A A A

Irańscy hakerzy zaatakowali firmy energetyczne

5 grudnia 2019, 16:30
Szkodliwe oprogramowanie ZeroCleare zostało wykryte przez badaczy z IBM-a.
Irańscy hakerzy zaatakowali firmy energetyczne

Zespół X-Force firmy IBM, zajmujący się kwestiami bezpieczeństwa, opublikował raport poświęcony analizie złośliwego oprogramowania nazwanego ZeroCleare. Jego działanie wycelowane było w przedsiębiorstwa energetyczne działające w regionie Bliskiego Wschodu i polegało na usuwaniu danych.

Nie podano konkretnych nazw firm, które były celem ataków. Bez wahania jednak badacze wskazują pochodzenie szkodliwego oprogramowania – mieli je stworzyć irańscy hakerzy sponsorowani przez państwo. Za ataki nie odpowiadała jedna grupa – według zespołu z IBM-a akcja wydaje się efektem współpracy dwóch irańskich jednostek hakerskich wspieranych przez rząd: xHunt oraz APT34.

Jak stwierdzono w raporcie, zidentyfikowane szkodliwe oprogramowanie przypomina Shamoon, czyli jeden z najbardziej niebezpiecznych i destrukcyjnych szczepów malware stworzonych w minionej dekadzie. ZeroCleare to klasyczny wiper zaprojektowany w celu usunięcia jak największej ilości danych z zainfekowanego hosta. Tego typu programy służą albo ukrywaniu włamań poprzez usuwanie kluczowych śladów, albo niszczeniu zdolności zaatakowanego podmiotu do prowadzenia normalnej działalności biznesowej – jak w tym wypadku.

IBM zidentyfikował dwie wersje złośliwego oprogramowania ZeroCleare: jeden dla systemów 32-bitowych, drugi dla 64-bitowych. Faktycznie stosowano tylko tę drugą wersję. Zwykle wszystko zaczynało się od ataku typu brute force w celu uzyskania dostępu do słabo zabezpieczonych firmowych kont sieciowych. Po dostaniu się do serwera firmy hakerzy wykorzystali lukę w programie SharePoint, aby wgrać webshelle takie jak China Chopper i Tunna. W ten sposób zyskiwali dostęp do systemu firmowego, gdzie kontynuowali poziomy atak, infekując jak najwięcej komputerów.

Szczegółowy przebieg ataków opisano w obszernym opracowaniu udostępnionym przez zespół X-Force. Informacje o wykryciu oprogramowania ZeroCleare pojawiły się w codziennym raporcie IBM-a o zagrożeniach z 20 września br., co może sugerować, że właśnie wczesną jesienią firma je zidentyfikowała.

Choć nie padły nazwy konkretnych zaatakowanych przedsiębiorstw, to wcześniejsze ataki Shamoon wycelowane były w firmy z sektora energetycznego działające w regionie Bliskiego Wschodu, głównie w Arabii Saudyjskiej, jak również w partnerów saudyjskich przedsiębiorstw naftowych i gazowych.

fot. 123RF


Barbara Blaczkowska
Tagi: hacking, IBM
Ocena:
Oceń:
Komentarze (1)

Redakcja nie ponosi odpowiedzialności za treść komentarzy. Komentarze wyświetlane są od najnowszych.
avatar
klubuntu_pl
5 grudnia 2019, 17:37
Kiedy byl atak
Najnowsze aktualności




Instagramowicze nabrali się na Bali
19 lutego 2020
Użytkowniczka Instagrama nabrała swoich followersów. Sesja zdjęciowa, którą opublikowała, wyglądała jak robiona na Bali...
Załóż konto
Co daje konto w serwisie pcformat.pl?

Po założeniu konta otrzymujesz możliwość oceniania materiałów, uczestnictwa w życiu forum oraz komentowania artykułów i aktualności przy użyciu indywidualnego identyfikatora.

Załóż konto