‼️ آنالیز فنی حمله سایبری به راه آهن و وزارت راه توسط Sentinel منتشر شد :
▪️ در تاریخ 18 تیر 1400 مورخ 9 جولای 2021 سیستم های راه آهن و وزارت راه دچار حمله سایبری شدند که اکنون محققین Sentinel بدافزارهای استفاده شده در این حملات را با نام گروه MeteorExpress یا شهاب سریع میشناسند. برخی شرکت های امنیتی از جمله ESET این بدافزار را BreakWin می نامند.
▪️ حمله از پیش طراحی شده : هکرهای پشت پرده Meteor یا BreakWin هفته ها قبل با شناخت کامل از شبکه قربانی اقدام به اجرای این Wiper در سیستمها نموده اند. Wiper ها بر خلاف باج افزارها کلیه اطلاعات سیستم و هارددیسک را حذف و نابود میکنند. در این حمله از چندین فایل BAT و EXE و سوء استفاده از Group Policy برای نصب این تخریب گر- Wiper - استفاده شده است.
▪️ شناخت کامل هکرها از شبکه قربانی : بررسی فایلهای BAT نشان میدهد هکرها میدانستند در برخی سیستم های قربانیان آنتی ویروس Kaspersky نصب است و سیستم بکاپ آنها نیز Veeam است لذا بدافزار را کاملا بر پایه این اطلاعات نوشته اند ! این یعنی قبل از شروع حمله عملیات شناسائی به صورت کامل در شبکه هدف انجام شده است.
▪️ دسترسی کامل هکرها به DC : در گزارشات منتشر شده هنوز مشخص نیست هکر چگونه دسترسی کامل به Domain Controller را بدست آورده است اما شواهد نشان میدهد این بدافزار با استفاده از Group Policy بر روی سیستم های شبکه نصب شده است. احتمالا این دسترسی توسط یک کلاینت آلوده یا سروری آسیب پذیر در شبکه قربانی ایجاد شده است. احتمال استفاده از حملات PrintNightmare هم دور از ذهن نیست که پیشتر در این دو ویدئو آنها را معرفی کرده ایم :
printnightmare_tests_f3047622c.html
eset-printnightmare_fb40f3487.html
▪️ هویت هکرها فعلا مجهول است : سبک این حملات مشابه هیچ یک از APT های شناخته شده قبلی نیست و فعلا نمیتوان آن را به هیچ گروه یا کشوری نسبت داد.
▪️ نتایج اسکن این بدافزار توسط آنتی ویروسها: فایل های اصلی استفاده شده در این حملات موارد زیر هستند که با کلیک بر روی هر کدام نتایج اسکن VT تا لحظه درج این خبر برای شما نمایش داده میشود. نکته جالب اینجاست که برخی آنتی ویروسها بعد از گذشت 25روز از این رخداد سایبری هنوز بدافزار BreakWin را شناسائی نمیکنند !
setup.bat - میزان شناسائی 16 از 59
cache.bat - میزان شناسائی 12 از 58
update.bat - میزان شناسائی 12 از 58
env.exe/msapp.exe - میزان شناسائی 43 از 70
mssetup.exe - میزان شناسائی 39 از 68
bcd.bat - میزان شناسائی 15 از 59
envxp.bat - میزان شناسائی 13 از 58
▪️ هکرهایی با سطح متوسط و شاید ابزارهای جاسوسی پیشرفته: ما بر این باوریم که مهاجمین پشت پرده این حملات در سطح متوسطی هستند که در حال پیشرفتند. شناخت بالای هکرها از شبکه قربانی نشان از انجام عملیات شناسائی کامل دارد که ممکن است توسط ابزارهای جاسوسی که هنوز ناشناخته هستند، انجام شده باشد ! این حملات همچنان نکات مبهم بسیاری دارد ...
🔗 منبع : گزارش فنی SentinelLab :
https://labs.sentinelone.com/meteorexpress-mysterious-wiper-paralyzes-iranian-trains-with-epic-troll/
🔗 گزارش اولیه پادویش :
https://threats.amnpardaz.com/malware/trojan-win32-breakwin/
‼️ ساده انگاری و کم توجهی، عامل اصلی بروز حملات سایبری به وزارت راه و شهرسازی و شرکت راهآهن !
▪️ مرکز افتا بعد از 10 روز اعلام کرد: کم توجهی به الزامات امنیتی ابلاغ شده از قبیل طرح امن سازی زیرساختهای حیاتی در قبال حملات سایبری و هشدارهای مرکز افتا، علت اصلی بروز حملات سایبری جمعه و شنبه گذشته به وزارت راه و شهرسازی و شرکت راهآهن بوده است.
▪️ کارشناسان امنیت سایبری افتا معتقدند از حدود 1 ماه پیش هکرها به شبکه این دو سازمان نفوذ کرده و در کمال صبر و حوصله حمله خود را برنامه ریزی کرده اند. رعایت نکردن مسائل امنیتی در دورکاریها، سیستمهای ناقص، سهلانگاری پرسنل فاوا در نگهداری رمزهای عبور تجهیزات، بروز نکردن ضدویروسها، سرمایهگذاری ناکافی برای افزایش امنیت سایبری و پیکربندی نامناسب از دیگر دلایل بروز این دو حادثه سایبری بوده است.
🔗 منبع : سایت افتا :
▪️ برای اطلاع از اخبار امنیتی حتما در کانال تلگرام @KamiranChannel عضو شوید و یا برای دریافت اخبار مهم از طریق واتساپ عدد 11 را به شماره 09302700800 واتساپ نمائید.
▪️ در صورت وجود هر گونه سوال در این خصوص با مرکز پشتیبانی کامیران با شماره 02147251 ، تلگرام @KamiranSupport یا واتساپ 09332050007 ارتباط برقرار نمائید.
با تشكر
لابراتوآر ویروس شناسی شركت مهندسي كاميران
__________________________________________