روزهای پایانی سومین هفته تیرماه، وزارت راه و شهرسازی و سیستم ریلی ایران مورد حملات سایبری قرار گرفت و تمامی سامانههای وزارت راه و شرکت راه آهن از دسترس خارج شدند.گزارشها حاکی از آن بود که این حمله باعث تعویق صد ها قطار یا لغو آنها شده است. چنانچه تصویر نشان میدهد بر تابلوی اعلان برنامه قطارهای راهآهن در ایستگاه تهران نوشته شده: «تاخیر زیاد بدلیل حملات سایبری» و از مسافران خواسته شده بود تا برای کسب اطلاعات بیشتر، با شمارهای تماس بگیرند که متعلق به دفتر مقام معظم رهبری، حضرت آیت الله خامنه ای بود.
پس از گذشت بیش از ۴۸ ساعت از حمله، از مجموع حدود ۴۰۰ سرور، تنها ۵ سرور شروع به فعالیت کردند و به نظر میرسید نسخههای پشتیبان یا وجود نداشت یا به دلایلی امکان فعال شدن نداشتند. درگاه وزارت راه و شهرسازی پس از چند روز بالا آمد؛ اطلاعات ۴ ماه اخیر از سایت حذف شده بود. بنابراین به نظر میرسد آخرین نسخه پشتیبان در دست مربوط به ۴ ماه قبل است.
به گزارش شرکت امنپرداز و سنتینل وان SentinelOne، این حمله نتیجه بدافزاری جدید و قبلاً دیدهنشده به نام «Meteor» است. در این گزارشها آمده است که این اولین استقرار این بدافزار است؛ ولیکن با توجه به تحلیل بدافزار Meteor، از سه سال گذشته کار خود را آغاز کرده است.
خوان آندرس گوئرر، محقق سنتینل وان SentinelOne، خاطرنشان کرده است: «علیرغم عدم وجود مشخصههای خاص تسخیر، توانستیم مهمترین مولفههای این حمله را بازیابی کنیم و ردپای مهاجمی ناشناس را پیدا کردیم . این بدافزار برای فلج کردن سیستمهای قربانی طراحی شده است و هیچ راهحلی برای بهبود از طریق مدیریت دامنه یا بازیابی نسخههای پشتیبان باقی نمیگذاشت».
به نقل از SentinelOne، زنجیره آلودگیها با سو استفاده از سیاستهای گروهی یا Group Policy اتفاق افتاده که با وارد کردن ابزارهایی متشکل از فایل های batch که برای هماهنگ کردن اجزای مختلف استفاده می شود، صورت میگرفت. این فایلها، خود از چندین فایل آرشیو RAR استخراج شده اند که به همدیگر متصل هستند و اجزای رمزنگاری فایل سیستم و تغییرات MBR را تسهیل میکنند و باعث قفل سیستم میشود. در این تحلیل، فایلهای batch دیگری هم پیدا شدهاند که برای قطع اتصال دستگاه های آلوده از شبکه استفاده میشوند و مانع از فعالیت سیستم دفاعی ویندوز میشوند؛ تکنیکی که اخیراً مورد توجه گروههای تهدید قرار گرفته است.
اولین اقدام بدافزار در رابطه با فایل cache.bat است که بر پاکسازی موانع برای حمله عناصر بعدی است.
cache.bat سه عملکرد اصلی را انجام می دهد ابتدا دستگاه آلوده را از شبکه جدا می کند، سپس بررسی می کند که آیا ضد ویروس کسپرسکی بر روی دستگاه نصب شده است یا خیر، اگر نصب بود در این صورت خارج می شود و در غیر اینصورت فایل cache.Bat باعث حذف Windows Defender می شود و راه را برای یک حمله باز می کند.
دو batch files دیگر نیز وجود دارند که Event Log ها را پاک می نمایند، و همچنین یک Task به صورت زمانبندی شده توسط اسکریپتی به نام mstask ایجاد و تنظیم می شود بدافزار Meteor Wiper را در پنج دقیقه مانده تا نیمه شب اجرا نماید.
بخش اصلی این حمله یک زنجیره ای که بر عهده یک فایل اجرایی با نام env.exe یا msapp.exe است.
این Wiper قادر است اقدامات ذیل را انجام دهد:
- Change Passwords برای تمام یوزرها
- غیر فعال کردن Screensavers
- Process Termination بر اساس یک لیست از پروسس های هدف
- نصب Screen Locker
- غیر فعال کردن Recovery Mode
- تغییر پالیسی های Boot Policy Error Handling
- ایجاد لیستی از برنامه های زمان بندی
- Log OFF Local Sessions
- Delete Shadow Copies
- تغییر تصاویر Lock Screen
- اجرای خواسته ها
هنگامی که محققان SentinelOne به صورت عمیق تر نرم افزار Wipe را مورد بررسی قرار دادند متوجه این قضییه شدند که این Wiper توسط Developer های متعددی ایجاد شده است؛ همچنین این گزارش اضافه می کند که این Wiper برای این عملیات خاص ساخته نشده است اما تاکنون نیز حمله مشابهی مشاهده نشده و احتمالا حمله کنندگان تحت حمایت یک دولت می باشند.
محققان موفق نشده اند هک شدن سایت راه آن ایران را به فرد یا تیم خاصی منتسب نمایند اما توضیح داده اند که سطح حمله کننده متوسط می باشد که اجزای تیم عملیاتی او از افراد مبتدی تا خوب تشکیل شده اند، اگرچه آنها نتوانستند دلیل حمله را مشخص کنند ، اما آنها خاطرنشان کردند که به نظر می رسد مهاجمان با تنظیمات کلی سیستم راه آهن ایران آشنا بوده اند و این بدان معناست که هکرها قبل از شروع به حمله در سیستم های این اداره کلی وقت گذرانده اند.