זה פוגען מאירוע הסייבר ברכבת באיראן? חברת sentinelone טוענת שכן

חברת sentinelone מפרסמת מחקר, לכאורה, מאירוע הסייבר בתחילת יולי האחרון ברכבת באיראן. לפי חוקרי החברה, מדובר במתקפה שמטרתה מחיקת קבצים ושיבוש תפעולי של הרכבת באמצעות ניתוק מרכיבים מהרשת 
 

זה פוגען מאירוע הסייבר ברכבת באיראן? חברת sentinelone טוענת שכן

bigstock

מחקר חדש שפרסמה חברת sentinelone, קובע כי הפוגען באירוע הסייבר ברכבת באיראן ב-9 ביולי האחרון, נועד למחוק נתונים.  עם זאת, החברה טרם סיפקה הוכחה כי מדובר אכן בפוגען מהאירוע המדובר. הדו״ח מבוסס על פרסום אחר של חברת איראנית בשם amnpardaz שהעלתה אותו לאתר VT. הדיווח התגלה על ידי חוקר בשם Anton Cherepanov, כך לפי הפרסום. הדו״ח של sentinelone מתבסס על נתונים של החברה האיראנית. 

״אף על פי שדיווחים מוקדמים לא כללו פרטים טכניים, הצלחנו לשחזר את רוב מרכיבי ההתקפה תוך הסתמכות על שילוב של גורמים - ניתוח מוקדם של חוקרי אבטחה בPadvish security וכן מידע קודם שכלל רשימה ארוכה יותר של שמות רכיבים. התוקפים ניצלו לרעה את הGroup Policy להפצת קבצי cab לביצוע ההתקפה שלהם״, כותבים בפרסום. ״ערכת הכלים הכוללת מורכבת משילוב של קבצי אצווה המתארים רכיבים שונים שהושמטו מארכיוני RAR.״

לפי החוקרים, המפעילים עשו טעות גדולה בהרכבת הקובץ הבינארי עם שפע של שורות ניפוי שגיאות שנועדו לבדיקה פנימית. ״זו אינדיקציה שלמרות כל השיטות המתקדמות שיש למפתחים בארסנל שלהם, חסר להם הליך פריסה שמבטיח כי טעויות כאלה לא יתרחשו. יתר על כן, תשומת לב כי הקוד נכתב כחצי שנה לפני פריסתו והטעות לא נתפסה (על ידי המפתחים)״, כותבים החוקרים. 

החוקרים מציינים עוד כמה תובנות מעניינות לגבי הפוגען המסוים. הוא מחפש האם מותקנת הגנה של קספרסקי - אם כן, הפוגען חודל. החלק שמתוכנן למחוק מידע מעמדת היעד מכוון לפעול ב-5 דקות לחצות. והקוד של הפוגען, נדיר (Meteor wiper). ״ההתקפה שלהם נועדה לשבש את מערכות הקורבן, ולא להשאיר שום טיפול לתיקון פשוט באמצעות ניהול תחום או שחזור של עותקי צל״, מסכמים בפרסום. 

החוקרים עוד מציינים כי לתוקפים היה מודיעין איכותי לגבי מבנה הרשת של היעד. ״עלינו לזכור שהתוקפים כבר הכירו את התצורה הכללית של היעד שלהם, את התכונות של בקר התחום ואת הבחירה של היעד במערכת הגיבוי (Veeam). זה מרמז על שלב איסוף מל״מ מוקדם שהיה כולו ׳מתחת לרדאר׳ ושפע של כלי ריגול שעוד לא גילינו.״ 

במהלך המחקר הסבירו החוקרים כי הם לא הצליחו לשחזר את החלק בפוגען שמוחק רשומות אתחול - ה-MBR corrupter. מדובר בחלק שככל הנראה נגזרת של NotPetya שהיא עצמה נגזרת של Petya. מדובר בקוד נפוץ בעולם הפשיעה הקיברנטי ולכן, כך לפי החוקרים, לא ניתן להשתמש בו על מנת לייחס את המתקפה לתוקף כלשהו. עוד מוסיפים החוקרים כי מדובר בתוקף ברמה בינונית, עם תהליכי פיתוח הדורשים שיפור רב. 

אולי יעניין אותך גם