درمورد حمله سایبری به راه آهن ایران جزئیات جدید منتشر شد

محققان شرکت امنیت سایبری SentinelOne در یک گزارش جدید، حمله سایبری به راه آهن ایران را بازسازی کرده و یک عامل تهدید کننده جدید که به عنوان یک Wiper عمل نموده و  آن را MeteorExpresss صدا می زنند را کشف کردند.

در 9 جولای،رسانه های داخل کشور ایران گزارش حمله سایبری به سیستم راه آهن ایران را گزارش کردند ،در این حمله هکرها در صفحه نمایش ایستگاه های قطار از مسافران خواستند تا با شماره تلفن ۶۴۴۱۱ (دفتر حضرت آیت اله خامنه ای ) تماس بگیرند، همچنین خدمات قطارها مختل و فقط یک روز بعد ،هکرها وب سایت وزارت راه و شهرسازی ایران را از دسترس خارج کردند.

خوان آندرس گوئررو، از تحلیلگران اصلی شرکت SentinelOne در بررسی خود توضیح داد که افرادی که در پشت این حمله قرار داشتند از یک ابزار Wipe که قبلاً دیده نشده به نام Meteor (شهاب سنگ) استفاده کرده اند.

در حال حاضر، ما نتوانستیم این حمله را به یک گروهی که از قبل شناسایی شده ارتباط دهیم، اما ما توانستیم این حمله را با کمک یک شرکت آنتی ویروس ایرانی (پادویش) بازسازی کنیم.

اولین اقدام بدافزار در رابطه با فایل cache.bat است که بر پاکسازی موانع برای حمله عناصر بعدی است.

cache.bat سه عملکرد اصلی را انجام می دهد ابتدا دستگاه آلوده را از شبکه جدا می کند، سپس بررسی می کند که آیا ضد ویروس کسپرسکی بر روی دستگاه نصب شده است یا خیر، اگر نصب بود در این صورت خارج می شود و در غیر اینصورت فایل cache.Bat باعث حذف Windows Defender می شود و راه را برای یک حمله باز می کند.

دو batch files دیگر نیز وجود دارند که Event Log ها را پاک می نمایند، و همچنین یک Task به صورت زمانبندی شده  توسط اسکریپتی به نام mstask ایجاد و تنظیم می شود بدافزار Meteor Wiper را در پنج دقیقه مانده تا نیمه شب اجرا نماید.

بخش اصلی این حمله یک زنجیره ای که بر عهده یک فایل اجرایی با نام env.exe یا msapp.exe است.

این Wiper قادر است اقدامات ذیل را انجام دهد:

  1.  Change Passwords برای تمام یوزرها
  2.  غیر فعال کردن Screensavers
  3.  Process Termination بر اساس یک لیست از پروسس های هدف
  4. نصب Screen Locker
  5. غیر فعال کردن Recovery Mode
  6. تغییر پالیسی های Boot Policy Error Handling
  7. ایجاد لیستی از برنامه های زمان بندی
  8. Log OFF Local Sessions
  9. Delete Shadow Copies
  10. تغییر تصاویر Lock Screen
  11. اجرای خواسته ها

هنگامی که محققان SentinelOne به صورت عمیق تر نرم افزار Wipe را مورد بررسی قرار دادند متوجه این قضییه شدند که این Wiper توسط Developer های متعددی ایجاد شده است؛ همچنین این گزارش اضافه می کند که این Wiper برای این عملیات خاص ساخته نشده است اما تاکنون نیز حمله مشابهی مشاهده نشده و احتمالا حمله کنندگان تحت حمایت یک دولت می باشند.

محققان موفق نشده اند هک شدن  سایت راه آن ایران را به فرد یا تیم خاصی منتسب نمایند اما توضیح داده اند که سطح حمله کننده متوسط می باشد که اجزای تیم عملیاتی او از افراد مبتدی تا خوب تشکیل شده اند، اگرچه آنها نتوانستند دلیل حمله را مشخص کنند ، اما آنها خاطرنشان کردند که به نظر می رسد مهاجمان با تنظیمات کلی سیستم راه آهن ایران آشنا بوده اند و این بدان معناست که هکرها قبل از شروع به حمله در سیستم های این اداره کلی وقت گذرانده اند.

منع خبر :سایت ZDNET 
ملاحظه:
این سایت تنها خبر منتشر شده در فضای مجازی را صرفاً منتشر نموده و تایید و یا تکذیب آن بر عهده نهادهای مرتبط و نظارتی می باشد.
اشتراک گذاری

دیدگاهتان را بنویسید

لطفا امتیاز دهید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *