Irańscy hakerzy zaatakowali firmy energetyczne
Zespół X-Force firmy IBM, zajmujący się kwestiami bezpieczeństwa, opublikował raport poświęcony analizie złośliwego oprogramowania nazwanego ZeroCleare. Jego działanie wycelowane było w przedsiębiorstwa energetyczne działające w regionie Bliskiego Wschodu i polegało na usuwaniu danych.
Nie podano konkretnych nazw firm, które były celem ataków. Bez wahania jednak badacze wskazują pochodzenie szkodliwego oprogramowania – mieli je stworzyć irańscy hakerzy sponsorowani przez państwo. Za ataki nie odpowiadała jedna grupa – według zespołu z IBM-a akcja wydaje się efektem współpracy dwóch irańskich jednostek hakerskich wspieranych przez rząd: xHunt oraz APT34.
Jak stwierdzono w raporcie, zidentyfikowane szkodliwe oprogramowanie przypomina Shamoon, czyli jeden z najbardziej niebezpiecznych i destrukcyjnych szczepów malware stworzonych w minionej dekadzie. ZeroCleare to klasyczny wiper zaprojektowany w celu usunięcia jak największej ilości danych z zainfekowanego hosta. Tego typu programy służą albo ukrywaniu włamań poprzez usuwanie kluczowych śladów, albo niszczeniu zdolności zaatakowanego podmiotu do prowadzenia normalnej działalności biznesowej – jak w tym wypadku.
IBM zidentyfikował dwie wersje złośliwego oprogramowania ZeroCleare: jeden dla systemów 32-bitowych, drugi dla 64-bitowych. Faktycznie stosowano tylko tę drugą wersję. Zwykle wszystko zaczynało się od ataku typu brute force w celu uzyskania dostępu do słabo zabezpieczonych firmowych kont sieciowych. Po dostaniu się do serwera firmy hakerzy wykorzystali lukę w programie SharePoint, aby wgrać webshelle takie jak China Chopper i Tunna. W ten sposób zyskiwali dostęp do systemu firmowego, gdzie kontynuowali poziomy atak, infekując jak najwięcej komputerów.
Szczegółowy przebieg ataków opisano w obszernym opracowaniu udostępnionym przez zespół X-Force. Informacje o wykryciu oprogramowania ZeroCleare pojawiły się w codziennym raporcie IBM-a o zagrożeniach z 20 września br., co może sugerować, że właśnie wczesną jesienią firma je zidentyfikowała.
Choć nie padły nazwy konkretnych zaatakowanych przedsiębiorstw, to wcześniejsze ataki Shamoon wycelowane były w firmy z sektora energetycznego działające w regionie Bliskiego Wschodu, głównie w Arabii Saudyjskiej, jak również w partnerów saudyjskich przedsiębiorstw naftowych i gazowych.
fot. 123RF