L’attacco informatico, che ha paralizzato le ferrovie Iraniane all’inizio di questo mese (incidente che abbiamo trattato su RHC), non è stato effettuato utilizzando un ransomware, come si pensava in precedenza, ma un malware della classe dei wiper, chiamato Meteor, che cancella tutti i dati memorizzati sul sistema.
Sembra paradossale, ma i wiper, quelli più famosi sono stati proprio creati dall’Iran (ricordiamoci di Shamoon, ZeroCleare e Dustman). Si tratta di un malware “distruttivo”, inizialmente creato per essere utilizzati negli attacchi contro le compagnie petrolifere iraniane, ma successivamente utilizzato per arrecare danni alle reti attaccate da gruppi terroristici o national state.
Secondo Juan Andres Guerrero-Saade, un ricercatore senior di SentinelOne, una azienda leader nelle analisi di sicurezza delle informazioni, l’incidente alla ferrovia iraniana ha visto l’utilizzo di Meteor, anche se gli esperti non sono ancora stati in grado di comprendere se sia un atto di qualche gruppo criminale già noto.
Secondo un’analisi dei ricercatori di SentinelOne, Meteor (nome in codice MeteorExpress) utilizza:
- Il file msetup.exe che svolge il ruolo di blocco dello schermo, spesso utilizzato dai ransomware per impedire agli utenti di accedere ai contenuti dei propri computer;
- Il file nti.exe che sovrascrive il Master Boot Record (MBR) sul computer della vittima.
Guerrero-Saade non ha spiegato come o dove è iniziato l’attacco, ma ha affermato che una volta all’interno della rete attaccata, gli aggressori hanno iniziato a distribuire il malware, eliminando le copie shadow per impedire il ripristino dei dati e disconnettere gli host infetti dal controller di dominio locale, in modo che gli amministratori di sistema non sono stati in grado di intraprendere immediatamente una azione appropriata.
Al completamento dell’attacco, tutti i dati sui computer sono stati cancellati e sullo schermo è apparsa una notifica che invitava la vittima a chiamare l’amministrazione del leader iraniano Ali Khamenei.
Sebbene l’attacco sembri uno scherzo crudele al governo iraniano, il malware utilizzato è tutt’altro che uno scherzo.
Secondo Guerrero-Saade, tutti gli strumenti utilizzati nell’attacco sono un “selvaggio mix di codice personalizzato”, inclusi componenti open source, software legacy e componenti scritti da zero, “pieni di controlli sugli errori e ridondanza nel raggiungimento dei loro obiettivi”.
Mentre alcune parti del wiper sembrano essere state scritte da uno sviluppatore di malware molto esperto, la natura disorganizzata dell’attacco potrebbe indicare che che l’intera operazione potrebbero essere state eseguite in fretta da più team.
