بنابر گزارشهای منتشر شده، محققان امنیت سایبری بهتازگی یک بدافزار پاک کننده اطلاعات جدید را کشف کردهاند که توسط هکرهای ایرانی تحت حمایت دولت برای هدفگیری سازمانهای انرژی و صنعتی در خاورمیانه مورد استفاده قرار گرفته است.
براساس اطلاعات موجود، این بدافزار که زیروکیلر «ZeroCleare» نام دارد، به دو گروه هک تحت حمایت دولت ایران با نامهای APT34 و Hive0081 مرتبط است.
گروهی از محققان شرکت آیبیام که این بدافزار را کشف کردهاند مدعی شدهاند این بدافزار پاککننده اطلاعات بیشترین شباهت را با بدافزار شمعون دارد. بدافزار شمعون در سال ۲۰۱۲ یکی از مخربترین خانوادههای بدافزاری بود که به بیش از ۳۰ هزار کامپیوتر در بزرگترین شرکت تولید کننده نفت در عربستان سعودی آسیب رساند.
بدافزار زیروکیلر نیز مانند شمعون از یک درایور هارد دیسک قانونی با نام «RawDisk by ElDos» برای بازنویسی MBR و مورد هدف قرار دادن پارتیشنهای هارد دیسک که سیستم عامل ویندوز را اجرا می کند، استفاده میکند.
مهاجمان برای توضیع بدافزار زیروکیلر، ابتدا تلاش میکنند گذرواژه حسابهای شبکه را از طریق حمله جستجو فراگیر (brute force) شناسایی کرده و سپس شلهای وب ASPX را با بهرهبرداری از یک آسیبپذیری SharePoint نصب کنند.
محققان اظهار کردند که زیروکیلر با استفاده از این روش موفق شده است در دستگاههای بیشماری گسترش یابد و موجب ایجاد حملهای مخرب شود که میتواند هزاران دستگاه را تحت تاثیر قرار دهد.
مهاجمان همچنین تلاش کردهاند که نرمافزار TeamViewer را نصب کنند تا از یک نسخه مبهمسازی شده ابزار سرقتکننده اطلاعات مانند Mimikatz را برای سرقت اطلاعات شبکه از سرورهای در معرض خطر استفاده کنند.
محققان اظهار کردهاند تاکنون دو نسخه از بدافزار زیروکیلر را مشاهده کردهاند؛ یکی از این نسخهها روی هر دو معماری 32 و 64 بیتی ویندوز و دیگری فقط روی ویندوز 64 بیتی کار میکند.
به گفته محققان، حملات زیروکیلر فرصتطلبانه نیست و به نظر میرسد عملیات هدفمندی علیه بخشها و سازمانهای باشد. محققان گفتهاند که X-Force IRIS در سال گذشته شاهد افزایش چشمگیر حملات مخرب بوده که در ۶ ماه گذشته افزایش ۲۰۰ درصدی داشته است.
توضیحات بیشتر در:
- ZeroCleare: New Iranian Data Wiper Malware Targeting Energy Sector