Forskere med cybersikkerhedsvirksomheden SentinelOne rekonstruerede det nylige cyberangreb på Irans togsystem i en ny rapport og afslørede en ny trusselsaktør-som de kaldte 'MeteorExpresss'-og en aldrig før set visker.
Den 9. juli begyndte lokale nyhedsudsendelser at rapportere om et cyberangreb rettet mod det iranske togsystem, hvor hackere ødelagde skærme på togstationer ved at bede passagerer om at ringe til '64411', telefonnummeret til Irans øverste leder Khameneis kontor.
Togtjenester blev afbrudt, og bare en dag senere tog hackere webstedet til Irans transportministerium ned. Ifølge Reuters gik ministeriets portal og subportalwebsteder ned efter angrebet målrettet computere mod ministeriet for veje og byudvikling.
Hackere overtog skærme i iranske togstationer den 9. juli og lagde telefonnummeret 64411-nummeret til Irans øverste Lederkontor.
Fars News
I sin undersøgelse forklarede SentinelOnes hovedtrusselanalytiker Juan Andres Guerrero-Saade, at folkene bag angrebet kaldte den aldrig før set visker for 'Meteor' og udviklede den i de sidste tre år.
“På nuværende tidspunkt har vi ikke været i stand til at knytte denne aktivitet til en tidligere identificeret trusselsgruppe eller til yderligere angreb,” sagde Guerrero-Saade og tilføjede, at de var i stand til at rekonstruere angrebet takket være sikkerheden forsker Anton Cherepanov og et iransk antivirusfirma.
“På trods af mangel på specifikke kompromisindikatorer var vi i stand til at gendanne de fleste angrebskomponenter beskrevet i indlægget sammen med yderligere komponenter, de havde savnet. Bag denne mærkelige fortælling om stoppede tog og glibtrolde fandt vi fingeraftryk af en ukendt angriber. “
Guerrero-Saade sagde, at den tidlige analyse af Padvish-sikkerhedsforskere var nøglen til SentinelOnes genopbygning sammen med” en genoprettet angriberartefakt, der indeholdt en længere liste over komponentnavne. “
“Angriberne misbrugte gruppepolitik til at distribuere en førerhusfil til at udføre deres angreb. Det overordnede værktøjskasse består af en kombination af batchfiler, der orkestrerer forskellige komponenter, der er droppet fra RAR-arkiver,” forklarede Guerrero-Saade.
“Arkiverne dekomprimeres med en angriber leveret kopi af Rar.exe kombineret med adgangskoden 'hackemall'. Viskerkomponenterne er opdelt efter funktionalitet: Meteor krypterer filsystemet baseret på en krypteret konfiguration, nti.exe ødelægger MBR, og mssetup.exe låser systemet. “
SentinelOne fandt ud af, at størstedelen af angrebet var “orkestreret via et sæt batchfiler indlejret sammen med deres respektive komponenter og kædet sammen i successiv udførelse.”
Batchfilen kopierer de første komponenter via en CAB -fil i en netværksandel inden for det iranske jernbanenet, ifølge rapporten. Derfra bruger batchfilen sin egen kopi af WinRAR til at dekomprimere yderligere komponenter fra tre yderligere arkiver, der bruger en adgangskode med Pokemon-tema, “hackemall”, som også blev henvist andre steder under angrebet. ” -Saade sagde.
“'cache.bat' udfører tre hovedfunktioner. For det første vil den afbryde den inficerede enhed fra netværket. Derefter kontrollerer den, om Kaspersky-antivirus er installeret på maskinen, i hvilket tilfælde den afslutter. Endelig” cache. bat 'vil oprette Windows Defender -ekskluderinger for alle dets komponenter og effektivt rydde vejen for en vellykket infektion uden hindringer. ”
Rapporten forklarede, at dette specifikke script var lærerigt i at genopbygge angrebskæden, fordi det indeholder en liste over angrebskomponenter, der gav forskere specifikke ting at søge efter.
Der indsættes to batchfiler, der gør maskinen ubotbar og rydder op i hændelseslogfiler. Efter en række andre handlinger vil update.bat derefter kalde 'msrun.bat', som passerer “Meteor -viskerens eksekverbare som parameter.”
En anden batchfil-msrun.bat-bevæger sig i et skærmskab og den krypterede konfiguration for Meteor-viskeren, forklarede Guerrero-Saade. En planlagt opgave oprettes af scriptet kaldet 'mstask', der derefter indstilles til at udføre Meteor -viskeren fem minutter til midnat.
“Der er et mærkeligt fragmenteringsniveau i det overordnede værktøjskasse. Batchfiler frembringer andre batchfiler, forskellige rar -arkiver indeholder blandede eksekverbare filer, og selv den tiltænkte handling er opdelt i tre nyttelast: Meteor tørrer filsystemet, mssetup.exe låser brugeren ud, og nti.exe ødelægger formodentlig MBR, “skrev Guerrero-Saade.
“Den største nyttelast for denne indviklede angrebskæde er en eksekverbar, der er faldet under 'env.exe' eller 'msapp.exe'. Internt omtaler koderne det som 'Meteor'. Mens denne særlige forekomst af Meteor lider af en lammende OPSEC -fejl (inkluderingen af omfattende debug -strenge, der formodentlig er beregnet til intern testning), er en eksternt konfigurerbar visker med et omfattende sæt funktioner. “
Meteor -viskeren leveres ifølge rapporten med et enkelt argument, en krypteret JSON -konfigurationsfil 'msconf.conf.'
Meteor sletter filer, når den bevæger sig fra den krypterede konfiguration, sletter skyggekopier og tager en maskine ud af et domæne for at komplicere afhjælpning. Disse ridsede kun overfladen af, hvad Meteor er i stand til, ifølge rapporten.
Selvom viskeren ikke bruges i angrebet på den iranske togstation, er viskeren i stand til at ændre adgangskoder til alle brugere, deaktivere pauseskærme, procesafslutning baseret på en liste over målprocesser, installere et skærmskab, deaktivere gendannelsestilstand, ændre boot -politik fejlhåndtering , oprette planlægningsopgaver, logge af lokale sessioner, slette skyggekopier, ændre låseskærmbilleder og udføre krav.
Guerrero-Saade bemærkede, at udviklerne af viskeren skabte flere måder for viskeren til at udføre hver af disse opgaver
“Men operatørerne begik klart en stor fejl ved at kompilere en binær med et væld af fejlretningstrenge, der betød til intern test. Sidstnævnte er en indikation på, at uanset hvilken avanceret praksis udviklerne har i deres arsenal, mangler de en robust implementeringspipeline, der sikrer, at sådanne fejl ikke sker. Bemærk desuden, at denne prøve blev udarbejdet seks måneder før dens implementering og fejl blev ikke fanget, “fandt rapporten.
“For det andet er koden en bizar sammensmeltning af brugerdefineret kode, der ombryder open source-komponenter (cpp-httplib v0.2) og praktisk talt gammel misbrugt software (FSProLabs 'Lock My PC 4). Selv om det kan tyde på, at Meteor-viskeren blev bygget at være engangsbrug eller beregnet til en enkelt operation, der sidestilles med et eksternt konfigurerbart design, der tillader effektiv genbrug til forskellige operationer. ”
Da SentinelOne -forskere gjorde et dybere dyk i Meteor, fandt de ud af, at afskedigelserne var tegn på, at viskeren blev skabt af flere udviklere, der tilføjede forskellige komponenter.
Rapporten tilføjede, at “viskerens eksternt konfigurerbare karakter” viser, at den ikke blev oprettet til denne særlige operation. De har endnu ikke set andre angreb eller varianter af Meteor -viskeren i naturen.
Forskere var ikke i stand til at tilskrive angrebet til en bestemt trusselsaktør, men forklarede, at angriberen er en “mellemliggende spiller, hvis forskellige operationelle komponenter skifter skarpt fra klodset og rudimentært til glat og veludviklet.”
“På den ene side har vi en ny eksternt konfigurerbar visker pakket fuld af interessante muligheder, der involverer en moden udviklingsproces og overflødige midler til at nå deres mål. Selv deres batch-scripts inkluderer omfattende fejlkontrol, en funktion der sjældent støder på implementeringsskripts . Deres angreb er designet til at ødelægge offerets systemer, uden at der skal gøres brug af simpel afhjælpning via domæneadministration eller gendannelse af skyggekopier, “skrev Guerrero-Saade.
“På den anden side ser vi en modstander, der endnu ikke har styr på deres installationspipeline, ved hjælp af en prøve af deres malware, der indeholder omfattende fejlfindingsfunktioner og brændingsfunktionalitet, der ikke er relevant for denne særlige operation. ”
Guerrero-Saade fortsætter med at sige, at SentinelOne “endnu ikke kan skelne denne modstanders form over tågen” og teoretiserer, at det er “en skruppelløs lejesoldatgruppe” eller statsstøttede skuespillere med forskellige motiver.
Selvom de ikke var i stand til at tilskrive angrebet, bemærkede de, at angriberne syntes at være fortrolige med den generelle opstilling af Irans jernbanesystem og Veeam -backup, der blev brugt af målet, hvilket indebar, at trusselsaktørerne tilbragte tid i system, før et angreb iværksættes.
På tidspunktet for angrebet bekræftede iranske embedsmænd ikke, om der var krav om løsesum, eller hvem de troede stod bag angrebet, rapporterede Reuters.
The Times of Israel bemærkede, at Iran efter det berygtede Stuxnet -angreb i 2010 koblede betydelige dele af sin infrastruktur fra internettet.
Sikkerhed
Kaseya ransomware -angreb: Hvad du har brug for at vide Surfshark VPN -anmeldelse: Det er billigt, men er det godt? De bedste browsere til privatlivets fred Cybersikkerhed 101: Beskyt dit privatliv De bedste antivirussoftware og -apps De bedste VPN'er til forretnings- og hjemmebrug De bedste sikkerhedsnøgler til 2FA Hvordan ofre, der betaler løsesummen, tilskynder til flere angreb (ZDNet YouTube)
Relaterede emner :
Government Security TV Data Management CXO Data Centers 