Za útokmi stoja údajne iránski hekeri.
X-Force tím spoločnosti IBM publikoval správu o novom malvéri menom ZeroClear, ktorý mal byť použitý pri deštruktívnych útokoch na nemenované spoločnosti z energetického a priemyselného sektora na Blízkom východe. Išlo o takzvaný wiper, ktorým chceli útočníci prepísať hlavné bootovacie záznamy (MBR) a oddiely na pevných diskoch na počítačoch so systémom Windows.
„Vzhľadom na vývoj deštruktívneho malvéru, útočiaceho na organizácie v regióne, nás neprekvapilo zistenie, že ZeroClear má určitú podobnosť s malvérom Shamoon,“ konštatovali výskumníci.
Podobne ako v prípade Shamoon, ZeroClear zneužíva pri útoku ovládač RawDisk od spoločnosti Eldos na manipuláciu so súbormi, diskami a oddielmi. Vďaka tomu ich dokáže prepísať či vymazať na viacerých zariadeniach pripojených do siete zároveň.
Malvér navyše zámerne zneužíva zraniteľný ovládač a škodlivé PowerShell a Batch skripty na obídenie kontrolných mechanizmov Windowsu. ZeroClear tak môže rovnako ako Shamoon spôsobiť škody, z ktorých by sa napadnutá sieť zariadení mohla spamätávať mesiace.
Podľa výskumníkov, analýza malvéru a správanie útočníkov naznačuje, že by mohlo ísť o prácu iránskej skupiny ITG13, tiež známej ako APT34 alebo OilRig, a prinajmenšom ešte jednej ďalšej neiránskeho pôvodu.
(KK)