Ciberdelincuentes usaron un nuevo y poderoso malware para atacar el sistema ferroviario iraní

En los recientes ataques contra el sistema ferroviario de Irán se descubrió un nuevo malware de limpieza (wiper) de archivos llamado Meteor.

A principios de este mes, el Ministerio de Transporte de Irán y el sistema nacional de trenes sufrieron un ciberataque. El ciberataque provocó el cierre de los sitios web de la agencia e interrumpió el servicio de trenes. 

Los atacantes también mostraron mensajes en las pantallas de información de los ferrocarriles que indicaban que los trenes se habían retrasado o que habían sido cancelado debido a un ciberataque.

Algunos de estos mensajes indicaban a los pasajeros que llamaran a un número de teléfono para obtener más información. El numero proporcionado no era de asistencia ferroviaria, el número pertenecía a la oficina del Líder Supremo Ali Khamenei.

Además de trollear al servicio ferroviario, los actores de amenazas bloquearon los dispositivos Windows en la red con una pantalla de bloqueo. Esta pantalla impedía el acceso al dispositivo.

Nuevo malware limpiador utilizado en los ataques de Irán

En un nuevo informe de SentinelOne, el investigador de seguridad Juan Andrés Guerrero-Saade reveló detalles del malware utilizado por los atacantes. En el mencionado ciberataque a Irán utilizaron un limpiador de archivos nunca antes visto llamado Meteor.

Un limpiador (wiper) es un malware que elimina intencionalmente archivos en una computadora y ocasiona que no pueda iniciar.

A diferencia de los ataques de ransomware, los ataques de wipers destructivos no se utilizan para generar ingresos para los atacantes. En cambio, su objetivo es causar caos en una organización o distraer a los administradores mientras se lleva a cabo otro ataque.

Si bien la firma iraní de ciberseguridad Aman Pardaz analizó previamente el malware, SentinelOne encontró componentes adicionales para proporcionar una imagen más clara del ataque.

“A pesar de la falta de indicadores específicos de compromiso, logramos encontrar datos reveladores. Pudimos recuperar la mayoría de los componentes de ataque descritos en la publicación junto con componentes adicionales que se habían perdido.”

Guerrero-Saade en la investigación de SentinelOne.

“Detrás de esta estrafalaria historia de trenes detenidos y trolls simplistas, encontramos el fingerprint de un atacante desconocido”.

El ataque en sí se denominó ‘MeteorExpress’ y utilizó un conjunto de herramientas de archivos batch y ejecutables para limpiar un sistema. Además, estas herramientas permitieron bloquear el Registro de inicio maestro (MBR) del dispositivo e instalar un bloqueador de pantalla.

Para iniciar el ataque, los actores de amenazas extrajeron un archivo RAR protegido con la contraseña ‘hackemall’. Luego, los atacantes agregaron estos archivos a una red compartida accesible para el resto de las computadoras en la red de los ferrocarriles iraníes.

Luego, el actor de amenazas configuró las políticas de grupo de Windows para lanzar un archivo batch llamado setup.bat. Posteriormente, este archivo copió varios ejecutables y archivos batch en el dispositivo local y los ejecutó.

Desarrollo del ataque

Como parte de este proceso, los archivos batch pasaron por los siguientes pasos:

• Comprobaban si estaba instalado el antivirus Kaspersky y finalizaban el ataque si lo encontraban
• Desconectaban el dispositivo de la red.
• Agregaban exclusiones de Windows Defender para evitar que detectara el malware.
• Extraían varios ejecutables de malware y archivos batch en el sistema.
• Borraban los registros de eventos de Windows.
• Eliminaban una tarea programada llamada ‘AnalyzeAll’ en el directorio de Diagnóstico de eficiencia energética de Windows.
• Utilizaban la herramienta Sysinternals ‘Sync’ para vaciar la caché del sistema de archivos en el disco.
• Iniciaban el limpiador Meteor (env.exe o msapp.exe), el bloqueador de MBR (nti.exe) y el bloqueador de pantalla (mssetup.exe) en la computadora.

Cuando se completaba, el dispositivo no podía arrancar, borraba sus archivos y se instalaba el bloqueador de pantalla que muestra el siguiente fondo de pantalla. Esto ocurría antes de que la computadora se reiniciara por primera vez.

Relación con NotPetya

Si bien SentinelOne no pudo encontrar el bloqueador MBR ‘nti.exe’, los investigadores de Aman Pardaz afirman que comparte características con el notorio limpiador NotPetya.

“Una afirmación interesante en el blog Padvish es que la forma en que nti.exe daña el MBR es sobrescribiendo los mismos sectores que el infame NotPetya”, explicó Guerrero-Saade.

Si bien la primera suposición podría ser asumir que los operadores de NotPetya estaban involucrados o que esto es un intento de una operación para despistar, es importante recordar que el esquema de corrupción de MBR de NotPetya se basó principalmente en el Petya original utilizado para operaciones criminales.

Recordemos que inicialmente se pensó que era un ataque de ransomware. No obstante, NotPetya fue un limpiador que causó estragos en todo el mundo en 2017. Este se propagó a las redes expuestas a través del exploit ETERNALBLUE de la NSA y los dispositivos de cifrado.

En 2020, Estados Unidos acusó a seis agentes de inteligencia rusos del GRU. Hasta donde sabemos, se cree que formabann parte del grupo de hacking de élite ruso conocido como “Sandworm” que perpetró el ataque de NotPetya.

Hasta este momento, el motivo de los ataques con el limpiador Meteor en la red ferroviaria iraní no está claro. Asimismo, los ataques no se han atribuido a ningún grupo o país en particular.

“Todavía no podemos distinguir la forma de este adversario a través de la niebla. Tal vez sea un grupo mercenario sin escrúpulos. O los efectos latentes del entrenamiento externo que afectan a los operadores nacientes de una región”, concluye el informe de SentinelOne.

En este momento, cualquier forma de atribución es pura especulación y amenaza con simplificar en exceso un conflicto enfurecido entre varios países con diferentes intereses y motivaciones.