Meteor: le wiper utilisé dans une attaque contre le système ferroviaire iranien

0

Une attaque plus tôt ce mois-ci contre le système ferroviaire iranien, qui a perturbé le service ferroviaire et nargué le leadership iranien via des écrans d’affichage des transports en commun piratés, a utilisé un logiciel malveillant de type wiper inédit appelé Meteor qui semble avoir été conçu pour être réutilisé, a découvert un chercheur en sécurité .

L’attaque initiale, baptisée MeteorExpress, a eu lieu le 9 juillet, lorsqu’« une attaque d’essuie-glaces a paralysé le système ferroviaire iranien », selon un rapport de Juan Andres Guerrero-Saade de SentinelOne.

Cette attaque a perturbé le service et a incité les clients via tous les écrans et panneaux de messages de la gare à appeler le « 64411 » – le numéro du bureau du chef suprême Ali Khamenei – pour plus d’informations.

Le lendemain, des attaquants ont également attaqué le site Web et les systèmes informatiques du personnel du ministère iranien des Routes et du Développement urbain, selon un rapport publié.

Les chercheurs de SentinelLabs ont reconstruit la majeure partie de la chaîne d’attaque dans le système de train et ont découvert le nouveau wiper, que les pirates informatiques – qui semblent également être un nouvel ensemble d’adversaires trouvant toujours leur rythme d’attaque – nomment Meteor, a écrit Guerrero-Saade.

Guerrero-Saade a attribué au chercheur en sécurité Anton Cherepanov le mérite d’avoir identifié une première analyse de l’événement écrite en farsi par une société antivirus iranienne comme aidant les chercheurs à recréer l’attaque.

Ce qu’ils ont découvert, c’est que « derrière cette histoire étrange de trains arrêtés et de trolls désinvoltes » se trouvent « les empreintes digitales d’un attaquant inconnu », utilisant un wiper qui « a été développé au cours des trois dernières années et a été conçu pour être réutilisé », a écrit Guerrero-Saade.

Reconstituer l’attaque

Dans l’ensemble, la boîte à outils qui a orchestré l’attaque était composée d’une combinaison de fichiers batch qui implémentaient différents composants supprimés des archives RAR, selon SentinelLabs. Les attaquants ont utilisé les fichiers batch, imbriqués à côté de leurs composants respectifs, dans une chaîne pour exécuter avec succès l’attaque.

« Les composants du wiper sont divisés par fonctionnalité : Meteor crypte le système de fichiers en fonction d’une configuration cryptée, nti.exe corrompt le MBR et mssetup.exe verrouille le système », a écrit Guerrero-Saade.

Les chercheurs ont récupéré « une quantité surprenante de fichiers » pour une attaque de wiper, mais n’ont pas réussi à les reconstruire tous. Un composant notable manquant était le corrupteur MBR, nti.exe ; son absence est importante car les fichiers écrasés par ce composant sont les mêmes que ceux écrasés par le célèbre ransomware NotPetya, qui a paralysé des organisations du monde entier en 2017, a noté Guerrero-Saade.

meteor

Malgré le succès de l’attaque, cependant, les chercheurs ont découvert « un étrange niveau de fragmentation de la boîte à outils globale », a-t-il déclaré.

« Les fichiers batch génèrent d’autres fichiers batch, différentes archives RAR contiennent des exécutables entremêlés, et même l’action prévue est séparée en trois charges utiles : Meteor efface le système de fichiers, mssetup.exe verrouille l’utilisateur et nti.exe corrompt vraisemblablement le MBR », a écrit Guerrero- Saade.

Composants d’attaque spécifiques

Les chercheurs ont identifié et élaboré deux de ces trois charges utiles dans le rapport. L’un est la charge utile principale, le wiper Meteor, qui se présente sous la forme d’un exécutable déposé sous env.exe ou msapp.exe, et est exécuté en tant que tâche planifiée avec un seul argument : un fichier de configuration JSON crypté, msconf.conf, qui contient les valeurs des clés correspondantes contenues en clair dans le binaire, selon le rapport.

« Dans sa fonctionnalité la plus basique, le wiper Meteor prend un ensemble de chemins à partir de la configuration cryptée et parcourt ces chemins, en effaçant les fichiers », a écrit Guerrero-Saade. « Il s’assure également de supprimer les shadows copies et supprime la machine du domaine pour éviter les moyens de correction rapide. »

Le wiper comprend également beaucoup plus de fonctionnalités qui n’ont pas été utilisées lors de l’attaque du train iranien, a-t-il noté. Il peut : changer les mots de passe pour tous les utilisateurs ; désactiver les économiseurs d’écran ; terminer les processus en fonction d’une liste de processus cibles ; installer un screenlocker; désactiver le mode de récupération ; gestion des erreurs de politique changesboot ; créer des tâches planifiées ; et déconnectez les sessions locales, entre autres actions.

Le fait qu’il ait des capacités aussi larges semble suggérer que Meteor n’est pas simplement un objet unique, mais que ses créateurs ont l’intention de l’utiliser dans d’autres attaques, a noté Guerrero-Saade.

Les attaquants de MeteorExpress ont également supprimé un screenlocker autonome, mssetup.exe, qui bloque la saisie de l’utilisateur avant de créer une fenêtre qui remplit tout l’écran avant de désactiver le curseur et de verrouiller complètement l’utilisateur, selon le rapport.

Attaquants novices ?

Malgré son succès dans l’attaque MeteorExpress, le groupe de pirates semble toujours perfectionner ses compétences et trouver sa voie, comme en témoignent les pratiques « contradictoires » du code et des capacités de Meteor, ont observé les chercheurs.

« Tout d’abord, le code regorge de contrôles de cohérence, de vérification d’erreurs et de redondance dans l’accomplissement de ses objectifs », a écrit Guerrero-Saade. « Cependant, les opérateurs ont clairement commis une erreur majeure en compilant un binaire avec une multitude de chaînes de débogage destinées aux tests internes. »

Les entrailles de Meteor incluent également un « amalgame bizarre de code personnalisé » qui exploite des composants open source et des logiciels « pratiquement anciens » – Lock My PC 4 de FSProLabs, soulignant la nature expérimentale générale de l’approche des attaquants, a-t-il déclaré.

Cependant, « bien que cela puisse suggérer que le wiper Meteor a été conçu pour être jetable ou destiné à une seule opération », ce code est « juxtaposé à une conception configurable en externe qui permet une réutilisation efficace pour différentes opérations », a écrit Guerrero-Saade.

Dans l’ensemble, les composants de MeteorExpress que les chercheurs ont examinés indiquent un nouvel acteur de niveau intermédiaire dans le paysage des attaques « dont les différents composants opérationnels oscillent fortement de maladroit et rudimentaire à lisse et bien développé », a-t-il conclu.

N’oubliez pas de jeter un coup d’œil à nos bons plans.

Laisser un commentaire