58 серверов за один скрипт. Хакеры из Ирана автоматизировали уничтожение данных GPS-сервиса США
NewsMakerЭто не сценарий антиутопии — это отчёт по реальной атаке на LA Metro и Vyncs.
Иранская группировка Ababil of Minab взяла на себя серию разрушительных атак против транспортных компаний и бизнеса в США и на Ближнем Востоке. Хакеры не только крали данные. Во многих случаях злоумышленники целенаправленно уничтожали виртуальные машины, базы данных и резервные копии, оставляя компании без возможности быстро восстановить инфраструктуру.
Специалисты Gambit Security связали кампанию с группой Black Shadow , которую израильские власти ранее называли подразделением, связанным с Министерством разведки и безопасности Ирана. Авторы отчёта считают, что Ababil of Minab не является новой независимой группировкой, несмотря на заявления самих участников атаки.
Одной из первых жертв стала транспортная служба Лос-Анджелеса LA Metro . Хакеры получили доступ к системе управления виртуальной инфраструктурой VMware vCenter и удалили виртуальные машины вместе с файлами дисков. Через несколько часов после атаки LA Metro сообщила о сбоях в мобильной системе оплаты проезда. Затем злоумышленники подключились к гостевой Windows-машине и через стандартный инструмент управления дисками удалили разделы накопителей.
Ещё одной целью стала South Florida Regional Transportation Authority. Судя по опубликованным видеозаписям, злоумышленники использовали удалённый доступ по RDP и получили права локального администратора на сервере IIS. Затем через Microsoft SQL Server Management Studio отключили и удалили базы данных, а утилитой WipeFile стёрли содержимое каталогов веб-сервера и резервных копий.
В инфраструктуре компании UNIMAC хакеры форматировали разделы дисков, удаляли тома и создавали новые с именем «Minab». После этого злоумышленники уничтожили цепочки резервного копирования через Veeam Backup & Replication.
Во время атаки на сервис GPS-мониторинга Vyncs участники кампании использовали собственный сценарий main.py, который автоматически подключался к 58 серверам Microsoft SQL Server и удалял пользовательские базы данных. Параллельно злоумышленники вручную удаляли резервные копии и системные каталоги Windows. После удаления папок соединение с сервером оборвалось, что подтвердило успешное уничтожение системы.
Авторы отчёта также обнаружили любопытную деталь. На одном из видео злоумышленники использовали ChatGPT для доработки сценария удаления баз данных. Судя по данным расследования, сервис помогал исключить системные базы Microsoft SQL Server из списка удаляемых объектов, чтобы сценарий воздействовал только на пользовательские данные.
Помимо разрушительных атак специалисты обнаружили, что данные похищались у организаций из Израиля и Турции, включая образовательные учреждения, СМИ, страховые компании и сайты из сферы культуры и ресторанного бизнеса. Файлы злоумышленники выводили через заражённые веб-серверы жертв и собственные инструменты. Среди них оказался FileFiend – специальная программа на C++, способная собирать файлы с локальных и сетевых дисков и отправлять данные на управляющий сервер.
Следы инфраструктуры кампании привели специалистов к домену nefeshhope[.]com, который в 2025 году использовали в фальшивом сервисе психологической помощи для израильских военных. Через сайт злоумышленники собирали персональные данные и распространяли вредоносные программы. Израильское национальное киберуправление тогда связывало операцию с иранской активностью.
Иранская группировка Ababil of Minab взяла на себя серию разрушительных атак против транспортных компаний и бизнеса в США и на Ближнем Востоке. Хакеры не только крали данные. Во многих случаях злоумышленники целенаправленно уничтожали виртуальные машины, базы данных и резервные копии, оставляя компании без возможности быстро восстановить инфраструктуру.
Специалисты Gambit Security связали кампанию с группой Black Shadow , которую израильские власти ранее называли подразделением, связанным с Министерством разведки и безопасности Ирана. Авторы отчёта считают, что Ababil of Minab не является новой независимой группировкой, несмотря на заявления самих участников атаки.
Одной из первых жертв стала транспортная служба Лос-Анджелеса LA Metro . Хакеры получили доступ к системе управления виртуальной инфраструктурой VMware vCenter и удалили виртуальные машины вместе с файлами дисков. Через несколько часов после атаки LA Metro сообщила о сбоях в мобильной системе оплаты проезда. Затем злоумышленники подключились к гостевой Windows-машине и через стандартный инструмент управления дисками удалили разделы накопителей.
Ещё одной целью стала South Florida Regional Transportation Authority. Судя по опубликованным видеозаписям, злоумышленники использовали удалённый доступ по RDP и получили права локального администратора на сервере IIS. Затем через Microsoft SQL Server Management Studio отключили и удалили базы данных, а утилитой WipeFile стёрли содержимое каталогов веб-сервера и резервных копий.
В инфраструктуре компании UNIMAC хакеры форматировали разделы дисков, удаляли тома и создавали новые с именем «Minab». После этого злоумышленники уничтожили цепочки резервного копирования через Veeam Backup & Replication.
Во время атаки на сервис GPS-мониторинга Vyncs участники кампании использовали собственный сценарий main.py, который автоматически подключался к 58 серверам Microsoft SQL Server и удалял пользовательские базы данных. Параллельно злоумышленники вручную удаляли резервные копии и системные каталоги Windows. После удаления папок соединение с сервером оборвалось, что подтвердило успешное уничтожение системы.
Авторы отчёта также обнаружили любопытную деталь. На одном из видео злоумышленники использовали ChatGPT для доработки сценария удаления баз данных. Судя по данным расследования, сервис помогал исключить системные базы Microsoft SQL Server из списка удаляемых объектов, чтобы сценарий воздействовал только на пользовательские данные.
Помимо разрушительных атак специалисты обнаружили, что данные похищались у организаций из Израиля и Турции, включая образовательные учреждения, СМИ, страховые компании и сайты из сферы культуры и ресторанного бизнеса. Файлы злоумышленники выводили через заражённые веб-серверы жертв и собственные инструменты. Среди них оказался FileFiend – специальная программа на C++, способная собирать файлы с локальных и сетевых дисков и отправлять данные на управляющий сервер.
Следы инфраструктуры кампании привели специалистов к домену nefeshhope[.]com, который в 2025 году использовали в фальшивом сервисе психологической помощи для израильских военных. Через сайт злоумышленники собирали персональные данные и распространяли вредоносные программы. Израильское национальное киберуправление тогда связывало операцию с иранской активностью.