Neuartiger Meteoritenwischer bei Angriff, der iranisches Zugsystem lahmlegte

  • Bei einem Angriff am 9. Juli wurde der Zugverkehr unterbrochen und die iranische Führung mit gehackten Bildschirmen verhöhnt, die die Kunden aufforderten, bei Beschwerden das Telefon des iranischen Obersten Führers Khamenei anzurufen.

    Bei einem Angriff auf das iranische Bahnsystem Anfang des Monats, bei dem der Zugverkehr unterbrochen und die iranische Führung über gehackte Bildschirme des öffentlichen Nahverkehrs verhöhnt wurde, kam eine noch nie zuvor gesehene Wiper-Malware namens Meteor zum Einsatz, die offenbar zur Wiederverwendung konzipiert wurde, wie ein Sicherheitsforscher herausgefunden hat.

    Der erste Angriff, genannt MeteorExpress, fand am 9. Juli statt, als “ein Wiper-Angriff das iranische Zugsystem lahmlegte”, so ein Bericht von Juan Andres Guerrero-Saade von Sentinel Systems.

    Bei diesem Angriff wurde der Zugverkehr unterbrochen und die Kunden wurden über alle Anzeigen und Anzeigetafeln im Bahnhof angewiesen, die Nummer 64411″ anzurufen – die Nummer des Büros des Obersten Führers Ali Khamenei – um weitere Informationen zu erhalten.

    [Blocked Image: https://alltechnews.de/daten/2021/01/1611697071_98_DanaBot-Malware-gewinnt-wieder-an-Relevanz.jpg]

    Am nächsten Tag griffen Angreifer auch die Website und die Computersysteme der Mitarbeiter des iranischen Ministeriums für Straßen und Stadtentwicklung an, wie aus einem veröffentlichten Bericht hervorgeht.

    Die Forscher von SentinelLabs rekonstruierten den größten Teil der Angriffskette im Zugsystem und entdeckten den neuartigen Wiper, den die Bedrohungsakteure – bei denen es sich ebenfalls um eine neue Gruppe von Angreifern zu handeln scheint, die ihren Angriffsrhythmus erst noch finden müssen – als Meteor bezeichnen, schrieb Guerrero-Saade.

    Guerrero-Saade schrieb dem Sicherheitsforscher Anton Cherepanov zu, dass er eine frühe Analyse des Ereignisses, die von einem iranischen Antivirenunternehmen in Farsi verfasst wurde, identifiziert hat, die den Forschern half, den Angriff nachzustellen.

    Sie entdeckten, dass “hinter dieser haarsträubenden Geschichte von angehaltenen Zügen und aalglatten Trollen” “die Fingerabdrücke eines unbekannten Angreifers” stecken, der einen Wischer verwendet, der “in den letzten drei Jahren entwickelt wurde und zur Wiederverwendung gedacht ist”, schrieb Guerrero-Saade.

    Rekonstruktion des Angriffs

    Laut SentinelLabs bestand das Toolkit, mit dem der Angriff durchgeführt wurde, aus einer Kombination von Batch-Dateien, die verschiedene Komponenten aus RAR-Archiven implementierten. Die Angreifer verwendeten die Batch-Dateien zusammen mit ihren jeweiligen Komponenten in einer Kette, um den Angriff erfolgreich auszuführen.

    “Die Wiper-Komponenten sind nach Funktionalität aufgeteilt: Meteor verschlüsselt das Dateisystem basierend auf einer verschlüsselten Konfiguration, nti.exe beschädigt den MBR und mssetup.exe sperrt das System”, schrieb Guerrero-Saade.

    Die Forscher konnten eine für einen Wiper-Angriff “überraschende Menge an Dateien” wiederherstellen, aber nicht alle. Eine bemerkenswerte Komponente, die fehlte, war der MBR-Korrumpierer nti.exe. Ihr Fehlen ist bedeutsam, weil die von dieser Komponente überschriebenen Dateien dieselben sind, die von der berüchtigten NotPetya-Ransomware überschrieben wurden, die 2017 Organisationen auf der ganzen Welt lahmlegte, so Guerrero-Saade.

    Trotz des Erfolgs des Angriffs fanden die Forscher jedoch “ein seltsames Maß an Fragmentierung des gesamten Toolkits”, sagte er.

    “Batchdateien rufen andere Batchdateien hervor, verschiedene RAR-Archive enthalten verschiedene ausführbare Dateien, und sogar die beabsichtigte Aktion ist in drei Nutzlasten aufgeteilt: Meteor löscht das Dateisystem, mssetup.exe sperrt den Benutzer aus, und nti.exe beschädigt vermutlich den MBR”, schrieb Guerrero-Saade.

    Spezifische Angriffskomponenten

    Die Forscher haben zwei dieser drei Nutzlasten in dem Bericht identifiziert und näher erläutert. Die eine ist die Hauptnutzlast, der Meteor Wiper, der in Form einer ausführbaren Datei unter env.exe oder msapp.exe abgelegt wird und als geplante Aufgabe mit einem einzigen Argument ausgeführt wird – einer verschlüsselten JSON-Konfigurationsdatei, msconf.conf, die Werte für entsprechende Schlüssel enthält, die laut Bericht im Klartext in der Binärdatei enthalten sind.

    “In seiner grundlegendsten Funktion nimmt der Meteor-Wiper eine Reihe von Pfaden aus der verschlüsselten Konfigurationsdatei und geht diese Pfade ab, um Dateien zu löschen”, schrieb Guerrero-Saade. “Er stellt auch sicher, dass Schattenkopien gelöscht werden und entfernt den Rechner aus der Domäne, um Mittel zur schnellen Wiederherstellung zu vermeiden.”

    Der Wiper enthält außerdem viel mehr Funktionen, die bei dem Angriff auf den iranischen Zug nicht verwendet wurden, wie er anmerkte. Er kann unter anderem Passwörter für alle Benutzer ändern, Bildschirmschoner deaktivieren, Prozesse auf der Grundlage einer Liste von Zielprozessen beenden, einen Screenlocker installieren, den Wiederherstellungsmodus deaktivieren, die Fehlerbehandlung von Boot-Richtlinien ändern, geplante Aufgaben erstellen und lokale Sitzungen abmelden.

    Die Tatsache, dass Meteor über so umfassende Fähigkeiten verfügt, scheint darauf hinzudeuten, dass es sich nicht nur um eine einmalige Aktion handelt, sondern dass seine Schöpfer beabsichtigen, es für weitere Angriffe zu verwenden, so Guerrero-Saade.

    Die Angreifer von MeteorExpress haben auch einen eigenständigen Screenlocker, mssetup.exe, installiert, der Benutzereingaben blockiert, bevor er ein Fenster erstellt, das den gesamten Bildschirm ausfüllt, den Cursor deaktiviert und den Benutzer vollständig aussperrt, heißt es in dem Bericht.

    Neuartige Angreifer?

    Trotz des Erfolgs des MeteorExpress-Angriffs scheint die Bedrohungsgruppe immer noch an ihren Fähigkeiten zu feilen und ihren Weg zu finden, wie die “widersprüchlichen” Praktiken des Codes und der Fähigkeiten von Meteor zeigen, so die Forscher.

    “Erstens ist der Code voll von Sicherheitsprüfungen, Fehlerüberprüfungen und Redundanzen bei der Erreichung seiner Ziele”, schrieb Guerrero-Saade. “Die Betreiber haben jedoch eindeutig einen großen Fehler gemacht, als sie eine Binärdatei mit einer Fülle von Debug-Strings kompilierten, die für interne Tests gedacht waren.”

    Zu den Eingeweiden von Meteor gehört auch eine “bizarre Mischung aus benutzerdefiniertem Code”, der Open-Source-Komponenten und “praktisch uralte” Software nutzt – Lock My PC 4 von FSProLabs, was auf den allgemeinen experimentellen Charakter des Ansatzes der Angreifer hinweist, sagte er.

    Während dies den Eindruck erwecken könnte, dass der Meteor-Wischer als Wegwerfprodukt oder für eine einzige Operation gedacht war, steht diesem Code ein extern konfigurierbares Design gegenüber, das eine effiziente Wiederverwendung für verschiedene Operationen ermöglicht”, schrieb Guerrero-Saade.

    Insgesamt deuten die von den Forschern untersuchten Komponenten von MeteorExpress auf einen neuen, mittelgroßen Akteur in der Angriffslandschaft hin, “dessen verschiedene operative Komponenten stark zwischen klobig und rudimentär und raffiniert und gut entwickelt schwanken”, so seine Schlussfolgerung.

    [Blocked Image: https://alltechnews.de/daten/2021/07/1627497625_347_BlackMatter-Haron-Boese-Ransomware-Neugeburten-oder-Wiedergeburten.jpg]Machen Sie sich Sorgen, woher der nächste Angriff kommen könnte? Wir halten Ihnen den Rücken frei. Melden Sie sich JETZT für unser kommendes Live-Webinar “How to Think Like a Threat Actor” an, das in Zusammenarbeit mit Uptycs am 17. August um 11 AM EST stattfindet, und finden Sie heraus, wo genau Angreifer Sie ins Visier nehmen und wie Sie dort zuerst ankommen. Schließen Sie sich der Moderatorin Becky Bracken und den Uptycs-Forschern Amit Malik und Ashwin Vamshi am 17. August um 11 Uhr EST für diese LIVE-Diskussion an.

    Einige Teile dieses Artikels stammen aus:
    threatpost.com