Ataques

MeteorExpress: ¿Serán así los próximos ataques al transporte?

El pasado 9 de julio, la red ferroviaria de Irán sufrió un ciberataque mediante un software malicioso de tipo ‘wiper’ o limpiador. Los investigadores de SentinelOne lo han llamado ‘MeteorExpress’, y han descrito cómo consiguió perpetrar múltiples ataques al transporte del país.

Archivo batch ciberataque MeteorExpress

El ataque a la red ferroviaria de Irán del pasado 9 de julio usó un software malicioso ‘wiper’ nunca antes visto. De hecho, ha fascinado a los investigadores. Pero, ¿qué es un ‘wiper’ omalware’ limpiador? Con este término nos referimos a un tipo de virus troyano capaz de sobrescribir los archivos de los equipos que infecta. En el caso del ciberataque al sistema ferroviario iraní, las pantallas de las estaciones de tren empezaron a mostrar unos mensajes muy particulares… En ellos, se pedía a los viajeros que llamaran al ‘64411’, el número de teléfono del despacho de Alí Khamenei, Líder Supremo del país. Por supuesto, el propio servicio de trenes resultó afectado; de paso, al día siguiente los ‘crackers’ tumbaron la web oficial del Ministerio de Carreteras y Desarrrollo Urbano de Irán. De este organismo dependen todos los asuntos de transporte del país.

Ataque mediante archivos comprimidos

En colaboración con especialistas iraníes, los profesionales de la firma de ciberseguridad SentinelOne han reconstruido el ataque y le han puesto nombre: ‘MeteorExpress’. Según sus indagaciones, los propios atacantes le pusieron ‘Meteor’, y trabajaron en él durante tres años. Sin embargo, no han logrado achacarlo a ningún grupo previamente identificado, ni relacionarlo con otros sucesos. “Bajo esta historia extravagante de trenes parados y ‘troleos simplones’, encontramos la huella de un atacante desconocido”, admite el analista principal de amenazas de SentinelOne, Juan Andrés Guerrero-Saade.

No obstante, el equipo de Guerrero-Saade ha logrado describir su forma de operar: vulneraron la Directiva de Grupo del Ministerio. Las directivas de grupo son infraestructuras con las que se especifican las configuraciones de determinados usuarios y ordenadores de forma centralizada. Los crackers consiguieron que esta directiva distribuyera un archivo con extensión.cab –un tipo de formato comprimido-. Este archivo contenía una combinación de hojas de texto con una serie de comandos –los llamados ‘archivos batch’-; estos ficheros habían sido extraídos a su vez de archivos RAR. Y es que los investigadores lograron recuperar una larga lista de componentes de uno de los artefactos con los que se perpetró el ataque.

Esquema del ataque en cadena MeteorExpress

La fase de expansión

El propio atacante incorporó al paquete una copia ejecutable del programa WinRAR para descomprimirlos, con la contraseña ‘hackemall’. Sus archivos ‘batch’ se ejecutaban en cadena, descomprimiéndose mediante la ejecución de la copia de WinRAR. Así, uno de los primeros archivos de la cadena desconecta el equipo de la red y comprueba si tiene instalado un antivirus Kaspersky, en cuyo caso finaliza el ataque. Si no, comienza una serie de operaciones para neutralizar el antivirus y evitar ser detectado. En ese momento, gracias al archivo CAB comprimido, sus componentes se empiezan a copiar por toda la red.

El resultado es que Meteor encripta los archivos, corrompe el registro de arranque principal, y bloquea todo el sistema. Meteor es difícil de remediar porque no sólo es capaz de limpiar ficheros, sino que elimina las copias ocultas e incluso sacar a los equipos de su dominio. Es más, el ‘wiper’ estaba tan desarrollado que uno de sus archivos ‘batch’ contenía un comprobador de errores… algo que no se ve todos los días en este tipo ‘malware’. Dado que se podía configurar externamente, esta característica indicaría que no fue creado para la operación contra Irán en concreto… Una red de transporte de otro país podría ser la siguiente víctima. Además, presentaba algunas partes redundantes, lo que pone sobre la pista de múltiples desarrolladores que añadían sus propios componentes.

No obstante, todo apunta a que, para lanzar un ataque de esta complejidad, los crackers al menos estaban familiarizados con la configuración de los sistemas informáticos de la red ferroviaria de Irán. Pero Gerrero-Saade cree que están ante un “grupo de mercenarios sin escrúpulos” apoyados por un estado sin identificar.

DEJA UNA RESPUESTA

¡Por favor, escribe tu comentario!
Por favor, introduce tu nombre aquí

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.