حمله سایبری به سیستم راه آهن جمهوری اسلامی ایران با بدافزار wiper جدید
اخبار داغ فناوری اطلاعات و امنیت شبکهحمله سایبری که وب سایت های وزارت حمل و نقل ایران و سیستم راه آهن ملی ایران را در اوایل ماه تیر سال جاری از دسترس خارج کرد و باعث اختلال گسترده در خدمات قطارها شد، در نتیجه بهره گیری از بدافزار حذف کننده ای به نام "Meteor" بوده است.
به گفته محققان شرکت آنتی ویروس ایرانی امن پرداز و سنتینل وان، این کمپین که با نام "MeteorExpress" شناخته میشود، با هیچ گروه تهدید کننده ای که قبلاً شناسایی شده اند یا حملات مضاعفی مرتبط نبوده است و این اولین حادثه مربوط به استقرار بدافزار مذکور است. اعتقاد بر این است که Meteor در سه سال گذشته در حال فعالیت بوده است.
خوان آندرس گوئررو ساعد، محقق اصلی سنتینل وان، خاطرنشان کرد: "علیرغم فقدان شاخص های معینی برای بررسی خطر، ما توانستیم بیشتر اجزای حمله را بازیابی کنیم. در پشت این داستان عجیب و غریب در مورد قطارهای متوقف شده و ترول های ناگهانی، ما آثار جرم یک مهاجم ناشناس را پیدا کردیم". وی افزود: این حمله برای فلج کردن سیستم قربانی طراحی شده است و هیچ راهی برای ترمیم ساده از طریق مدیریت دامنه یا بازیابی نسخه های پشتیبان باقی نمیگذارد.
در 9 جولای سال ۲۰۲۱، سیستم قطار ایران در پی یک حمله بزرگ فلج شد و هکرها با خراب کردن نمایشگرهای الکترونیکی به مسافران دستور دادند شکایات خود را به شماره تلفنی که گفته میشود مرتبط با دفتر آیت الله علی خامنه ای رهبر معظم جمهوری اسلامی ایران است، ارسال نمایند. گفته می شود این حادثه باعث ایجاد هرج و مرج بی سابقهای در ایستگاه های راه آهن شده و صدها قطار با تاخیر حرکت کرده یا حرکتشان لغو شده است.
در حال حاضر طبق گزارش سنتینل وان، این زنجیره آلودگی با سواستفاده از Group Policy برای استقرار مجموعه ای از ابزاری شامل ترکیبی از فایل های دسته ای که اجزای مختلف را تنظیم می کنند، که از چندین آرشیو RAR استخراج شده اند و برای تسهیل رمزگذاری فایل سیستم با هم پیوند داشته اند، خرابی و اختلال در مستر بوت رکورد (MBR) و قفل کردن سیستم مورد نظر، آغاز شده است.
سایر فایلهای اسکریپت دسته ای که در طول حمله مستقر شده اند، وظیفه قطع دستگاه آلوده از شبکه و ایجاد exclusion در Windows Defender برای همه اجزا را بر عهده داشته اند؛ تاکتیکی که در بین عاملان تهدید به طور فزاینده ای رایج شده است تا فعالیت های مخرب خود را از آنتی ویروس های نصب شده روی دستگاه ها پنهان کنند.
بدافزار Meteor به نوبه خود یک پاک کننده با امکان اعمال تنظیمات خارجی با مجموعه ای وسیع از ویژگی ها و امکانات، از جمله قابلیت حذف کپی ها و همچنین بسیاری قابلیت های اضافی دیگر مانند تغییر رمزهای عبور کاربر، خاتمه دادن به فرآیندهای دلخواه، غیرفعال کردن حالت بازیابی و اجرای دستورات مخرب است.
این پاک کننده به عنوان "ترکیبی عجیب از کد کاستوم شده" توصیف شده است که اجزای متن باز را با نرم افزارهای قدیمی "که با بررسی منطق، بررسی خطا و افزودن امکان دستیابی به اهداف خود آمیخته است"، ترکیب می کند، که نشان از وجود یک رویکرد از هم گسسته و عدم هماهنگی در بین تیمهای مختلف درگیر در این توسعه بدافزازی دارد.
گوئررو ساعد گفت: "درگیری در فضای سایبری و مجازی بیش از حد با عاملان تهدید مخرب روبرو است. پشت هنر و مدیریت این ترول بزرگ یک واقعیت ناراحت کننده نهفته است که در آن یک عامل تهدید ناشناخته مایل است از بدافزار پاک کننده برعلیه سیستم های راه آهن عمومی یک کشور استفاده کند. مشخص است که مهاجم این حادثه، یک عامل سطح متوسط است، چرا که اجزای مختلف عملیاتی آن به شدت از حالت ناموزون و ابتدایی تا واضح و توسعه یافته متغیر است".
"ما باید در نظر داشته باشیم که مهاجمان از قبل با تنظیمات کلی هدف خود، ویژگی های کنترل کننده دامنه و انتخاب سیستم پشتیبان هدف (Veeam) آشنا بوده اند. این به معنای یک مرحله شناسایی است که به طور کامل مجموعه هدف را تحت نظارت داشته اند و همچنین از بسیاری از ابزارهای جاسوسی بهره برده اند که ما تاکنون آنها را کشف نکرده ایم".
برچسب ها: رجا, قطار, وزارت راه و ترابری, راه آهن, مقام معظم رهبری, پاک کننده, Wiper, Veeam, MBR, SentinelOne, MeteorExpress, Meteor, Cybercriminal, cybersecurity, Windows Defender, امنیت سایبری, Cyber Attacks, حمله سایبری