Célzottan támad a Zerocleare

A közel-keleti ipari és energia cégeket támadja a Zerocleare adattörlő kártevő, melyet feltehetően állami szereplők fejlesztettek ki. A kártevő ellen megfelelő antivírus megoldással lehet védekezni, az adatokat viszont kizárólag offline tárolt adatmentésből lehet visszaállítani.

Az IBM kutatói fedezték fel és írták le a ZeroCleare nevű kártevőt, mely a jelek szerint a Közép-Keleten terjed, ott is főként ipari és energia vállalatokat támad meg. Ezek a támadások célzottak, az iráni állam megrendelésre dolgozó APT34 és Hive0081-es hackercsoportok köthetők a kártevő elkészítéséhez. A ZeroCleare célja a rombolás, miután bejut a rendszerbe, elküldi magát a többi gépekre, majd törli a master boot rekordot, és felülírja – wipeolja – a merevlemez tartalmát, vagyis visszaállíthatatlan módon törli az adatokat.

A hackerek első körben brute force támadással próbálják kitalálni a rendszer felhasználóinak nevét és bejutni a rendszerbe, majd a SharePoint egy sérülékenységét kihasználva ASPX web szolgáltatások segítségével a hálózat többi számítógépére is eljuttatják a kártevőt. Eze után a ZeroCleare egy megváltoztatott driver töltőt, a Turla-t tölti be, ami meghívja a sérülékeny, de aláírt VirtualBox VBoxDrv driverjét. Ez pedig meghívja a tanúsítvánnyal nem rendelkező EldoS drivert, amely letölti a kártevőt.

A kutatók nem árulták el a támadásban érintetett vállalatok nevét, de azt megerősítették, hogy az adatokat törlő kártevőt a kereskedelmi hálózatokban is észlelték, 32 és 64 bites Windowsos változatban egyaránt (de csak a 64 bites verzió működik). Az ehhez hasonló támadások ellen szoftverfrissítések telepítésével, antivírus megoldással, és offline mentéssel védekezhetünk.

Korábban is volt már példa politikai indíttatású támadásokra. Idén tavasszal az iráni és kínai hackerek támadták az amerikai szervezeteket. Általában ha a politikai kapcsolatok kihűlnek, akkor a kibertámadások intenzitása kapcsol magas hőfokra. A támadások hátterében az állhatott, hogy a Donald Trump elnök tavaly visszavonult az iráni nukleáris szerződéstől, majd kereskedelmi háborút indított Kína ellen.

Észak-Korea közismerten támogatja a kiberháborút. 2015-ben a diktatórikus vezetőjéről ismert állam megduplázta kiberhadseregének állományát, majd két évvel később a világ őket sejtette a sok vállalatot érintő WannaCry zsarolóvírusos támadássorozat mögött.

Forrás: TheHackerNews

A cikkhez a lap alján tud hozzászólni, és mások hozzászólásait is ott olvashatja.

Ha tetszett a cikk:


Ne felejtsen el feliratkozni hírlevelünkre:

Vélemény, hozzászólás?

Az email címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöltük