Eine neue Wiper-Malware steckte hinter dem jüngsten Cyberangriff auf das iranische Zugsystem

  • Ein Cyberangriff, der Anfang des Monats die Websites des iranischen Verkehrsministeriums und des nationalen Eisenbahnsystems zum Entgleisen brachte und weitreichende Störungen des Zugverkehrs verursachte, war das Ergebnis einer noch nie dagewesenen wiederverwendbaren Wiper-Malware namens “Meteor”.

    Die Kampagne mit dem Namen “MeteorExpress” wurde weder mit einer zuvor identifizierten Bedrohungsgruppe noch mit weiteren Angriffen in Verbindung gebracht. Nach Angaben von Forschern der iranischen Antivirenfirma Amn Pardaz und SentinelOne handelt es sich um den ersten Vorfall, bei dem diese Malware eingesetzt wurde. Es wird vermutet, dass Meteor in den letzten drei Jahren in Arbeit war.

    “Trotz des Mangels an spezifischen Indikatoren für eine Kompromittierung konnten wir die meisten Angriffskomponenten wiederherstellen”, so Juan Andres Guerrero-Saade, leitender Bedrohungsforscher bei SentinelOne. “Hinter dieser haarsträubenden Geschichte von angehaltenen Zügen und aalglatten Trollen haben wir die Fingerabdrücke eines unbekannten Angreifers gefunden”, und fügt hinzu, dass die Offensive darauf abzielt, die Systeme des Opfers lahmzulegen, so dass es keine Möglichkeit gibt, einfache Abhilfemaßnahmen über die Domänenverwaltung oder die Wiederherstellung von Schattenkopien zu ergreifen”.

    [Blocked Image: https://thehackernews.com/images/-W-YXfspkl8I/YMt1op6vO6I/AAAAAAAA4Q4/SnWv_Gbl-RMg2BM3YaU9IL1sLek-JjiUACLcBGAsYHQ/s728-e100/free-ad-9-728.png]

    Am 9. Juli wurde das iranische Zugsystem nach einem Großangriff lahmgelegt. Die Hacker verunstalteten elektronische Anzeigen, um die Fahrgäste anzuweisen, ihre Beschwerden an die Telefonnummer des Büros des iranischen Obersten Führers Ayatollah Ali Khamenei zu richten. Der Vorfall soll Berichten zufolge ein “beispielloses Chaos” auf den Bahnhöfen verursacht haben, da Hunderte von Zügen verspätet waren oder ausfielen.

    Nach Angaben von SentinelOne begann die Infektionskette mit dem Missbrauch von Gruppenrichtlinien zur Bereitstellung eines Toolkits, das aus einer Kombination von Batchdateien besteht, die verschiedene Komponenten orchestrieren, die aus mehreren RAR-Archiven extrahiert und miteinander verkettet werden, um die Verschlüsselung des Dateisystems, die Beschädigung des Master Boot Record (MBR) und die Sperrung des betreffenden Systems zu erleichtern.

    [Blocked Image: https://thehackernews.com/images/-EZhApCJiLi0/YQOijN9NyXI/AAAAAAAADZQ/-RFNoStkMA8EeTW3nnUdy6iiNsBQ6oLJACLcBGAsYHQ/s728-e1000/malware.jpg]

    Es wurde festgestellt, dass andere Batch-Skriptdateien, die während des Angriffs abgelegt wurden, dafür verantwortlich waren, das infizierte Gerät vom Netzwerk zu trennen und Windows Defender-Ausschlüsse für alle Komponenten zu erstellen – eine Taktik, die von Bedrohungsakteuren immer häufiger angewandt wird, um ihre bösartigen Aktivitäten vor den auf dem Computer installierten Antimalware-Lösungen zu verbergen.

    [Blocked Image: https://thehackernews.com/images/-SBDa0OwIyQY/YLy9M341QGI/AAAAAAAA4BM/m6-TrBrJenABekCqMu1Gp2XbmtAaeHd9ACLcBGAsYHQ/s300-e100/auth_300.jpg]

    Meteor seinerseits ist ein extern konfigurierbarer Wiper mit einem umfangreichen Funktionsumfang, einschließlich der Fähigkeit, Schattenkopien zu löschen, sowie einer “Fülle zusätzlicher Funktionen” wie dem Ändern von Benutzerpasswörtern, dem Beenden beliebiger Prozesse, dem Deaktivieren des Wiederherstellungsmodus und dem Ausführen bösartiger Befehle.

    Der Wiper wurde als “ein bizarres Amalgam aus benutzerdefiniertem Code” charakterisiert, das Open-Source-Komponenten mit alter Software mischt, die “voller Sicherheitsprüfungen, Fehlerüberprüfungen und Redundanzen bei der Erreichung ihrer Ziele” ist, was auf einen fragmentierten Ansatz und einen Mangel an Koordination zwischen den verschiedenen an der Entwicklung beteiligten Teams schließen lässt.

    “Die Konflikte im Cyberspace sind überbevölkert von immer dreisteren Bedrohungsakteuren. Hinter der Kunstfertigkeit dieses epischen Trolls verbirgt sich eine unangenehme Realität, in der ein bisher unbekannter Bedrohungsakteur bereit ist, Wiper-Malware gegen öffentliche Bahnsysteme einzusetzen”, so Guerrero-Saade. “Der Angreifer ist ein Akteur der mittleren Ebene, dessen verschiedene operative Komponenten von klobig und rudimentär bis hin zu raffiniert und gut entwickelt reichen.”

    “Wir sollten bedenken, dass die Angreifer bereits mit der allgemeinen Einrichtung ihres Ziels, den Funktionen des Domänencontrollers und der Wahl des Backup-Systems (Veeam) des Ziels vertraut waren. Das impliziert eine Erkundungsphase, die völlig unbemerkt ablief, und eine Fülle von Spionagetools, die wir noch nicht aufgedeckt haben.”

    Fanden Sie diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

    Einige Teile dieses Artikels stammen aus:
    thehackernews.com