A A A

Irańscy hakerzy zaatakowali firmy energetyczne

5 grudnia 2019, 16:30
Szkodliwe oprogramowanie ZeroCleare zostało wykryte przez badaczy z IBM-a.
Irańscy hakerzy zaatakowali firmy energetyczne

Zespół X-Force firmy IBM, zajmujący się kwestiami bezpieczeństwa, opublikował raport poświęcony analizie złośliwego oprogramowania nazwanego ZeroCleare. Jego działanie wycelowane było w przedsiębiorstwa energetyczne działające w regionie Bliskiego Wschodu i polegało na usuwaniu danych.

Nie podano konkretnych nazw firm, które były celem ataków. Bez wahania jednak badacze wskazują pochodzenie szkodliwego oprogramowania – mieli je stworzyć irańscy hakerzy sponsorowani przez państwo. Za ataki nie odpowiadała jedna grupa – według zespołu z IBM-a akcja wydaje się efektem współpracy dwóch irańskich jednostek hakerskich wspieranych przez rząd: xHunt oraz APT34.

Jak stwierdzono w raporcie, zidentyfikowane szkodliwe oprogramowanie przypomina Shamoon, czyli jeden z najbardziej niebezpiecznych i destrukcyjnych szczepów malware stworzonych w minionej dekadzie. ZeroCleare to klasyczny wiper zaprojektowany w celu usunięcia jak największej ilości danych z zainfekowanego hosta. Tego typu programy służą albo ukrywaniu włamań poprzez usuwanie kluczowych śladów, albo niszczeniu zdolności zaatakowanego podmiotu do prowadzenia normalnej działalności biznesowej – jak w tym wypadku.

IBM zidentyfikował dwie wersje złośliwego oprogramowania ZeroCleare: jeden dla systemów 32-bitowych, drugi dla 64-bitowych. Faktycznie stosowano tylko tę drugą wersję. Zwykle wszystko zaczynało się od ataku typu brute force w celu uzyskania dostępu do słabo zabezpieczonych firmowych kont sieciowych. Po dostaniu się do serwera firmy hakerzy wykorzystali lukę w programie SharePoint, aby wgrać webshelle takie jak China Chopper i Tunna. W ten sposób zyskiwali dostęp do systemu firmowego, gdzie kontynuowali poziomy atak, infekując jak najwięcej komputerów.

Szczegółowy przebieg ataków opisano w obszernym opracowaniu udostępnionym przez zespół X-Force. Informacje o wykryciu oprogramowania ZeroCleare pojawiły się w codziennym raporcie IBM-a o zagrożeniach z 20 września br., co może sugerować, że właśnie wczesną jesienią firma je zidentyfikowała.

Choć nie padły nazwy konkretnych zaatakowanych przedsiębiorstw, to wcześniejsze ataki Shamoon wycelowane były w firmy z sektora energetycznego działające w regionie Bliskiego Wschodu, głównie w Arabii Saudyjskiej, jak również w partnerów saudyjskich przedsiębiorstw naftowych i gazowych.

fot. 123RF


Barbara Blaczkowska
Tagi: hacking, IBM
Ocena:
Oceń:
Komentarze (1)

Redakcja nie ponosi odpowiedzialności za treść komentarzy. Komentarze wyświetlane są od najnowszych.
avatar
klubuntu_pl
5 grudnia 2019, 17:37
Kiedy byl atak
Najnowsze aktualności




Załóż konto
Co daje konto w serwisie pcformat.pl?

Po założeniu konta otrzymujesz możliwość oceniania materiałów, uczestnictwa w życiu forum oraz komentowania artykułów i aktualności przy użyciu indywidualnego identyfikatora.

Załóż konto