Meteor Wiper Malware

Meteor Wiper, comme son nom l'indique, est un malware d'essuie-glace conçu pour causer des dommages irréversibles aux ordinateurs infectés. De telles menaces sont déployées lorsque l'acteur menaçant ne recherche aucun gain monétaire. Au lieu de cela, l'objectif est soit de perturber autant les opérations de la cible spécifique, soit d'utiliser l'attaque d'essuie-glace comme une distraction pour cacher le véritable objectif des pirates. L'essuie-glace Meteor est un malware jusqu'alors inconnu qui a été déployé dans le cadre de la cyberattaque contre le système ferroviaire iranien.

La découverte de Meteor Wiper

L'analyse initiale de l'attaque n'a pas relevé de traces de la menace des essuie-glaces. L'acteur de la menace derrière le piratage n'a pas encore été déterminé. Pourtant, les cybercriminels ont réussi à percer avec succès le ministère iranien des Transports et à perturber le système ferroviaire du pays. Les attaquants ont fermé le site officiel de l'agence et ont annoncé leur accomplissement en affichant un message sur la cyberattaque sur les babillards du chemin de fer. Plusieurs des messages affichés ont également exhorté les passagers qui souhaitent obtenir plus d'informations sur l'incident à appeler un numéro de téléphone, qui appartenait au guide suprême iranien Ali Khamenei. En arrière-plan, le piratage a également entraîné le verrouillage de plusieurs appareils Windows derrière un écran de verrouillage qui interdisait l'accès aux systèmes.

Le premier à découvrir que des menaces supplémentaires telles que Meteor Wiper ont également été déployées a été la société iranienne de cybersécurité Aman Pardaz. Un rapport de SentinelOne et du chercheur Juan Andres Guerrero-Saade a révélé des informations plus détaillées sur la menace et plusieurs nouveaux composants qui ont été découverts.

La chaîne d'attaque

Avant de déployer Meteor Wiper, l'acteur malveillant a utilisé plusieurs exécutables et fichiers batch qui ont été livrés à chaque appareil compromis et chargé de préparer l'environnement local pour les charges utiles finales. Tout d'abord, le système a été analysé à la recherche de produits anti-malware spécifiques qui, s'ils étaient détectés, étaient arrêtés par la suite. Ensuite, l'appareil ciblé est déconnecté du réseau. Pour faciliter le bon fonctionnement des menaces de logiciels malveillants, des exclusions sont ajoutées à Windows Defender. Au cours de l'étape suivante, plusieurs charges utiles de logiciels malveillants sont extraites. Après avoir effectué plusieurs tâches supplémentaires, telles que l'effacement des journaux d'événements Windows et le vidage du cache du système de fichiers sur le disque, les charges utiles finales sont lancées. Ceux-ci incluent l'essuie-glace Meteor livré sous forme de fichier nommé « env.exe » ou « msapp.exe », un casier MBR (Master Boot Record) et un casier d'écran.