Theo The Hacker News, một cuộc tấn công mạng lớn gần đây liên quan đến phần mềm độc hại gạt nước Meteor đã thành công trong việc phá hủy cơ sở hạ tầng đường sắt quốc gia của Iran cũng như trang web của Bộ Giao thông Vận tải, dẫn đến gián đoạn đáng kể dịch vụ tàu hỏa trên khắp đất nước .
Vào ngày 9 tháng 7, hệ thống tàu hỏa của Iran đã trở nên lỗi thời do hậu quả của một cuộc tấn công lớn với hành khách được khuyên nên đăng ký khiếu nại với Ayatollah Ali Khamenei, người có số điện thoại được hiển thị. Cần phải nói rằng sự cố đã gây ra tình trạng hỗn loạn tột độ tại các ga tàu, dẫn đến việc hàng trăm chuyến tàu phải hủy, hoãn chuyến.
Theo các chuyên gia của công ty chống vi-rút Iran SentinelOne và Amn Pardaz, chiến dịch mang tên MeteorExpress không liên quan đến bất kỳ nhóm đe dọa hoặc cuộc tấn công nào được phát hiện trước đó. Mặc dù Meteor được cho là đã hoạt động trong ba năm qua, nhưng về cơ bản đây là sự kiện xảy ra liên quan đến việc triển khai nó.
Theo Juan Andres Guerrero-Saade, Nhà nghiên cứu mối đe dọa chính tại SentinelOne, mặc dù các chuyên gia bảo mật của công ty không thể nhận thấy bất kỳ dấu hiệu xâm phạm rõ ràng nào, họ vẫn có thể truy xuất phần lớn các thành phần tấn công. Nói tóm lại, họ có thể lần ra dấu vân tay kỹ thuật số của một kẻ tấn công không xác định. Tin xấu là các cuộc tấn công được thiết kế để phá hủy các hệ thống được nhắm mục tiêu, để lại ít tùy chọn để khôi phục thông qua bản sao bóng hoặc quản lý miền.
Chuyến tàu bị hoãn và hủy sau vụ tấn công
Theo SentinelOne, sự lây nhiễm đang khai thác Chính sách Nhóm để phân phối một gói công cụ bao gồm các tệp hàng loạt được sắp xếp bởi các thành phần khác nhau. Các tệp được trích xuất từ nhiều kho lưu trữ RAR và được xâu chuỗi lại với nhau để tạo điều kiện thuận lợi cho việc mã hóa hệ thống tệp, lỗi Master Boot Record (MBR) và khóa hệ thống. Hơn nữa, các nhà nghiên cứu đã phát hiện ra các tệp kịch bản hàng loạt được thiết kế để ngắt kết nối các thiết bị bị nhiễm bệnh khỏi cùng một mạng và sau đó tạo ra các loại trừ Windows Defender cho tất cả các thành phần.
Meteor dường như là một trình gạt nước có thể cấu hình bên ngoài có khả năng chạy mã độc, chấm dứt các ứng dụng tùy ý, thay đổi mật khẩu người dùng và hủy kích hoạt chế độ khôi phục. Gạt nước bao gồm kiểm tra sự tỉnh táo, kiểm tra lỗi và dự phòng trong việc đạt được mục tiêu của nó. Tất cả những đặc điểm này cho thấy một cách tiếp cận phân tán và thiếu sự hợp tác giữa các nhóm phát triển.
Guerrero-Saade kết thúc bằng cách nói “Chúng tôi nên nhớ rằng những kẻ tấn công đã quen thuộc với thiết lập chung của mục tiêu, các tính năng của bộ điều khiển miền và lựa chọn hệ thống dự phòng (Veeam) của mục tiêu. Điều đó ngụ ý một giai đoạn do thám đã bay hoàn toàn nằm trong tầm ngắm và vô số công cụ gián điệp mà chúng tôi vẫn chưa khám phá ra. “
Nguồn: https://news.softpedia.com/
