Skip to content
Cyber Breaches
Recherche
Wiperunresolved

Attaque par wiper « MeteorExpress » contre les chemins de fer iraniens

Un wiper inédit nommé Meteor a paralysé le réseau ferroviaire national iranien, effaçant les ordinateurs des gares, immobilisant et retardant des centaines de trains, et défigurant les panneaux d'affichage avec un numéro à appeler : le bureau du Guide suprême Khamenei.

Victime
Chemins de fer de la République islamique d'Iran (RAI) / Ministère des Routes et du Développement urbain
SecteurTransport
PaysIran
GroupeIndra (suspecté)

Le 9 juillet 2021, le réseau ferroviaire national iranien a été paralysé par un maliciel destructeur jusque-là inconnu que les chercheurs ont nommé Meteor — une attaque surnommée « MeteorExpress » pour son alliage de sophistication technique et de provocation théâtrale.

Ce qui s'est passé

Le maliciel a déferlé sur les systèmes informatiques des Chemins de fer de la République islamique d'Iran et du ministère des Routes et du Développement urbain. Les panneaux d'affichage des gares ont été défigurés pour afficher des messages évoquant de « longs retards à cause d'une cyberattaque » et inviter les voyageurs à appeler le 64411 pour s'informer — le numéro de téléphone public du bureau du Guide suprême Ali Khamenei, une humiliation délibérée du régime. Le site du ministère a été mis hors ligne, et des centaines de trains ont été retardés ou annulés dans ce que les médias iraniens ont décrit comme un chaos sans précédent.

Le maliciel

Les analystes de SentinelLabs ont rétro-conçu une boîte à outils en trois parties déployée via des scripts batch et des archives RAR protégées par mot de passe (mot de passe hackemall) :

  • Meteor — le wiper principal : il effaçait le système de fichiers selon une configuration chiffrée, supprimait les clichés instantanés pour bloquer la récupération, détachait les machines du domaine Windows, corrompait les secteurs d'amorçage et changeait les mots de passe.
  • mssetup.exe — un verrouilleur d'écran qui figeait les postes de travail.
  • nti.exe — un composant qui corrompait le secteur d'amorçage maître (MBR), rendant les machines non amorçables.

Le binaire Meteor avait été compilé le 17 janvier 2021, soit environ six mois avant son déploiement, et présentait des signes de conception pour la réutilisation — suggérant une opération délibérée et bien dotée plutôt qu'un crime opportuniste.

Conséquences

  • Les opérations ferroviaires de l'Iran ont été perturbées à l'échelle nationale ; des trains ont été immobilisés, retardés ou annulés.
  • Les machines touchées ont été effacées et rendues non amorçables, imposant une récupération manuelle.
  • Il s'agissait d'un incident destructeur — non d'un rançongiciel — sans exfiltration de données ni rançon : l'objectif était la perturbation et l'embarras politique.

Attribution

SentinelLabs n'a d'abord pu rattacher Meteor à aucun acteur connu. Des recherches ultérieures de Check Point ont relié l'opération à un persona hacktiviste nommé « Indra », qui avait déjà visé des entités alignées sur l'Iran en Syrie, suggérant un acteur anti-régime plutôt qu'un État-nation — bien que l'attribution reste non confirmée. L'attaque s'inscrivait dans une vague plus large de frappes contre les infrastructures iraniennes associées par la suite au groupe Predatory Sparrow.

Pourquoi c'est important

MeteorExpress a démontré qu'un unique wiper sur mesure pouvait paralyser le système ferroviaire d'une nation et que les attaquants associaient de plus en plus destruction et opérations psychologiques — raillant directement la direction iranienne sur des infrastructures publiques. Elle est devenue un modèle pour les campagnes de perturbation d'infrastructures qui frapperaient le réseau de carburant et les aciéries de l'Iran au cours de l'année suivante.

Chronologie

  1. L'exécutable du wiper Meteor est compilé — environ six mois avant son déploiement — signe d'un outillage prémédité et réutilisable.

  2. Le wiper se déclenche sur les systèmes des chemins de fer iraniens ; les panneaux d'affichage des gares montrent des messages de retard et le numéro « 64411 », celui du bureau du Guide suprême Khamenei.

  3. Des centaines de trains sont retardés ou annulés et le site du ministère des Routes et du Développement urbain est mis hors ligne.

  4. SentinelLabs publie son analyse, nommant le maliciel « Meteor » et l'incident « MeteorExpress » ; il ne peut rattacher l'attaque à un groupe connu.

  5. Check Point relie l'opération à un persona hacktiviste nommé « Indra », auparavant actif contre des cibles alignées sur l'Iran en Syrie.

Sources

  1. sentinelone.comhttps://www.sentinelone.com/labs/meteorexpress-mysterious-wiper-paralyzes-iranian-trains-with-epic-troll/
  2. thehackernews.comhttps://thehackernews.com/2021/07/a-new-wiper-malware-was-behind-recent.html
  3. therecord.mediahttps://therecord.media/cyber-attack-on-iranian-railway-was-a-wiper-incident-not-ransomware
  4. threatpost.comhttps://threatpost.com/novel-meteor-wiper-used-in-attack-that-crippled-iranian-train-system/168262/

Incidents liés

WiperRésolu

Wiper destructeur NotPetya

Un wiper destructeur déguisé en rançongiciel, propagé via une mise à jour compromise d'un logiciel comptable ukrainien. Estimé à 10 milliards de dollars de dommages dans le monde — la cyberattaque la plus dévastatrice économiquement de l'histoire.

Victim
Utilisateurs de M.E.Doc (Maersk, Merck, FedEx-TNT, Mondelez, Saint-Gobain et autres)
Loss
$10.00B
WiperRésolu

Stuxnet (Operation Olympic Games)

Les services de renseignement américains et israéliens ont conjointement développé et déployé Stuxnet — la première cyberarme largement connue à avoir causé des dommages physiques. Le ver visait l'installation d'enrichissement d'uranium iranienne de Natanz et a détruit environ 1 000 centrifugeuses IR-1 entre 2009 et 2010.

Victim
Installation d'enrichissement d'uranium de Natanz (Iran)
Loss
$100.0M