I ricercatori di SentinelLabs hanno scoperto una campagna che utilizzava un Wiper per immobilizzare il sistema ferroviario iraniano. La campagna si chiama MeteorExpress e utilizza un wiper Meteor mai visto prima. L’attaccante dietro questa recente campagna ha tentato di trollare anche il governo iraniano.
UPDATE 21.08.2021 il data leak
E’ stato appena inserito un countdown con la minaccia di pubblicazione di dati trapelati dal sistema ferroviario Iraniano, sul blog del gruppo MBC Ransomware.
Il gruppo MBC risultava inattivo da diversi anni, almeno dal 2017, e con questo nuovo blog, inizia un nuovo periodo di attività che comincia proprio con i dati iraniani. In queste ore è stato anche creato il canale Telegram riconducibile al gruppo ransomware.
Cosa è successo?
Secondo i ricercatori, il 9 luglio un wiper ha preso di mira il sistema ferroviario iraniano e ha mostrato un messaggio che chiedeva ai passeggeri di chiamare un numero di telefono dell’ufficio del leader supremo iraniano per protestare.
- Le prime analisi, insieme agli artefatti dell’attaccante ricostruiti e recuperati, hanno rivelato che l’attaccante ha compromesso i Criteri di gruppo per diffondere un file cab per l’attacco.
- Il toolkit includeva una combinazione di file batch con diversi componenti eliminati dagli archivi RAR. Gli archivi includevano una copia di Rar[.]exe fornita da un aggressore con una password (hackemail).
- I componenti del wiper sono divisi in base alla loro funzionalità: Meteor crittografa il filesystem utilizzando la configurazione crittografata, nti[.]exe mira all’MBR e mssetup[.]exe viene utilizzato per bloccare lo schermo o il sistema.
- Il file nti[.]exe è in qualche modo unico tra tutti i componenti perché i settori sovrascritti da questo componente wiper risultano essere gli stessi sovrascritti da NotPetya.
Ulteriori approfondimenti
Oltre all’uso di una complessa rete di file batch, i ricercatori hanno rivelato diversi dettagli aggiuntivi su questo attacco.
- Il payload principale fornito nella catena di attacco è un exe rilasciato sotto env[.]exe o msapp[.]exe. A causa di un errore OPSEC, è stato scoperto che il wiper era chiamato internamente Meteor.
- Il componente wiper aveva diverse funzionalità aggiuntive che non sono state utilizzate durante gli attacchi. Ciò include la possibilità di modificare le password degli utenti, terminare processi di sistema specifici, creare attività pianificate e altro ancora.
Conclusioni
I recenti attacchi al sistema ferroviario iraniano dimostrano la capacità degli aggressori dietro la campagna MeteorExpress. Inoltre, si ritiene che gli aggressori avessero una conoscenza approfondita dei loro obiettivi, il che li rende una seria minaccia.
