Một cuộc tấn công mạng đã làm trật bánh các trang web của Bộ Giao thông vận tải Iran và hệ thống đường sắt quốc gia hồi đầu tháng, gây gián đoạn trên diện rộng các dịch vụ xe lửa, là kết quả của phần mềm độc hại gạt nước có thể tái sử dụng chưa từng thấy có tên “Meteor”.
Chiến dịch – được đặt tên là “MeteorExpress“- không được liên kết với bất kỳ nhóm mối đe dọa nào đã được xác định trước đó hoặc với các cuộc tấn công bổ sung, khiến nó trở thành sự cố đầu tiên liên quan đến việc triển khai phần mềm độc hại này, theo các nhà nghiên cứu từ hãng chống vi-rút Iran Amn Pardaz và SentinelOne. Meteor được cho là đã được thực hiện trong ba năm qua.
“Mặc dù thiếu các chỉ số cụ thể về sự xâm phạm, chúng tôi đã có thể khôi phục hầu hết các thành phần tấn công”, Nhà nghiên cứu mối đe dọa chính của SentinelOne, Juan Andres Guerrero-Saade, lưu ý. “Đằng sau câu chuyện kỳ quặc về những chuyến tàu bị dừng và những trò lém lỉnh thần thánh này, chúng tôi đã tìm thấy dấu vân tay của một kẻ tấn công không quen thuộc”.
Vào ngày 9 tháng 7, hệ thống xe lửa của Iran đã bị tê liệt sau sự cố cuộc tấn công lớn, với việc các tin tặc phá hoại màn hình điện tử để hướng dẫn hành khách gửi đơn khiếu nại đến số điện thoại của văn phòng Lãnh tụ tối cao Iran Ayatollah Ali Khamenei. Vụ việc được cho là đã gây ra “tình trạng hỗn loạn chưa từng có” tại các nhà ga với hàng trăm chuyến tàu bị hoãn hoặc hủy chuyến.
Theo SentinelOne, chuỗi lây nhiễm bắt đầu với việc lạm dụng Chính sách Nhóm triển khai một bộ công cụ bao gồm một tổ hợp các tệp hàng loạt sắp xếp các thành phần khác nhau, được trích xuất từ nhiều kho lưu trữ RAR và được liên kết với nhau để tạo điều kiện thuận lợi cho việc mã hóa hệ thống tệp, làm hỏng bản ghi khởi động chính (MBR), và khóa hệ thống được đề cập.
Các tệp kịch bản hàng loạt khác bị rơi trong cuộc tấn công được phát hiện có nhiệm vụ ngắt kết nối thiết bị bị nhiễm khỏi mạng và tạo loại trừ Windows Defender cho tất cả các thành phần, một chiến thuật đang trở thành ngày càng thịnh hành giữa các tác nhân đe dọa để che giấu các hoạt động độc hại của họ khỏi các giải pháp chống phần mềm độc hại được cài đặt trên máy.
Về phần mình, Meteor là một trình gạt nước có thể cấu hình bên ngoài với một bộ tính năng mở rộng, bao gồm khả năng xóa các bản sao bóng mờ cũng như “vô số chức năng bổ sung” như thay đổi mật khẩu người dùng, chấm dứt các quy trình tùy ý, tắt chế độ khôi phục và thực hiện các lệnh độc hại.
Trình gạt nước đã được mô tả là “một hỗn hợp kỳ lạ của mã tùy chỉnh” kết hợp các thành phần nguồn mở với phần mềm cổ xưa “đầy rẫy các kiểm tra độ tỉnh táo, kiểm tra lỗi và dư thừa trong việc hoàn thành mục tiêu”, cho thấy một cách tiếp cận phân mảnh và thiếu sự phối hợp giữa các nhóm khác nhau tham gia vào quá trình phát triển.
Guerrero-Saade cho biết: “Xung đột trong không gian mạng ngày càng phổ biến với các tác nhân đe dọa ngày càng trơ trẽn. Đằng sau nghệ thuật của trò troll hoành tráng này là một thực tế khó chịu, nơi một tác nhân đe dọa chưa từng biết trước đây sẵn sàng sử dụng phần mềm độc hại chống lại các hệ thống đường sắt công cộng”, Guerrero-Saade nói. “Kẻ tấn công là một người chơi ở cấp độ trung cấp có các thành phần hoạt động khác nhau dao động mạnh từ thô sơ và thô sơ đến bóng bẩy và phát triển tốt.”
“Chúng ta nên nhớ rằng những kẻ tấn công đã quen thuộc với thiết lập chung của mục tiêu, các tính năng của bộ điều khiển miền và lựa chọn hệ thống dự phòng (Veeam) của mục tiêu. Điều đó ngụ ý rằng giai đoạn trinh sát bay hoàn toàn dưới radar và vô số công cụ gián điệp mà chúng tôi vẫn chưa khám phá ra. “
