هدف‌گیری بخش انرژی توسط بدافزار پاک‌کننده اطلاعات ایرانی

محققان امنیتی شرکت آی‌بی‌ام به‌تازگی یک بدافزار پاک‌کننده اطلاعات با نام زیروکیلر «ZeroCleare» شناسایی کرده‌اند که از سوی هکرهای ایرانی تحت حمایت ایران ساخته می‌شود. این بدافزار که شباهت زیادی به بدافزار شمعون دارد، علیه سازمان‌های انرژی و صنعتی در خاورمیانه مورد استفاده قرار گرفته است.

بنابر گزارش‌های منتشر شده، محققان امنیت سایبری به‌تازگی یک بدافزار پاک کننده اطلاعات جدید را کشف کرده‌اند که توسط هکرهای ایرانی تحت حمایت دولت برای هدف‌گیری سازمان‌های انرژی و صنعتی در خاورمیانه مورد استفاده قرار گرفته است.

براساس اطلاعات موجود، این بدافزار که زیروکیلر «ZeroCleare» نام دارد، به دو گروه هک تحت حمایت دولت ایران با نام‌های APT34 و Hive0081 مرتبط است.

گروهی از محققان شرکت آی‌بی‌ام که این بدافزار را کشف کرده‌اند مدعی شده‌اند این بدافزار پاک‌کننده اطلاعات بیشترین شباهت را با بدافزار شمعون دارد. بدافزار شمعون در سال ۲۰۱۲ یکی از مخرب‌ترین خانواده‌های بدافزاری بود که به بیش از ۳۰ هزار کامپیوتر در بزرگترین شرکت تولید کننده نفت در عربستان سعودی آسیب رساند.

بدافزار زیروکیلر نیز مانند شمعون از یک درایور هارد دیسک قانونی با نام «RawDisk by ElDos» برای بازنویسی MBR و مورد هدف قرار دادن پارتیشن‌های هارد دیسک که سیستم عامل ویندوز را اجرا می کند، استفاده می‌کند.

مهاجمان برای توضیع بدافزار زیروکیلر، ابتدا تلاش می‌کنند گذرواژه حساب‌های شبکه را از طریق حمله جستجو فراگیر (brute force) شناسایی کرده و سپس شل‌های وب ASPX را با بهره‌برداری از یک آسیب‌پذیری SharePoint نصب کنند.

محققان اظهار کردند که زیروکیلر با استفاده از این روش موفق شده است در دستگاه‌های بی‌شماری گسترش یابد و موجب ایجاد حمله‌ای مخرب شود که می‌تواند هزاران دستگاه را تحت تاثیر قرار دهد.

مهاجمان همچنین تلاش کرده‌اند که نرم‌افزار TeamViewer را نصب کنند تا از یک نسخه مبهم‌سازی شده ابزار سرقت‌کننده اطلاعات مانند Mimikatz را برای سرقت اطلاعات شبکه از سرور‌های در معرض خطر استفاده کنند.

محققان اظهار کرده‌اند تاکنون دو نسخه از بدافزار زیروکیلر را مشاهده کرده‌اند؛ یکی از این نسخه‌ها روی هر دو معماری 32 و 64 بیتی ویندوز و دیگری فقط روی ویندوز 64 بیتی کار می‌کند.

به گفته محققان، حملات زیروکیلر فرصت‌طلبانه نیست و به نظر می‌رسد عملیات هدفمندی علیه بخش‌ها و سازمان‌های باشد. محققان گفته‌اند که X-Force IRIS در سال گذشته شاهد افزایش چشمگیر حملات مخرب بوده که در ۶ ماه گذشته افزایش ۲۰۰ درصدی داشته است.

 

 

توضیحات بیشتر در:

ZeroCleare: New Iranian Data Wiper Malware Targeting Energy Sector