Nowe złośliwe oprogramowanie z Iranu, zidentyfikowane przez specjalistów z zespołu IBM X-Force jako ZeroClear, atakuje cele z branży energetycznej i przemysłowej na Bliskim Wschodzie. Celem działania wirusa jest usunięcie danych z dysku atakowanego komputera.

Nowego wirusa zdaniem IBM X-Force można łączyć z aktywnością irańskich hakerów działających na zlecenie Teheranu. Jak twierdzą specjaliści, powstanie tego złośliwego oprogramowania najprawdopodobniej jest rezultatem współpracy kilku grup cyberprzestępczych działających na zlecenie państwa.

Ataki z wykorzystaniem ZeroClear przeprowadzano z użyciem łamania haseł techniką brute-force, tj. wielokrotnych prób uzyskania dostępu do systemów za pomocą kolejnych kombinacji danych, aż do skutku. Technika ta jest uznawana za najprostszy sposób skutecznego włamania się do zabezpieczanych hasłem struktur. Celem hakerów na tym początkowym etapie operacji było uzyskanie dostępu do sieci. Według IBM X-Force, ataki prowadzone były z holenderskiego adresu IP powiązanego już wcześniej z tzw. grupą ITG13, znaną także jako Oilrig i APT34.

Jak twierdzą specjaliści, w dalszej fazie ataku aktywności nie można obecnie przypisać konkretnym sprawcom, jednakże przebieg działań wskazuje na podobieństwa z obserwowanymi wcześniej atakami irańskich hakerów. Widoczne są one m.in. w wykorzystaniu specyficznych narzędzi. Występowanie ataków jest również zbieżne z celami irańskiej polityki w regionie Bliskiego Wschodu - oceniają eksperci.

Oprócz ataków na sieci, cyberprzestępcy naruszyli również bezpieczeństwo baz danych SharePoint wykorzystując lukę tego systemu do infekcji serwerów, na których przechowywane były dane.

Wirus ZeroClear rozprzestrzenia się - podobnie jak jego poprzednik, Shamoon - z użyciem sterownika RawDisk. Jego celem jest uzyskanie bezpośredniego dostępu do dysków i możliwości modyfikowania zawartych na nich danych.

Zaatakowane z użyciem tego złośliwego oprogramowania kraje to adwersarze Iranu w regionie Zatoki Perskiej. Jak wskazują specjaliści, to niejedyna kampania hakerska sponsorowana przez Teheran, która obecnie ma miejsce. Grupa APT33 ma aktywnie prowadzić operacje przeciwko Stanom Zjednoczonym, a także celom z branży energetycznej w innych państwach - twierdzą badacze.