# Iran Railway Attack 2021 > [!high] > Em 9 de julho de 2021, os sistemas de informação ferroviária do Irão (RAI - Railways of the Islamic Republic of Iran) foram paralisados pelo malware **Meteor wiper**, causando exibição de mensagens trollando o Líder Supremo Khamenei nos painéis de informação das estações. A campanha, denominada **MeteorExpress** pelo SentinelOne, permanece sem atribuição confirmada - um caso raro de ciberataque destrutivo a infraestrutura crítica por ator não identificado. ## Visão Geral Em 9 de julho de 2021, passageiros nos terminais ferroviários do Irão viram mensagens incomuns nos painéis de horários dos trens: "Ligue para o 64411" - o número do escritório pessoal do Líder Supremo Ali Khamenei - em referência a perturbações e atrasos. Os sistemas de agendamento e controle ferroviário haviam sido comprometidos pelo [[s0688-meteor]] wiper, que simultaneamente destruía dados dos sistemas internos da RAI (Railways of the Islamic Republic of Iran). A análise técnica pelo SentinelOne (que cunhou o termo MeteorExpress para a campanha) revelou uma toolchain de três componentes distintos trabalhando em conjunto: o [[s0688-meteor]] (wiper de sistema de arquivos - criptografa e apaga arquivos), `nti.exe` (corruptor de MBR - sobrescreve o Master Boot Record tornando o sistema inbootável) e `mssetup.exe` (screen locker - bloqueia a interface do usuário e exibe a mensagem). Os três eram distribuídos via Política de Grupo do Active Directory (Group Policy), empacotados num arquivo CAB. Aspectos incomuns da campanha: o Meteor wiper não era um malware previamente conhecido, mas foi aparentemente desenvolvido específicamente para esta operação ou mantido em sigilo por tempo considerável. O código apresentava comentários em persa e inglês, e continha referências a datas e times. Mais intrigante: o malware verificava o idioma do sistema antes de executar algumas rotinas, e continha lógica de anti-análise. A atribuição permanece oficialmente não confirmada até hoje. Pesquisadores do SentinelOne notaram que o tooling não se sobreponha com nenhum grupo conhecido. Algumas análises circunstanciais apontam para Israel (dada a tensão Israel-Irã e capacidade técnica), mas sem confirmação pública. O governo iraniano atribuiu inicialmente ao "Mossad e CyberAv3ngers", mas sem evidências técnicas. O aspecto de "humilhação pública" (trollar o Líder Supremo nos painéis) sugere objetivo de constrangimento além da destruição. ## Attack Flow ```mermaid graph TB A["🏢 Comprometimento Inicial<br/>Rede corporativa RAI<br/>Vetor não confirmado"] --> B["🔑 Acesso ao Active Directory<br/>Controlador de domínio comprometido<br/>Credenciais de admin obtidas"] B --> C["📦 Distribuição via GPO<br/>Arquivo CAB com toolchain<br/>entregue via Group Policy"] C --> D["🔒 Screen Locker (mssetup.exe)<br/>Interface bloqueada<br/>Mensagem para '64411'"] D --> E["🗑️ Meteor Wiper<br/>Criptografia e apagamento<br/>de sistema de arquivos"] E --> F["💀 MBR Corruptor (nti.exe)<br/>Master Boot Record destruído<br/>Sistemas não inicializam"] ``` **Legenda:** [[T1484-001-domain-policy-modification-group-policy|T1484.001]] · [[T1485-data-destruction|T1485]] · [[T1542-003-bootkit|T1542.003]] ## Cronologia ```mermaid timeline title MeteorExpress - Linha do Tempo 9 Jul 2021 : Ataque às 09h00 (hora de Teerã) : Painéis ferroviários exibem mensagem : "Ligue para 64411 - escritório Khamenei" 9 Jul 2021 : Sistemas de agendamento RAI paralisados : Trens atrasados - passageiros presos nas estações 10-12 Jul : Análise forense por equipes do governo iraniano : Governo iraniano culpa Israel/Mossad Jul 2021 : SentinelOne descobre toolchain Meteor/nti.exe/mssetup.exe : Análise técnica pública da campanha MeteorExpress Set 2021 : Check Point publica análise complementar : Wiper Meteor analisado em profundidade 2021+ : Atribuição permanece sem confirmação técnica pública : Caso torna-se referência de wiper a infraestrutura crítica ``` ## TTPs Principais | Tática | Técnica | ID | Detalhe | |--------|---------|----|---------| | Execução | PowerShell | [[T1059-001-powershell\|T1059.001]] | Scripts de implantação e limpeza | | Execução | WMI | [[T1047-windows-management-instrumentation\|T1047]] | Execução remota via WMI | | Escalada de Privilégio | Group Policy Modification | [[T1484-001-domain-policy-modification-group-policy\|T1484.001]] | CAB distribuído via GPO | | Impacto | Destruição de Dados | [[T1485-data-destruction\|T1485]] | Meteor wiper - criptografa e apaga | | Impacto | Bootkit - MBR Corruption | [[T1542-003-bootkit\|T1542.003]] | nti.exe destrói MBR | | Impacto | Remoção de Acesso de Conta | [[T1531-account-access-removal\|T1531]] | Contas bloqueadas pós-wipe | ## Componentes do Toolchain | Componente | Função | Técnica | |------------|--------|---------| | `meteor` (wiper) | Criptografa e apaga sistema de arquivos | [[T1485-data-destruction\|T1485]] | | `nti.exe` | Corrompe MBR - sistema inbootável | [[T1542-003-bootkit\|T1542.003]] | | `mssetup.exe` | Bloqueia tela e exibe mensagem pública | Defacement/Screen Lock | | CAB package | Container para distribuição via GPO | [[T1484-001-domain-policy-modification-group-policy\|T1484.001]] | ## Relevância Global O caso MeteorExpress é estudado como referência de três aspectos importantes em segurança de infraestrutura crítica: 1. **Wiper com objetivo de humilhação pública**: além de destruir dados, o ataque visava constrangimento público e político do governo iraniano - um objetivo psicológico além do técnico 2. **Distribuição via Group Policy**: o uso de GPO do Active Directory para distribuição em massa demonstra que ambientes com AD comprometido podem ver tooling malicioso distribuído para toda a organização em minutos 3. **Atribuição impossível**: a ausência de sobreposição com grupos conhecidos mostra que atores sofisticados podem desenvolver tooling único que dificulta ou impede atribuição técnica Para qualquer organização com infraestrutura crítica - incluindo operadoras ferroviárias no Brasil como Vale, CPTM, Metrô SP, e sistemas de transporte público em geral - o caso demonstra a importância de proteger o Active Directory como ativo crítico. ## Detecção e Defesa - Monitorar modificações em Group Policy Objects (GPOs) - especialmente criação de novas GPOs em horários incomuns - Detectar distribuição de arquivos CAB via GPO para múltiplos endpoints simultaneamente - Alertar sobre execução em massa de scripts PowerShell via GPO em toda a organização - Monitorar writes para MBR em qualquer sistema - Implementar monitoramento do Active Directory com alertas para criação/modificação de GPOs - Segmentar ambientes OT (operacional) de TI - sistemas de controle ferroviário devem estar isolados - Manter imagens de recuperação para sistemas críticos com capacidade de restore rápido - Consultar [[M1054-software-configuration|M1054]] e [[M1026-privileged-account-management|M1026]] para controles específicos ## Referências - [1](https://www.sentinelone.com/labs/meteorexpress-mysterious-wiper-paralyzes-iranian-trains-with-epic-troll/) SentinelOne - MeteorExpress: Mysterious Wiper Paralyzes Iranian Trains (2021) - [2](https://research.checkpoint.com/2021/meteor-no-nation-state-is-an-island/) Check Point Research - Meteor: No Nation-State is an Island (2021) - [3](https://attack.mitre.org/software/S0592/) MITRE ATT&CK - Meteor Wiper (S0592) - [4](https://www.wired.com/story/iran-train-hack-khamenei/) WIRED - Hackers Trolled Iran's Supreme Leader After Derailing Its Trains (2021) - [5](https://therecord.media/iran-railway-attack-meteor-wiper) The Record - Iran Railway Attack: Inside the Meteor Wiper Campaign (2021)