Е ксперти на компанията за киберсигурност SentinelOne обявиха, че са открили нов тип кибератака. Тя е била използвана срещу железниците на Иран, съобщава ZDNet.
На 9-ти юли т.г. местни медии в Иран са съобщили за кибератака срещу железниците. На екраните, които показват разписанието на влаковете на няколко гари, се е появило съобщение към пътниците да се обадят на телефона на офиса на иранския лидер.
Графикът също е бил объркан, като ден по-късно хакерите са свалили и сайта на иранското транспортно министерство. Експертите са започнали реконструция на случая, като са открили, че става дума за нов тип кибератака.
Google затяга сигурността за приложенията за Android
Използван е изцяло нов зловреден код, който е кръстен Meteor и е бил разработен през последните три години. От SentinelOne коментират, че са възстановили повечето компоненти на атаката, като са намерили "отпечатъците на непознат атакуващ".
Вирусът е разработен на отделни компоненти, които "пристигат" в компресирани архиви. Някои от тях криптират файловата система, докато други повреждат главни файлове за управлението на файловата система и я заключват. Всичко е програмирано да се случва в определен порядък.
Meteor има и други функции. Една от тях е, че изключва засегнатото устройство от мрежата и сканира за антивирусен софтуер, който да изключи. Също така създава фалшиви изключения за сигурност, за да заобиколи и защитите на Windows Defender.
Сенатори искат да махнат защити на социалните мрежи
Следваща стъпка в атаката на Meteor е да изтрие логовете, да криптира собствените си файлове и да направи така, че компютърът да не може да се стартира, ако бъде изключен. Meteor работи по график, като обикновено започва да изпълнява стъпките си 5 минути преди полунощ.
Експертите описват, че Meteor е "странно фрагментиран", като множество файлове и компоненти създават други компоненти. Това прави атаката доста сложна, като има много опции за конфигурация. Освен това накрая изтрива и файловете на системата. От компанията коментират, че това са само малка част от възможностите на Meteor.
Открити са и други модули, които не са били използвани в атаката срещу иранските железници. Например възможност да променя паролите на потребителите, да деактивира режими за възстанояване на системата, да изпълнява команди и др.
Въпреки това хакерите са направили грешка, като са използвали версия с множество елементи в програмния код, които са използвани за вътрешни тестове и е трябвало да бъдат премахнати в крайната версия. Според SentinelOne това е индикатор, че макар хакерите да са с много високи познания, не разполагат с достатъчно ресурси, за да оптимизират разпространението на вируса.
Анализът на Meteor показва, че е смес от множество програмни кодове и различни стилове, което подсказва, че е разработван от различни програмисти. Фактът, че е създаден по начин, който позволява да бъде модифициран и доработван, показва, че не е направен конкретно за тази атака.
Всичко това затруднява и идентифицирането на хакерите. За сега няма информация за тях и експертите смятат, че е нова наемническа група, която изпълнява поръчки. Не се изключва и възможността зад тях да стои държава, но няма такива доказателства.
Бум на расизма в социалните мрежи след края на UEFA EURO 2020
Бум на измами при покупки в интернет, как да се предпазим
Следете ни навсякъде и по всяко време с мобилното приложение на Vesti.bg. Можете да го изтеглите от Google Play и AppStore.
За още актуални новини от Vesti.bg последвайте страницата ни в Instagram
