Malware Wiper Baru Berada Di Balik Serangan Siber Baru-Baru Ini Pada Sistem Kereta Iran

  • Whatsapp
Penghapus Malware

Serangan siber yang menggagalkan situs web kementerian transportasi Iran dan sistem perkeretaapian nasionalnya awal bulan ini, menyebabkan gangguan yang meluas dalam layanan kereta api, adalah hasil dari malware penghapus yang dapat digunakan kembali yang belum pernah dilihat sebelumnya yang disebut “Meteor.”

Kampanye — dijuluki “Meteor Express” — belum dikaitkan dengan kelompok ancaman yang diidentifikasi sebelumnya atau serangan tambahan, menjadikannya insiden pertama yang melibatkan penyebaran malware ini, menurut peneliti dari perusahaan antivirus Iran Amn Pardazo dan SentinelOne. Meteor diyakini telah bekerja selama tiga tahun terakhir.

Bacaan Lainnya

“Meskipun kurangnya indikator spesifik kompromi, kami dapat memulihkan sebagian besar komponen serangan,” kata Peneliti Ancaman Utama SentinelOne, Juan Andres Guerrero-Saade. “Di balik kisah aneh tentang kereta yang berhenti dan troll glib ini, kami menemukan sidik jari penyerang yang tidak dikenal,” menambahkan serangan itu “dirancang untuk melumpuhkan sistem korban, tanpa meninggalkan jalan lain untuk perbaikan sederhana melalui administrasi domain atau pemulihan salinan bayangan.”

Tim Stack Overflow

Pada tanggal 9 Juli, sistem kereta api Iran dibiarkan lumpuh setelah a serangan besar, dengan peretas merusak tampilan elektronik untuk menginstruksikan penumpang untuk mengarahkan keluhan mereka ke nomor telepon kantor Pemimpin Tertinggi Iran Ayatollah Ali Khamenei. Insiden itu dilaporkan telah menyebabkan “kekacauan yang belum pernah terjadi sebelumnya” di stasiun dengan ratusan kereta tertunda atau dibatalkan.

Sekarang menurut SentinelOne, rantai infeksi dimulai dengan penyalahgunaan Kebijakan Grup untuk menyebarkan toolkit yang terdiri dari kombinasi file batch yang mengatur komponen yang berbeda, yang diekstraksi dari beberapa arsip RAR dan dirantai bersama untuk memfasilitasi enkripsi sistem file, kerusakan pada master boot record (MBR), dan penguncian sistem yang bersangkutan.

Penghapus Malware

File skrip batch lainnya yang dijatuhkan selama serangan ditemukan untuk mengambil alih pemutusan perangkat yang terinfeksi dari jaringan dan membuat pengecualian Windows Defender untuk semua komponen, sebuah taktik yang menjadi semakin umum di antara pelaku ancaman untuk menyembunyikan aktivitas jahat mereka dari solusi antimalware yang diinstal. pada mesin.

Mencegah Serangan Ransomware

Meteor, pada bagiannya, adalah penghapus yang dapat dikonfigurasi secara eksternal dengan serangkaian fitur yang luas, termasuk kemampuan untuk menghapus salinan bayangan serta “kekayaan fungsionalitas tambahan” seperti mengubah kata sandi pengguna, menghentikan proses sewenang-wenang, menonaktifkan mode pemulihan, dan menjalankan perintah berbahaya.

Wiper telah dicirikan sebagai “gabungan kode khusus yang aneh” yang memadukan komponen sumber terbuka dengan perangkat lunak kuno yang “penuh dengan pemeriksaan kewarasan, pemeriksaan kesalahan, dan redundansi dalam mencapai tujuannya,” menunjukkan pendekatan yang terfragmentasi dan kurangnya koordinasi di berbagai tim yang terlibat dalam pengembangan.

“Konflik di dunia maya dipenuhi dengan aktor ancaman yang semakin berani. Di balik seni troll epik ini terletak kenyataan yang tidak menyenangkan di mana aktor ancaman yang sebelumnya tidak dikenal bersedia memanfaatkan malware penghapus terhadap sistem perkeretaapian umum,” kata Guerrero-Saade. “Penyerang adalah pemain tingkat menengah yang komponen operasional yang berbeda berosilasi tajam dari kikuk dan dasar menjadi licin dan berkembang dengan baik.”

“Kita harus ingat bahwa penyerang sudah terbiasa dengan pengaturan umum target mereka, fitur pengontrol domain, dan pilihan sistem cadangan target (Veeam). Itu menyiratkan fase pengintaian yang terbang sepenuhnya di bawah radar dan kekayaan alat spionase yang belum kami temukan.”

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *