Na Blízkom východe útočil nový wiper, podobá sa na nechválne známy Shamoon

Na Blízkom východe útočil nový wiper, podobá sa na nechválne známy Shamoon

Za útokmi stoja údajne iránski hekeri.

X-Force tím spoločnosti IBM publikoval správu o novom malvéri menom ZeroClear, ktorý mal byť použitý pri deštruktívnych útokoch na nemenované spoločnosti z energetického a priemyselného sektora na Blízkom východe. Išlo o takzvaný wiper, ktorým chceli útočníci prepísať hlavné bootovacie záznamy (MBR) a oddiely na pevných diskoch na počítačoch so systémom Windows.

„Vzhľadom na vývoj deštruktívneho malvéru, útočiaceho na organizácie v regióne, nás neprekvapilo zistenie, že ZeroClear má určitú podobnosť s malvérom Shamoon,“ konštatovali výskumníci.

Podobne ako v prípade Shamoon, ZeroClear zneužíva pri útoku ovládač RawDisk od spoločnosti Eldos na manipuláciu so súbormi, diskami a oddielmi. Vďaka tomu ich dokáže prepísať či vymazať na viacerých zariadeniach pripojených do siete zároveň.

Malvér navyše zámerne zneužíva zraniteľný ovládač a škodlivé PowerShell a Batch skripty na obídenie kontrolných mechanizmov Windowsu. ZeroClear tak môže rovnako ako Shamoon spôsobiť škody, z ktorých by sa napadnutá sieť zariadení mohla spamätávať mesiace.

Podľa výskumníkov, analýza malvéru a správanie útočníkov naznačuje, že by mohlo ísť o prácu iránskej skupiny ITG13, tiež známej ako APT34 alebo OilRig, a prinajmenšom ešte jednej ďalšej neiránskeho pôvodu.

(KK)