verschachtelt und in aufeinanderfolgender Ausführung miteinander verkettet wurden“.
Die Batch-Datei kopiert dem Bericht zufolge die Ausgangskomponenten über eine CAB-Datei in eine Netzfreigabe innerhalb des iranischen Eisenbahnnetzes. Von dort aus verwendet die Batch-Datei ihre eigene Kopie von WinRAR, um zusätzliche Komponenten aus drei zusätzlichen Archiven zu dekomprimieren, die ein Pokemon-Themen-Passwort verwenden, “hackemall”, auf das während des Angriffs auch an anderer Stelle verwiesen wurde.
“An diesem Punkt beginnt sich die Ausführung in andere Skripte zu teilen. Das erste ist 'cache.bat', das sich darauf konzentriert, Hindernisse zu beseitigen und den Boden für nachfolgende Elemente mit Powershell vorzubereiten”, Guerrero -Saade sagte.
“'cache.bat' führt drei Hauptfunktionen aus. Zuerst wird das infizierte Gerät vom Netzwerk getrennt. Dann überprüft es, ob Kaspersky Antivirus auf dem Computer installiert ist. In diesem Fall wird es beendet. Schließlich wird 'cache.bat' ausgeführt. bat' erstellt Windows Defender-Ausschlüsse für alle seine Komponenten und ebnet so effektiv den Weg für eine erfolgreiche Infektion ohne Hindernisse.”
In dem Bericht wurde erklärt, dass dieses spezielle Skript beim Wiederaufbau der Angriffskette aufschlussreich war, da es eine Liste der Angriffskomponenten enthält, die den Forschern bestimmte Suchkriterien lieferten.
Es werden zwei Batchdateien bereitgestellt, die den Computer nicht mehr booten und die Ereignisprotokolle bereinigen. Nach einer Reihe anderer Aktionen ruft update.bat dann 'msrun.bat' auf, das “die ausführbare Meteor-Wischer-Datei als Parameter” übergibt.
Eine weitere Batch-Datei — msrun.bat — verschiebt sich in einen Bildschirm-Locker und die verschlüsselte Konfiguration für den Meteor-Wischer, erklärte Guerrero-Saade. Eine geplante Aufgabe wird durch das Skript namens 'mstask' erstellt, das dann so eingestellt wird, dass der Meteor-Wischer um fünf Minuten vor Mitternacht ausgeführt wird.
„Das gesamte Toolkit weist eine seltsame Fragmentierung auf. Batch-Dateien erzeugen andere Batch-Dateien, verschiedene Rar-Archive enthalten vermischte ausführbare Dateien und sogar die beabsichtigte Aktion ist in drei Nutzlasten unterteilt: Meteor löscht das Dateisystem, mssetup.exe sperrt den Benutzer, und nti.exe beschädigt vermutlich den MBR”, schrieb Guerrero-Saade.
“Die Hauptnutzlast dieser verworrenen Angriffskette ist eine ausführbare Datei, die unter 'env.exe' oder 'msapp.exe' abgelegt wird. Intern bezeichnen die Programmierer sie als 'Meteor'. Während diese spezielle Instanz von Meteor unter einem lähmenden OPSEC-Fehler leidet (die Aufnahme ausführlicher Debug-Strings, die vermutlich für interne Tests gedacht sind), es handelt sich um einen extern konfigurierbaren Wischer mit umfangreichen Funktionen.”
Der Meteor-Wischer wird laut Bericht mit einem einzigen Argument geliefert, eine verschlüsselte JSON-Konfigurationsdatei 'msconf.conf'.
Meteor löscht Dateien beim Verschieben aus der verschlüsselten Konfiguration, löscht Schattenkopien und entfernt einen Computer aus einer Domäne, um die Korrektur zu erschweren. Diese kratzen laut dem Bericht nur an der Oberfläche dessen, wozu Meteor fähig ist.
Obwohl er bei dem Angriff auf den iranischen Bahnhof nicht verwendet wird, kann der Wischer Passwörter für alle Benutzer ändern, Bildschirmschoner deaktivieren, Prozessbeendigungen basierend auf einer Liste von Zielprozessen durchführen, einen Bildschirmsperrer installieren, den Wiederherstellungsmodus deaktivieren, die Fehlerbehandlung der Boot-Richtlinie ändern , Planaufgaben erstellen, lokale Sitzungen abmelden, Schattenkopien löschen, Sperrbildschirmbilder ändern und Anforderungen ausführen.
Guerrero-Saade bemerkte, dass die Entwickler des Wischers mehrere Möglichkeiten für den Wischer geschaffen haben, um jede dieser Aufgaben zu erfüllen
„Die Operatoren haben jedoch eindeutig einen großen Fehler beim Kompilieren einer Binärdatei mit einer Fülle von Debug-Strings gemacht für interne Tests. Letzteres ist ein Hinweis darauf, dass trotz aller fortgeschrittenen Praktiken der Entwickler in ihrem Arsenal eine robuste Bereitstellungspipeline fehlt, die sicherstellt, dass solche Fehler nicht passieren. Beachten Sie außerdem, dass dieses Beispiel sechs Monate vor der Bereitstellung kompiliert wurde und die Fehler wurde nicht erkannt”, heißt es in dem Bericht.
„Zweitens ist der Code eine bizarre Mischung aus benutzerdefiniertem Code, der Open-Source-Komponenten (cpp-httplib v0.2) und praktisch uralte missbrauchte Software (Lock My PC 4) von FSProLabs umschließt. Dies könnte jedoch darauf hindeuten, dass der Meteor-Wischer gebaut wurde als Einwegartikel oder für eine einzelne Operation gedacht ist, dem ein extern konfigurierbares Design gegenübergestellt wird, das eine effiziente Wiederverwendung für verschiedene Operationen ermöglicht.”
Als die SentinelOne-Forscher tiefer in Meteor eintauchten, fanden sie heraus, dass die Redundanzen ein Beweis dafür waren, dass der Wischer von mehreren Entwicklern erstellt wurde, die verschiedene Komponenten hinzugefügt haben.
Der Bericht fügte hinzu, dass die “extern konfigurierbare Natur des Wischers” zeigt, dass er nicht für diesen speziellen Vorgang erstellt wurde. Sie haben noch keine anderen Angriffe oder Varianten des Meteor-Wischers in freier Wildbahn gesehen.
Die Forscher waren nicht in der Lage, den Angriff einem bestimmten Bedrohungsakteur zuzuordnen, erklärten jedoch, dass der Angreifer ein “Mittelstufe-Spieler ist, dessen verschiedene operative Komponenten stark von klobig und rudimentär bis hin zu glatt und gut entwickelt” schwanken.
„Auf der einen Seite haben wir einen neuen, extern konfigurierbaren Wischer voller interessanter Funktionen, der einen ausgereiften Entwicklungsprozess und redundante Mittel beinhaltet, um ihre Ziele zu erreichen. Sogar ihre Batch-Skripte enthalten eine umfangreiche Fehlerprüfung, eine Funktion, die bei Bereitstellungsskripten selten anzutreffen ist.“ Ihr Angriff zielt darauf ab, die Systeme des Opfers lahmzulegen, sodass keine einfache Abhilfe durch Domänenverwaltung oder Wiederherstellung von Schattenkopien möglich ist“, schrieb Guerrero-Saade.
“Auf der anderen Seite sehen wir einen Gegner, der seine Bereitstellungspipeline noch nicht im Griff hat, der ein Beispiel seiner Malware verwendet, das umfangreiche Debug- und Brennfunktionen enthält, die für diesen speziellen Vorgang irrelevant sind. ”
Guerrero-Saade sagt weiter, dass SentinelOne “die Gestalt dieses Widersachers durch den Nebel noch nicht erkennen kann” und theoretisiert, dass es sich um “eine skrupellose Söldnergruppe” oder staatlich unterstützte Schauspieler mit unterschiedlichen Motiven handelt.
Obwohl sie den Angriff nicht zuordnen konnten, stellten sie fest, dass die Angreifer mit dem allgemeinen Aufbau des iranischen Eisenbahnsystems und dem vom Ziel verwendeten Veeam-Backup vertraut zu sein schienen System, bevor Sie einen Angriff starten.
Zum Zeitpunkt des Angriffs bestätigten iranische Beamte nicht, ob es eine Lösegeldforderung gab oder wer ihrer Meinung nach hinter dem Angriff steckte, berichtete Reuters.
Die Times of Israel stellte fest, dass der Iran nach dem berüchtigten Stuxnet-Angriff im Jahr 2010 wesentliche Teile seiner Infrastruktur vom Internet getrennt hat.
Sicherheit
Kaseya Ransomware-Angriff: Was Sie wissen müssen Surfshark VPN Testbericht: Es ist billig, aber ist es gut? Die besten Browser für Datenschutz Cybersicherheit 101: Schützen Sie Ihre Privatsphäre Die besten Antiviren-Software und -Apps Die besten VPNs für Unternehmen und Privat Die besten Sicherheitsschlüssel für 2FA Wie Opfer, die das Lösegeld zahlen, weitere Angriffe fördern (ZDNet YouTube)
Verwandte Themen :
Staatliche Sicherheit TV-Datenverwaltung CXO-Rechenzentren 