Töröl ezerrel a célzottan támadó ZeroCleare

A közel-keleti ipari és energia cégeket támadja a Zerocleare adattörlő kártevő, melyet feltehetően állami szereplők fejlesztettek ki.

A kártevő ellen megfelelő antivírus-megoldással lehet védekezni, az adatokat viszont kizárólag offline tárolt adatmentésből lehet visszaállítani.

Az IBM kutatói fedezték fel és írták le a ZeroCleare kártevőt, mely a jelek szerint a Közel- és Közép-Keleten terjed, ott is főként ipari és energia vállalatokat támadja. A támadások célzottak, az iráni állam megrendelésre dolgozó APT34 és Hive0081-es hackercsoportok gyanúsíthatók a kártevő elkészítéséhez. A ZeroCleare célja a rombolás, miután bejut a rendszerbe, elküldi magát a többi gépekre, majd törli a master boot rekordot, és felülírja – wipeolja – a merevlemez tartalmát, vagyis visszaállíthatatlan módon törli az adatokat.

A hackerek első körben brute force támadással próbálják kitalálni a rendszer felhasználóinak nevét és bejutni a rendszerbe, majd a SharePoint egy sérülékenységét kihasználva ASPX web-szolgáltatások segítségével a hálózat többi számítógépére is eljuttatják a kártevőt. Ezek után a ZeroCleare egy megváltoztatott driver töltőt, a Turla-t tölti be, ami meghívja a sérülékeny, de aláírt VirtualBox VBoxDrv driverjét. Ez pedig meghívja a tanúsítvánnyal nem rendelkező EldoS drivert, amely letölti a kártevőt.

A kutatók nem árulták el a támadásban érintetett vállalatok nevét, de azt megerősítették, hogy az adatokat törlő kártevőt a kereskedelmi hálózatokban is észlelték, 32 és 64 bites windowsos változatban egyaránt (de csak a 64 bites verzió működik). Az ehhez hasonló támadások ellen szoftverfrissítések telepítésével, antivírus-megoldással, és offline mentéssel védekezhetünk.

Azelőtt is volt már példa politikai indíttatású támadásokra. Az idén tavasszal az iráni és kínai hackerek támadták az amerikai szervezeteket. Általában, ha a politikai kapcsolatok kihűlnek, akkor a kibertámadások intenzitása kapcsol magas hőfokra. A támadások hátterében az állhatott, hogy a Donald Trump elnök tavaly visszavonult az iráni nukleáris szerződéstől, majd kereskedelmi háborút indított Kína ellen.

Észak-Korea közismerten támogatja a kiberháborút. A diktatórikus vezetőjéről ismert állam 2015-ben megduplázta kiberhadseregének állományát, majd két évvel később a világ Phenjant sejtette a sok vállalatot érintő WannaCry zsarolóvírusos támadássorozat mögött.

(Forrás: TheHackerNews)