Un nouveau malware d’effacement de fichiers appelé Meteor a été découvert utilisé dans les récentes attaques contre le système ferroviaire iranien.

Plus tôt ce mois-ci, le ministère iranien des Transports et le système ferroviaire national ont subi une cyberattaque, provoquant la fermeture des sites Web de l’agence et perturbant le service ferroviaire. Les acteurs de la menace ont également affiché des messages sur les babillards du chemin de fer indiquant que les trains avaient été retardés ou annulés en raison d’une cyberattaque.

Certains de ces messages demandaient aux passagers d’appeler un numéro de téléphone pour plus d’informations, qui concerne le bureau du guide suprême Ali Khamenei.

Des pirates publiant des messages sur les babillards électroniques du chemin de fer
Des pirates publiant des messages sur les babillards électroniques du chemin de fer
Source : Twitter

En plus de troller le chemin de fer, les acteurs malveillants ont verrouillé les appareils Windows sur le réseau avec un écran de verrouillage qui empêchait l’accès à l’appareil.

Un nouvel essuie-glace Meteor utilisé dans les attaques en Iran

Dans un nouveau rapport de SentinelOne, le chercheur en sécurité Juan Andres Guerrero-Saade a révélé que la cyberattaque contre l’Iran avait utilisé un essuyeur de fichiers inédit appelé Meteor.

Un essuie-glace est un logiciel malveillant qui supprime intentionnellement des fichiers sur un ordinateur et le rend impossible à démarrer.

Contrairement aux attaques de ransomware, les attaques d’essuie-glace destructrices ne sont pas utilisées pour générer des revenus pour les attaquants. Au lieu de cela, leur objectif est de semer le chaos pour une organisation ou de distraire les administrateurs pendant qu’une autre attaque a lieu.

Alors que la société de cybersécurité iranienne Aman Pardaz avait précédemment analysé l’essuie-glace, SentinelOne pourrait trouver des composants manquants supplémentaires pour fournir une image plus claire de l’attaque.

« Malgré l’absence d’indicateurs spécifiques de compromission, nous avons pu récupérer la plupart des composants d’attaque décrits dans le message ainsi que des composants supplémentaires qu’ils avaient manqués », explique Guerrero-Saade dans les recherches de SentinelOne.

« Derrière cette histoire étrange de trains arrêtés et de trolls désinvoltes, nous avons trouvé les empreintes digitales d’un attaquant inconnu. »

L’attaque elle-même est surnommée « MeteorExpress »,…

Voir la source de cette publication