Facebook Linkedin Youtube Telegram Twitter Pinterest Tumblr Rss Mastodon
Logo Portale Red Hot Cyber

Red Hot Cyber

Sicurezza informatica, cybercrime, hack
news, e altro ancora

Red Hot Cyber

Era un “wiper”, il malware del cyber attack alle ferrovie Iraniane.

L’attacco informatico, che ha paralizzato le ferrovie Iraniane all’inizio di questo mese (incidente che abbiamo trattato su RHC), non è stato effettuato utilizzando un ransomware, come si pensava in precedenza, ma un malware della classe dei wiper, chiamato Meteor, che cancella tutti i dati memorizzati sul sistema.

Sembra paradossale, ma i wiper, quelli più famosi sono stati proprio creati dall’Iran (ricordiamoci di Shamoon, ZeroCleare e Dustman). Si tratta di un malware “distruttivo”, inizialmente creato per essere utilizzati negli attacchi contro le compagnie petrolifere iraniane, ma successivamente utilizzato per arrecare danni alle reti attaccate da gruppi terroristici o national state.

Secondo Juan Andres Guerrero-Saade, un ricercatore senior di SentinelOne, una azienda leader nelle analisi di sicurezza delle informazioni, l’incidente alla ferrovia iraniana ha visto l’utilizzo di Meteor, anche se gli esperti non sono ancora stati in grado di comprendere se sia un atto di qualche gruppo criminale già noto.

Iscriviti alla newsletter di RHC per rimanere sempre aggiornato

Secondo un’analisi dei ricercatori di SentinelOne, Meteor (nome in codice MeteorExpress) utilizza:

  1. Il file msetup.exe che svolge il ruolo di blocco dello schermo, spesso utilizzato dai ransomware per impedire agli utenti di accedere ai contenuti dei propri computer;
  2. Il file nti.exe che sovrascrive il Master Boot Record (MBR) sul computer della vittima.

Guerrero-Saade non ha spiegato come o dove è iniziato l’attacco, ma ha affermato che una volta all’interno della rete attaccata, gli aggressori hanno iniziato a distribuire il malware, eliminando le copie shadow per impedire il ripristino dei dati e disconnettere gli host infetti dal controller di dominio locale, in modo che gli amministratori di sistema non sono stati in grado di intraprendere immediatamente una azione appropriata.

Al completamento dell’attacco, tutti i dati sui computer sono stati cancellati e sullo schermo è apparsa una notifica che invitava la vittima a chiamare l’amministrazione del leader iraniano Ali Khamenei.

Sebbene l’attacco sembri uno scherzo crudele al governo iraniano, il malware utilizzato è tutt’altro che uno scherzo.

Secondo Guerrero-Saade, tutti gli strumenti utilizzati nell’attacco sono un “selvaggio mix di codice personalizzato”, inclusi componenti open source, software legacy e componenti scritti da zero, “pieni di controlli sugli errori e ridondanza nel raggiungimento dei loro obiettivi”.

Mentre alcune parti del wiper sembrano essere state scritte da uno sviluppatore di malware molto esperto, la natura disorganizzata dell’attacco potrebbe indicare che che l’intera operazione potrebbero essere state eseguite in fretta da più team.

Iscriviti alla newsletter
Categorie
Banner
Redazione: [email protected]
Facebook Linkedin Youtube Telegram Twitter Pinterest Tumblr
Redhotcyber è un progetto di open-news nato dall'idea di Massimiliano Brolli nel 2019, successivamente ampliato in una rete di persone che collaborano alla divulgazione di news e temi incentrati sulla sicurezza informatica, ma anche di tecnologia e informatica in generale, con lo scopo di accrescere i concetti di cybersecurity ad un numero sempre più crescente di persone.
Le foto e gli articoli presenti su redhotcyber.com sono stati in parte presi da Internet e quindi ritenuti di pubblico dominio. Se i soggetti o gli autori avessero qualcosa in contrario alla loro pubblicazione, lo possono segnalare alla redazione che provvederà prontamente alla rimozione dal sito.