X-Force tím spoločnosti IBM publikoval správu o novom malvéri menom ZeroClear, ktorý mal byť použitý pri deštruktívnych útokoch na nemenované spoločnosti z energetického a priemyselného sektora na Blízkom východe. Za útokmi stoja údajne iránski hackeri.
Išlo o takzvaný wiper, ktorým chceli útočníci prepísať hlavné bootovacie záznamy (MBR) a oddiely na pevných diskoch na počítačoch so systémom Windows. „Vzhľadom na vývoj deštruktívneho malvéru, útočiaceho na organizácie v regióne, nás neprekvapilo zistenie, že ZeroClear má určitú podobnosť s malvérom Shamoon,“ konštatovali výskumníci. Podobne ako v prípade Shamoon, ZeroClear zneužíva pri útoku ovládač RawDisk od spoločnosti Eldos na manipuláciu so súbormi, diskami a oddielmi. Vďaka tomu ich dokáže prepísať či vymazať na viacerých zariadeniach pripojených do siete zároveň.
Malvér navyše zámerne zneužíva zraniteľný ovládač a škodlivé PowerShell a Batch skripty na obídenie kontrolných mechanizmov Windowsu. ZeroClear tak môže rovnako ako Shamoon spôsobiť škody, z ktorých by sa napadnutá sieť zariadení mohla spamätávať mesiace. Podľa výskumníkov, analýza malvéru a správanie útočníkov naznačuje, že by mohlo ísť o prácu iránskej skupiny ITG13, tiež známej ako APT34 alebo OilRig, a prinajmenšom ešte jednej ďalšej neiránskeho pôvodu.
Zdroj: Cybersec