针对伊朗铁路瘫痪的网络攻击真相来了

来源:红数位

我们曾报道过:伊朗铁路系统被黑,黑客发布虚假延误信息

目前后续真相来了。



根据安全公司Amnpardaz和SentinelOne发布的研究 ,本月初使伊朗国家铁路系统瘫痪的网络攻击是由名为Meteor的磁盘擦除恶意软件引起的, 而不是由勒索软件攻击引起的。


SentinelOne的首席威胁研究员Juan Andres Guerrero-Saade表示,这是部署该恶意软件的第一个已知事件。Guerrero-Saade 在跟踪高级持续威胁行为者方面有着悠久的历史,他表示他们尚未能够将Meteor与先前已知的实体联系起来。


Meteor恶意软件是精心策划的攻击的一部分


根据该公司的分析,磁盘擦除恶意软件只是7月9日部署在伊朗铁路公司计算机上的更大恶意软件库的三个部分之一。


SentinelOne以MeteorExpress的代号追踪这些攻击,并导致伊朗各地的火车被取消或延误,包括:


  • Meteor–擦除受感染计算机文件系统的恶意软件。

  • 一个名为mssetup.exe的文件扮演了老式屏幕锁的角色,将用户锁定在他们的电脑之外。

  • 还有一个名为nti.exe的文件,它重写了受害计算机的主引导记录 MBR。


无法获得有关攻击如何开始或起源于何处的信息,但Guerrero-Saade表示,一旦进入网络,攻击者就会使用组策略来部署他们的恶意软件,删除卷影副本以防止数据恢复,并断开受感染主机与他们的网络的连接,本地域控制器,以防止系统管理员快速修复受感染的系统。


图片:SENTINELONE


攻击结束后,受感染计算机的文件系统会被擦除,屏幕上会显示一条消息,告诉受害者拨打属于最高领袖阿亚图拉·阿里·哈梅内伊办公室的电话号码,从攻击者的角度来看,这都是一个恶搞。




但是,尽管MeteorExpress活动和擦除器攻击看起来像是针对伊朗政府官员的巧妙恶作剧,但使用的恶意软件却并非如此。


Meteor和MeteorExpress攻击中使用的所有其他组件都包含Guerrero-Saade 所说的“自定义代码的奇异混合物”,将开源组件与古老的软件和自定义编写的部分混合在一起,这些组件“充斥着健全性检查、错误检查和冗余以实现其目标。”Meteor代码的某些部分包含在屏幕锁定组件或相邻的部署批处理脚本中找到的相同功能。


SentinelOne研究人员说:“即使是他们的批处理脚本也包括广泛的错误检查,这是部署脚本很少遇到的功能。”


然而,Guerrero-Saade还指出,虽然恶意软件的某些部分似乎是由经验丰富的专业开发人员编写的,但MeteorExpress攻击的杂乱无章的性质可能表明恶意软件和整个操作可能是匆忙完成的由多个团队。


攻击者是一个中级玩家,其不同的操作组件从笨拙和简陋到灵活和发达。[...] 我们看到一个对手还没有处理他们的部署管道,使用他们的恶意软件样本,其中包含与此特定操作无关的大量调试功能和刻录功能。不同攻击组件之间存在功能冗余,这表明团队之间的职责分工不协调,文件以笨拙、冗长和杂乱无章的方式分发,这与高级攻击者不相称。


Juan Andres Guerrero-Saade,SentinelOne的首席威胁研究员,SentinelOne是在伊朗铁路系统遭到袭击前六个月编译的,它表示尚不清楚 Meteor是否只是为了这次行动而组合在一起,或者我们是否会在未来看到以新形式出现的恶意软件应变。



|
|
|
|
咨询合作电话:0531-88762231
地址:山东省济南市历下区舜泰广场8号楼西座9层
官方公众号
自媒体平台
添加微信客服报名