Era un “wiper”, il malware del cyber attack alle ferrovie Iraniane.

Redazione RHC : 30 Luglio 2021 08:11

L’attacco informatico, che ha paralizzato le ferrovie Iraniane all’inizio di questo mese (incidente che abbiamo trattato su RHC), non è stato effettuato utilizzando un ransomware, come si pensava in precedenza, ma un malware della classe dei wiper, chiamato Meteor, che cancella tutti i dati memorizzati sul sistema.

Cybersecurity Awareness per la tua azienda? Scopri BETTI RHC! Sei un'azienda innovativa, che crede nella diffusione di concetti attraverso metodi "non convenzionali"?  Red hot cyber ha sviluppato da diversi anni una Graphic Novel, l'unica nel suo genere nel mondo, che consente di formare i dipendenti sulla sicurezza informatica attraverso la lettura di un fumetto. Scopri di più sul corso a fumetti di Red Hot Cyber. Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected] Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Sembra paradossale, ma i wiper, quelli più famosi sono stati proprio creati dall’Iran (ricordiamoci di Shamoon, ZeroCleare e Dustman). Si tratta di un malware “distruttivo”, inizialmente creato per essere utilizzati negli attacchi contro le compagnie petrolifere iraniane, ma successivamente utilizzato per arrecare danni alle reti attaccate da gruppi terroristici o national state.

Secondo Juan Andres Guerrero-Saade, un ricercatore senior di SentinelOne, una azienda leader nelle analisi di sicurezza delle informazioni, l’incidente alla ferrovia iraniana ha visto l’utilizzo di Meteor, anche se gli esperti non sono ancora stati in grado di comprendere se sia un atto di qualche gruppo criminale già noto.

Secondo un’analisi dei ricercatori di SentinelOne, Meteor (nome in codice MeteorExpress) utilizza:

1. Il file msetup.exe che svolge il ruolo di blocco dello schermo, spesso utilizzato dai ransomware per impedire agli utenti di accedere ai contenuti dei propri computer;
2. Il file nti.exe che sovrascrive il Master Boot Record (MBR) sul computer della vittima.

Guerrero-Saade non ha spiegato come o dove è iniziato l’attacco, ma ha affermato che una volta all’interno della rete attaccata, gli aggressori hanno iniziato a distribuire il malware, eliminando le copie shadow per impedire il ripristino dei dati e disconnettere gli host infetti dal controller di dominio locale, in modo che gli amministratori di sistema non sono stati in grado di intraprendere immediatamente una azione appropriata.

Al completamento dell’attacco, tutti i dati sui computer sono stati cancellati e sullo schermo è apparsa una notifica che invitava la vittima a chiamare l’amministrazione del leader iraniano Ali Khamenei.

Sebbene l’attacco sembri uno scherzo crudele al governo iraniano, il malware utilizzato è tutt’altro che uno scherzo.

Secondo Guerrero-Saade, tutti gli strumenti utilizzati nell’attacco sono un “selvaggio mix di codice personalizzato”, inclusi componenti open source, software legacy e componenti scritti da zero, “pieni di controlli sugli errori e ridondanza nel raggiungimento dei loro obiettivi”.

Mentre alcune parti del wiper sembrano essere state scritte da uno sviluppatore di malware molto esperto, la natura disorganizzata dell’attacco potrebbe indicare che che l’intera operazione potrebbero essere state eseguite in fretta da più team.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli