indra-group - RunkIntel

# Indra Group > [!high] Grupo de Sabotagem Anti-Iraniano - Wiper e Disrupcao de Infraestrutura > **Indra Group** e um grupo com motivacao politica fortemente anti-iraniana, responsavel pela campanha de **wiper Meteor** contra a ferrovia nacional iraniana (RAI) em julho de 2021 - paralisando sistemas ferroviarios em todo o Iran com mensagens de zombaria nos paineis de estacao. O grupo usa malware de destruicao de dados ([[s0688-meteor|Meteor]] wiper) e e suspeito de ser ligado a grupos de oposicao ao governo iraniano ou a Israel. ## Visão Geral Indra Group foi identificado pela SentinelOne em 2021 após o ataque wiper que paralisou sistemas ferroviarios iranianos. O grupo usa como nome o nome da divindade hindu da guerra - uma escolha simbolica que reforca o carater politicamente motivado das operações. A atribuicao e controversa: pesquisadores apontam para grupos de oposicao iraniana no exilio ou para atores alinhados com Israel, mas sem confirmacao definitiva pública. O ataque mais documentado ocorreu em **julho de 2021** contra a **Companhia Ferroviaria Estatal do Iran (RAI)**: o wiper [[s0688-meteor|Meteor]] foi implantado em sistemas de controle ferroviario, apagando dados de disco e exibindo mensagens de zombaria nos paineis de informação das estacoes. A mensagem nas estacoes convidava passageiros a ligar para o número do escritorio do lider supremo Ali Khamenei para obter informações sobre atrasos - claramente uma mensagem politica humilhante. Paralelo ao ataque ferroviario, o Ministerio de Estradas do Iran foi comprometido simultaneamente. A SentinelOne pesquisou o código e identificou o [[s0688-meteor|Meteor]] como um wiper novo e customizado com tres componentes distintos: [[stardust|Stardust]] (componente de limpeza do MBR), [[comet|Comet]] (alteração de senhas de usuario e exclusao de snapshots) e o Meteor principal (disk wiper sofisticado com capacidade de logging das proprias operações). A sofisticacao do arsenal sugere um operador bem financiado com acesso a desenvolvimento de malware dedicado. ## Campanha Ferroviaria Iran - Julho 2021 ```mermaid graph TB A["Acesso Inicial Vetor desconhecido Possívelmente phishing + VPN"] --> B["Reconhecimento Mapeamento de sistemas RAI + Ministerio Estradas"] B --> C["Implantação Meteor Wiper com 3 componentes Stardust + Comet + Meteor"] C --> D["Execução Wiper Apaga disco + MBR Altera senhas Windows"] D --> E["Disrupcao Maxima Sistemas ferroviarios off Passageiros sem info"] E --> F["Mensagem Politica Número Khamenei nos paineis Humilhacao publica"] style A fill:#1a5276,color:#fff style B fill:#2980b9,color:#fff style C fill:#c0392b,color:#fff style D fill:#7b241c,color:#fff style E fill:#8e44ad,color:#fff style F fill:#117a65,color:#fff ``` ## Evolução do Grupo ```mermaid graph TB A["2019-2020 Operacoes iniciais Iran Setor de combustiveis"] --> B["Julho 2021 Ataque ferroviario RAI Meteor wiper - grande escala"] B --> C["Agosto 2021 Ataque combustiveis Iran Distribuidoras de gasolina"] C --> D["2022-2023 Atribuicao incerta Possívelmente relacionado Predatory Sparrow"] style A fill:#1a5276,color:#fff style B fill:#c0392b,color:#fff style C fill:#8e44ad,color:#fff style D fill:#e67e22,color:#fff ``` ## Arsenal Tecnico | Componente | Função | Caracteristicas | |-----------|--------|----------------| | [[s0688-meteor\|Meteor]] | Wiper principal | Apaga disco, arquivos, sistema de arquivos; log das proprias acoes | | [[stardust\|Stardust]] | MBR wiper | Apaga Master Boot Record; torna sistema nao inicializavel | | [[comet\|Comet]] | Disrupcao de conta | Altera senhas de usuario Windows; deleta VSS snapshots | ## Técnicas Utilizadas - [[t1486-data-encrypted-for-impact|T1486 - Data Encrypted for Impact]] - [[t1561-001-disk-content-wipe|T1561.001 - Disk Content Wipe]] - [[t1059-001-powershell|T1059.001 - PowerShell]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1566-001-spearphishing-attachment|T1566.001 - Spearphishing Attachment]] - [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] ## Software Utilizado - [[s0688-meteor|Meteor]] - [[stardust|Stardust]] - [[comet|Comet]] ## Relevância para o Brasil e LATAM > [!low] Grupo com Foco Exclusivo no Iran - Modelo de Wiper para Defesa > Indra Group tem foco operacional exclusivo em alvos dentro do Iran e nao representa ameaça operacional documentada ao Brasil ou LATAM. Porém, o arsenal de wipers e a métodologia de **disrupcao de infraestrutura de transporte** e altamente relevante como modelo de ameaça para defesa de infraestrutura critica. O ataque ferroviario de 2021 demonstra que sistemas de controle de transporte sao alvos de alto valor para grupos politicamente motivados. No Brasil, **Metra, CPTM, Supervia, CBTU** e sistemas de metro de grandes cidades usam arquiteturas similares de controle de estacoes e poderiam ser alvos de atores com motivacao semelhante. O wiper Meteor nao e sofisticado o suficiente para exigir defensores de nivel nacional - qualquer grupo com recursos moderados pode replicar a abordagem. As lições defensivas do caso Indra sao diretas: backups offsite e offline, segmentacao de sistemas de controle de transporte da rede corporativa, e planos de continuidade operacional para cenários de wiper. ## Detecção e Defesa | Indicador | Técnica | Acao | |-----------|---------|------| | Processo apagando arquivos em massa incluindo MBR | T1561.001 | EDR behavioral - wiper detection por padrao de I/O | | Alteração de senhas de múltiplas contas simultaneamente | T1486 | SIEM - alerta em bulk password reset | | Exclusao de VSS snapshots | T1561.001 | Auditoria de VSS + restauracao via backup offsite | | PowerShell executando wscript.exe ou cmd.exe em cadeia | T1059.001 | AMSI + logging de PowerShell em sistemas criticos | **Mitigacoes prioritarias:** Backups offsite imutaveis ([[m1053-data-backup|M1053]]), segmentacao de rede OT/IT ([[m1030-network-segmentation|M1030]]) e plano de continuidade operacional. ## Referências - [1](https://www.sentinelone.com/labs/meteorite-striking-iranian-transportation/) SentinelOne - Meteorite: MeteorExpress Striking Iran Transportation (2021) - [2](https://www.sentinelone.com/labs/meteor-no-shortage-of-comets-visiting-iran/) SentinelOne - Meteor Wiper: No Shortage of Comets Visiting Iran - [3](https://therecord.media/indra-hackers-iran-railroad-attack) The Record - Indra: Group Behind Iran Railroad Attack - [4](https://attack.mitre.org/groups/G1100/) MITRE ATT&CK - Grupos relacionados: Predatory Sparrow