ระบบรถไฟประเทศอิหร่านล่มหลังถูกโจมตีทางไซเบอร์ด้วย Wiper Malware

เมื่อวันที่ 9 กรกฎาคมที่ผ่านมา เว็บไซต์ของกระทรวงคมนาคมและระบบการเดินรถไฟของประเทศอิหร่านถูกโจมตีด้วย Wiper Malware ที่ชื่อ Meteor ส่งผลกระทบถึงการให้บริการการเดินรถไฟเป็นวงกว้าง รายงานจากบริษัทผู้ให้บริการซอฟต์แวร์ Antivirus ในประเทศอิหร่าน Amn Pardaz และ SentinelOne เชื่อว่า Malware ดังกล่าวได้ถูกพัฒนาขึ้นในช่วงสามปีที่ผ่านมา และไม่ได้เชื่อมโยงกับภัยคุกคามใด ๆ ที่เกิดขึ้นก่อนหน้านี้หรือเหตุการโจมตีอื่น ๆ นี่จึงเป็นการถูกโจมตีที่ระบบขนส่งมวลชนครั้งแรกที่มีสาเหตุจาก Wiper Malware ชนิดนี้

Juan Andres Guerrero-Saade นักวิจัยทางด้านภัยคุกคามไซเบอร์จากบริษัท SentinelOne กล่าวว่า “แม้เราจะไม่อาจระบุข้อมูลการคุกคามโดยละเอียดได้ แต่จากการตรวจสอบเราพบรูปแบบการโจมตีที่ไม่คุ้นเคย และการโจมตีดังกล่าวยังถูกออกแบบมาเพื่อรบกวนการทำงานของระบบในลักษณะที่ป้องกันไม่ให้สามารถกู้คืนกลับมาได้โดยง่าย” โดยแฮกเกอร์ได้ทำการปรับเปลี่ยนระบบการแสดงผลอิเล็กทรอนิกส์เพื่อบอกให้ผู้โดยสารทำการส่งเรื่องร้องเรียนไปยังเบอร์โทรศัพท์ของออฟฟิศของ Ali Khamenei ผู้นำสูงสุดของอิหร่าน ซึ่งเหตุการณ์ในครั้งนี้ได้กลายเป็นความโกลาหลครั้งใหญ่ที่ไม่มีใครคาดคิดมาก่อนส่งผลให้รถไฟมากกว่าหนึ่งร้อยขบวนล่าช้าหรือยกเลิกเที่ยวเดินรถ

รายงานจาก SentinelOne ยังได้อธิบายถึง Infection Chain ซึ่งมีจุดเริ่มต้นจากการละเมิด Group Policy เพื่อทำการติดตั้ง toolkit ซึ่งภายในประกอบไปด้วยชุด batch file ที่ทำหน้าที่จัดการองค์ประกอบต่าง ๆ ซึ่งไฟล์เหล่านี้ถูกแตกออกมาจากไฟล์ RAR หลายไฟล์และถูกเชื่อมโยงเข้าด้วยกันเพื่อทำการเข้ารหัส filesystem, การสร้างความเสียหายแก่ Master Boost Record (MBR), และ การล็อคระบบ เพื่อควบคุมและสร้างความเสียหายแก่ระบบทั้งหมดอย่างง่ายดาย นอกจากนี้ ในระหว่างการโจมตีมีการตรวจพบไฟล์ batch script ที่มีหน้าที่ในการตัดการเชื่อมต่ออุปกรณ์ที่ติดเชื้อออกจากเครือข่าย พร้อมทั้งตัดการทำงานของ Window Defender ซึ่งเทคนิคนี้กำลังเป็นที่นิยมในบรรดาผู้คุกคามเพื่อปิดบังการโจมตีจากเครื่องมือรักษาความปลอดภัยที่ถูกติดตั้งอยู่บนเครื่อง

Meteor เป็น Wiper Malware ที่สามารถถูกกำหนดค่าได้อย่างอิสระจากภายนอก ซึ่งมาพร้อมกับ feature เพิ่มเติมที่ถูกสร้างมาสำหรับการลบ Shadow copy, การเปลี่ยนรหัสผ่านของผู้ใช้งาน, การยุติการทำงานของระบบได้ดั่งใจ, การปิดกั้นโหมดกู้คืนข้อมูล, หรือแม้กระทั่งการเปิดใช้งานคำสั่งอันตราย โดยตัว Wiper นั้นมีคุณลักษณะของลูกผสมแบบ Custom Code ที่เป็นการนำซอฟต์แวร์ในยุคเก่าที่มีข้อดีในการตรวจสอบ error ค้นหาข้อบกพร่องและการทำงานที่ซ้ำซ้อนในการบรรลุเป้าหมายมาประยุกต์ร่วมกับ Open-source ซึ่งแสดงให้เห็นว่าตัว Wiper นั้นยังมีทิศทางการพัฒนาที่กระจัดกระจายและขาดการประสานงานระหว่างทีมต่าง ๆ ในการพัฒนา

คุณ Juan Andres Guerrero-Saade ยังได้กล่าวถึงแนวทางการรับมือกับสถานการณ์ในลักษณะนี้ที่อาจเกิดขึ้นได้ในอนาคตว่า “เราควรพึงระลึกไว้เสมอว่าผู้โจมตีนั้นมีความคุ้นเคยกับการตั้งค่าทั่วไปของระบบที่ตกเป็นเป้าหมายอยู่แล้ว และพวกเขายังทราบถึงฟีเจอร์ของ Domain Controller ที่มีอยู่ หรือแม้แต่ระบบ backup ที่เป้าหมายจะเลือกใช้อีกด้วย นั่นหมายความว่ากระบวนการรวบรวมข้อมูลของผู้โจมตีนั้นสามารถรอดผ่านการตรวจจับไปได้ ซึ่งแสดงให้เห็นว่าอาจมีเครื่องมือสำหรับการจารกรรมจำนวนมากที่ยังไม่ได้รับการเปิดเผย”

ปกป้ององค์กรของท่านจากการโจมตีทางไซเบอร์
ติดต่อเรา Cloudsec Asia
ผู้ให้บริการด้านความปลอดภัยทางไซเบอร์ชั้นนำของเอเชียแปซิฟิก
Tel.+66 2117 9668
www.cloudsecasia.com

#cybersecurity
#cybersecurityisamust
#cloudsecasia

References
Guerrero-Saade, J., 2021. MeteorExpress | Mysterious Wiper Paralyzes Iranian Trains with Epic Troll – SentinelLabs. [online] SentinelLabs. Available at: <https://labs.sentinelone.com/meteorexpress-mysterious…/> [Accessed 2 August 2021].
Lakshmanan, R., 2021. A New Wiper Malware Was Behind Recent Cyberattack On Iranian Train System. [online] The Hacker News. Available at: <https://thehackernews.com/…/a-new-wiper-malware-was…> [Accessed 2 August 2021].