# Meteor > [!warning] Wiper com Trolling - Ferrovias do Ira 2021 > O Meteor foi utilizado em 9 de julho de 2021 contra as **Ferrovias do Ira e o Ministerio das Estradas**, causando caos operacional. Alem de apagar dados, o ataque exibiu uma mensagem nos paineis de informação das estacoes: "Atraso prolongado devido a ataque cibernetico - Para mais informações ligue 64411" - o número do escritorio do Lider Supremo Ali Khamenei. O nivel de "trolling" operacional e técnica de psychológical operations tornam este ataque singular na historia do cibercrime. ## Visão Geral [[s0688-meteor|Meteor]] (também chamado MeteorExpress pelo SentinelOne) e um wiper multifuncional, externamente configuravel, utilizado contra organizacoes governamentais iranianas em julho de 2021. Pesquisadores do SentinelOne (Juan Andres Guerrero-Saade) reconstruiram o ataque com base em análise do pesquisador de segurança Anton Cherepanov e de uma empresa de AV iraniana (Padvish/Aman Pardaz). O Meteor e provavelmente uma versao mais recente dos wipers **Stardust** e **Comet**, usados pelo grupo "Indra" contra empresas privadas na Siria desde pelo menos 2019. O grupo Indra tem motivacao politica anti-iraniana, possívelmente com nexo no Oriente Medio. | Campo | Detalhe | |-------|---------| | **Tipo** | Wiper multifuncional configuravel | | **Plataformas** | Windows | | **MITRE ID** | S0688 | | **Data do ataque** | 9 de julho de 2021 | | **Alvos** | Ferrovias Iranianas + Ministerio das Estradas | | **Componentes** | Meteor (wiper) + nti.exe (MBR) + mssetup.exe (screen locker) | | **Atribuicao** | Grupo Indra (alta confiança) | ## Como Funciona O MeteorExpress e um toolkit multi-componente incomum pela sua **fragmentacao funcional** - cada componente faz uma coisa específica, combinados via batch files: **Componentes do toolkit:** - **Meteor (env.exe ou msapp.exe):** Wiper principal. Criptografa/apaga o filesystem baseado em configuração JSON (`msconf.conf`). Exclui shadow copies, remove dispositivo do dominio, modifica senhas de usuarios. - **nti.exe:** Corruptor do Master Boot Record (MBR). Sobrescreve os mesmos setores do NotPetya (embora sem relacao com o grupo NotPetya). - **mssetup.exe:** Screen locker - instala tela de bloqueio exibindo mensagem de "hackeamento" com número de telefone. **Cadeia de execução:** 1. Batch file `setup.bat` distribuido via **GPO** (Group Policy) na rede ferroviaria 2. Copia componentes de arquivo CAB compartilhado na rede com senha "hackemall" 3. Verifica se Kaspersky (`avp.exe`) esta instalado - aborta se encontrado 4. Desconecta o dispositivo da rede 5. Adiciona exclusoes no Windows Defender para os malwares 6. `update.bat` limpa logs de eventos via `wevtutil`, sobrescreve `boot.ini` 7. Sysinternals Sync faz flush do cache do filesystem para disco 8. `msrun.bat` cria Scheduled Task `mstask` para executar Meteor 9. Meteor, nti.exe e mssetup.exe executam em sequencia - sistema inoperavel **Peculiaridades técnicas:** - Código com "strings de debug" para testes internos incluidas por engano - indica pipeline de deployment imaturo - Código amalgamado de componentes customizados + bibliotecas open-source (`cpp-httplib v0.2`) + software antigo abusado (FSProLabs Lock My PC 4) - Design externamente configuravel (via JSON) sugere reuso planejado em múltiplas operações - Compilado 6 meses antes do uso - o erro de strings de debug nao foi detectado ## Attack Flow ```mermaid graph TB A["Acesso ao dominio<br/>Active Directory comprometido<br/>Rede ferroviaria iraniana"] --> B["GPO Distribution<br/>setup.bat via politica de grupo<br/>Arquivo CAB compartilhado na rede"] B --> C["Extração componentes<br/>RAR com senha hackemall<br/>Verificação anti-AV Kaspersky"] C --> D["Evasão e desconexão<br/>Windows Defender exclusions<br/>Dispositivo desconectado da rede"] D --> E["Limpeza de logs<br/>wevtutil - Event Logs T1070.001<br/>boot.ini sobrescrito"] E --> F["Meteor Wiper<br/>Filesystem criptografado/apagado<br/>Shadow copies deletadas T1490"] F --> G["nti.exe - MBR corruption<br/>Mesmo padrao NotPetya<br/>Sistema nao inicializa"] F --> H["mssetup.exe - Screen Locker<br/>Mensagem com número Khamenei<br/>T1491.001 - Defacement"] classDef initial fill:#e74c3c,stroke:#c0392b,color:#fff classDef gpo fill:#e67e22,stroke:#d35400,color:#fff classDef evasion fill:#8e44ad,stroke:#7d3c98,color:#fff classDef destroy fill:#2c3e50,stroke:#1a252f,color:#fff classDef psyop fill:#27ae60,stroke:#1e8449,color:#fff class A initial class B,C gpo class D,E evasion class F,G destroy class H psyop ``` ## Timeline ```mermaid timeline title Meteor - Contexto e Ataque 2019-2022 2019 : Stardust e Comet usados na Siria : Grupo Indra ataca empresas pro-Iran : Predecessores do Meteor identificados 2021-07-09 : Ferrovias Iranianas atacadas : Ministerio das Estradas offline : Paineis exibem número de Khamenei 2021-07-29 : SentinelOne publica MeteorExpress : Reconstrucao do ataque detalhada 2021-08-14 : Check Point liga Meteor ao grupo Indra : Stardust e Comet como predecessores 2022-06 : Indra/Predatory Sparrow atacam industria siderurgica : TTPs similares - Iran novamente alvo ``` ## TTPs Mapeados | Tática | Técnica | Uso Específico | |--------|---------|---------------| | Acesso Inicial | AD comprometido | Pre-requisito para GPO distribution | | Execução | [[t1059-001-powershell\|T1059.001]] | Scripts PowerShell na cadeia de batch | | Execução | [[t1059-003-windows-command-shell\|T1059.003]] | Batch files como orquestradores | | Execução | [[t1047-windows-management-instrumentation\|T1047]] | WMI para operações de sistema | | Persistência | [[t1053-005-scheduled-task\|T1053.005]] | Task `mstask` para lancar Meteor em horario predefinido | | Evasão | [[t1562-001-disable-or-modify-tools\|T1562.001]] | Windows Defender exclusions adicionadas | | Evasão | [[t1036-004-masquerade-task-or-service\|T1036.004]] | Task nomeada `mstask` imitando servico legitimo | | Evasão | [[t1564-003-hidden-window\|T1564.003]] | Jánela oculta durante execução | | Evasão | [[t1070-001-clear-windows-event-logs\|T1070.001]] | wevtutil para limpar logs de eventos | | Descoberta | [[t1082-system-information-discovery\|T1082]] | Verificação de sistema e contexto | | Acesso a Credenciais | [[t1531-account-access-removal\|T1531]] | Alteração de senhas de usuarios | | Movimento Lateral | [[t1484-001-domain-policy-modification-group-policy\|T1484.001]] | Distribuição via GPO | | Impacto | [[t1485-data-destruction\|T1485]] | Meteor - apagamento do filesystem | | Impacto | [[t1490-inhibit-system-recovery\|T1490]] | Exclusao de shadow copies | | Impacto | [[t1491-001-internal-defacement\|T1491.001]] | Screen locker com mensagem politica | | Impacto | [[t1489-service-stop\|T1489]] | Parada de servicos antes da destruicao | ## Relevância LATAM/Brasil O padrao do Meteor como ferramenta de **perturbacao de infraestrutura critica de transporte** tem relevância direta para o Brasil: - O Brasil opera uma das maiores redes ferroviarias da América Latina, com sistemas de controle operacional (OT/ICS) integrados com redes Windows - O modelo de ataque demonstra como grupos com motivacao politica podem usar wipers contra infraestrutura de transporte público - Metropolinas, concessionarias rodoviarias e ferroviarias brasileiras com sistemas SCADA em ambientes Windows+AD sao potencialmente vulneraveis a TTPs similares - A integracao IT/OT em ambientes de transporte - sem segmentacao adequada - e o vetor critico > [!warning] Segmentacao IT/OT > O ataque as ferrovias iranianas demonstrou como sistemas de controle operacional conectados a redes Windows corporativas sao altamente vulneraveis a wipers. O Brasil deve garantir isolamento entre redes OT e IT e planos de recuperacao de desastres atualizados para setores de transporte e infraestrutura critica. ## Detecção e Defesa **Indicadores de IOC:** - Scheduled Task criada com nome `mstask` ou `AnalyzeAll` (Power Efficiency Diagnostics) - Processos `env.exe` ou `msapp.exe` em contextos administrativos - Criação de arquivo `msconf.conf` (configuração JSON do Meteor) - Uso de WinRAR com senha "hackemall" em contexto corporativo **Detecção via SIEM:** - Alertar sobre criação de Scheduled Tasks por processos nao-administrativos - Monitorar execução de `wevtutil.exe` em cadeia com outros processos suspeitos - Detectar adicao em massa de exclusoes ao Windows Defender - Alertar sobre chamadas `DsRemoveDomainControllerFromSite` (remoção do dominio) **Mitigacoes:** - Segmentar redes ferroviarias/OT do Active Directory corporativo - Backup offline de sistemas de controle operacional - GPO audit e alertas sobre novas politicas criadas fora de jánelas de manutenção - Testar regularmente planos de recuperacao de desastres para sistemas OT ## Referências - [1](https://www.sentinelone.com/labs/meteorexpress-mysterious-wiper-paralyzes-iranian-trains-with-epic-troll/) SentinelOne Labs - MeteorExpress: Wiper Paralyzes Iranian Trains (2021) - [2](https://attack.mitre.org/software/S0688/) MITRE ATT&CK - S0688 Meteor - [3](https://www.bleepingcomputer.com/news/security/new-destructive-meteor-wiper-malware-used-in-iranian-railway-attack/) BleepingComputer - Meteor Wiper in Iranian Railway Attack (2021) - [4](https://www.intel471.com/blog/meteor-wiper) Intel 471 - Meteor Wiper Analysis (2025) - [5](https://malpedia.caad.fkie.fraunhofer.de/details/win.meteor) Malpedia - Meteor Malware Family