Célzottan támad a Zerocleare

Az IBM kutatói fedezték fel és írták le a ZeroCleare nevű kártevőt, mely főként a Közép-Keleten terjed, ott is főként ipari és energia vállalatokat támad meg. Ezek a támadások célzottak, az iráni állam megrendelésre dolgozó APT34 és Hive0081-es hackercsoportok köthetők a kártevő elkészítéséhez. A ZeroCleare célja a rombolás, miután bejut a rendszerbe, elküldi magát a többi gépekre, majd törli a master boot rekordot, és felülírja – wipeolja – a merevlemez tartalmát, vagyis visszaállíthatatlan módon törli az adatokat. A hackerek első körben brute force támadással próbálják kitalálni a rendszer felhasználóinak nevét és bejutni a rendszerbe, majd a SharePoint egy sérülékenységét kihasználva ASPX web szolgáltatások segítségével a hálózat többi számítógépére is eljuttatják a kártevőt. Ezek után a ZeroCleare egy megváltoztatott driver töltőt, a Turla-t tölti be, ami meghívja a sérülékeny, de aláírt VirtualBox VBoxDrv driverjét. Ez pedig meghívja a tanúsítvánnyal nem rendelkező EldoS drivert, ami letölti a kártevőt. A kutatók nem árulták el a támadásban érintetett vállalatok nevét, de azt megerősítették, hogy az adatokat törlő kártevőt a kereskedelmi hálózatokban is észlelték, 32 és 64 bites Windowsos változatban egyaránt (de csak a 64 bites verzió működik). Az ehhez hasonló támadások ellen szoftverfrissítések telepítésével, antivírus megoldással, és offline mentéssel védekezhetünk.

Korábban is volt már példa politikai indíttatású támadásokra. Idén tavasszal az iráni és kínai hackerek támadták az amerikai szervezeteket. Észak-Koreának is erős a kiberháborús képessége. 2015-ben megduplázták a kiberhadseregük állományát, majd két évvel később a szakértők őket sejtették a sok vállalatot érintő WannaCry zsarolóvírusos támadássorozat mögött.

Vélemény, hozzászólás?

Az e-mail-címet nem tesszük közzé.