2019.12.22. 06:00
Van tipp, hogy melyik ország készít kártevőket állami cégek ellen
Feltehetően állami fejlesztésben készült az ipari és energia cégeket támadó Zerocleare adattörlő kártevő.
This undated picture released by North Korea's official Korean Central News Agency (KCNA) on August 11, 2013 shows North Korean leader Kim Jong-Un (C) inspecting the production process of new touch-screen mobile phone "Arirang" at the May 11 factory at an undisclosed location in North Korea. AFP PHOTO / KCNA via KNS REPUBLIC OF KOREA OUT THIS PICTURE WAS MADE AVAILABLE BY A THIRD PARTY. AFP CAN NOT INDEPENDENTLY VERIFY THE AUTHENTICITY, LOCATION, DATE AND CONTENT OF THIS IMAGE. THIS PHOTO IS DISTRIBUTED EXACTLY AS RECEIVED BY AFP. ---EDITORS NOTE--- RESTRICTED TO EDITORIAL USE - MANDATORY CREDIT "AFP PHOTO / KCNA VIA KNS" - NO MARKETING NO ADVERTISING CAMPAIGNS - DISTRIBUTED AS A SERVICE TO CLIENTS (Photo by KCNA / KCNA / AFP)
Forrás: KCNA/ AFP
Fotó: AFP
Az IBM kutatói fedezték fel és írták le a ZeroCleare nevű kártevőt, mely a jelek szerint a Közép-Keleten terjed, ott is főként ipari és energia vállalatokat támad meg. Ezek a támadások célzottak, az iráni állam megrendelésre dolgozó APT34 és Hive0081-es hackercsoportok köthetők a kártevő elkészítéséhez.
A ZeroCleare célja a rombolás, miután bejut a rendszerbe, elküldi magát a többi gépekre, majd törli a master boot rekordot, és felülírja – wipeolja – a merevlemez tartalmát, vagyis visszaállíthatatlan módon törli az adatokat, írja a TheHackerNews alapján a G Data.
Hogyan működik a romboló eszköz?
A hackerek első körben úgynevezett brute force támadással próbálják kitalálni a rendszer felhasználóinak nevét és bejutni a rendszerbe, majd a SharePoint egy sérülékenységét kihasználva ASPX web szolgáltatások segítségével a hálózat többi számítógépére is eljuttatják a kártevőt. Ezek után a ZeroCleare egy megváltoztatott driver töltőt, a Turla-t tölti be, ami meghívja a sérülékeny, de aláírt VirtualBox VBoxDrv driverjét. Ez pedig meghívja a tanúsítvánnyal nem rendelkező EldoS drivert, amely letölti a kártevőt.
A kutatók nem árulták el a támadásban érintetett vállalatok nevét, de azt megerősítették, hogy az adatokat törlő kártevőt a kereskedelmi hálózatokban is észlelték, 32 és 64 bites Windowsos változatban egyaránt (de csak a 64 bites verzió működik).
Az ehhez hasonló támadások ellen szoftverfrissítések telepítésével, antivírus megoldással, és offline mentéssel védekezhetünk.
Korábban is volt már példa politikai indíttatású támadásokra. Idén tavasszal az iráni és kínai hackerek támadták az amerikai szervezeteket. Általában ha a politikai kapcsolatok kihűlnek, akkor a kibertámadások intenzitása kapcsol magas hőfokra. A támadások hátterében az állhatott, hogy a Donald Trump elnök tavaly visszavonult az iráni nukleáris szerződéstől, majd kereskedelmi háborút indított Kína ellen.
Észak-Korea közismerten támogatja a kiberháborút. 2015-ben a diktatórikus vezetőjéről ismert állam megduplázta kiberhadseregének állományát, majd két évvel később a világ őket sejtette a sok vállalatot érintő WannaCry zsarolóvírusos támadássorozat mögött.