最近对伊朗火车系统的网络攻击背后是一个新的雨刷恶意软件

本月早些时候，伊朗交通部及其国家铁路系统的网站遭到网络攻击，导致列车服务普遍中断，这是一个前所未有的可重复使用雨刷恶意软件“Meteor”的结果

运动—；被称为“流星快车”—；据伊朗反病毒公司Amn Pardaz和SentinelOne的研究人员称，这起事件与之前确定的任何威胁组织或其他攻击都没有关联，因此这是第一起涉及部署这种恶意软件的事件。据信，《流星》在过去三年里一直在制作中。

“尽管缺乏具体的妥协指标，我们还是能够恢复大部分攻击组件，”SentinelOne的主要威胁研究员胡安·安德烈斯·格雷罗·萨阿德（Juan Andres Guerrero Saade）指出。“在这段关于火车停站和油嘴滑舌的怪诞故事背后，我们发现了一个不熟悉的攻击者的指纹，”他补充说，这种攻击“旨在削弱受害者的系统，不需要通过域管理或恢复卷影副本来进行简单的补救。”

7月9日，伊朗火车系统在一次重大袭击后陷入瘫痪，黑客破坏了电子显示屏，指示乘客将投诉转到伊朗最高领导人阿亚图拉·阿里·哈梅内伊办公室的电话号码。据说，这起事件在车站造成了“前所未有的混乱”，数百列火车晚点或取消。

现在据SentinelOne称，感染链从滥用组策略开始，部署了一个工具包，该工具包由协调不同组件的批处理文件组成，这些文件从多个RAR档案中提取，并链接在一起，以便于文件系统的加密，主引导记录（MBR）损坏，并锁定相关系统。

发现攻击期间丢弃的其他批处理脚本文件负责断开受感染设备与网络的连接，并为所有组件创建Windows Defender排除，这种策略在威胁参与者中越来越普遍，目的是对安装在机器上的反恶意软件解决方案隐藏其恶意活动。

Meteor是一款外部可配置的雨刷器，具有一系列广泛的功能，包括删除卷影副本的能力，以及“丰富的附加功能”，如更改用户密码、终止任意进程、禁用恢复模式和执行恶意命令。

雨刮器被描述为“一种奇怪的自定义代码混合体”，它将开放源代码组件与“在实现其目标的过程中充斥着健全检查、错误检查和冗余”的古老软件混合在一起，这表明了一种支离破碎的方法，以及参与开发的不同团队之间缺乏协调。

格雷罗·萨阿德说：“网络空间的冲突中充斥着越来越厚颜无耻的威胁行为体。在这个史诗巨魔的艺术性背后，是一个令人不安的现实，一个以前未知的威胁行为体愿意利用恶意软件攻击公共铁路系统。”。“攻击者是一名中级玩家，其不同的操作组件从笨重、简陋到圆滑、发达，急剧变化。”

“我们应该记住，攻击者已经熟悉其目标的一般设置、域控制器的功能以及目标选择的备份系统（Veeam）。这意味着侦察阶段完全在雷达下进行，以及我们尚未发现的大量间谍工具。”