ZeroCleare: البرمجيات الخبيثة الإيرانية الجديدة التي تستهدف قطاع الطاقة - نقرة
تقارير أمنية

ZeroCleare: البرمجيات الخبيثة الإيرانية الجديدة التي تستهدف قطاع الطاقة

ZeroCleare: البرمجيات الخبيثة الإيرانية الجديدة التي تستهدف قطاع الطاقة.

كشف باحثون في مجال الأمن السيبراني عن برمجيات خبيثة جديدة لم يتم اكتشافها من قبل تمسح بيانات
برمجية يتم استخدامها من قبل قراصنة الإنترنت في المناطق البرية لاستهداف منظمات الطاقة والصناعة في
الشرق الأوسط.

يطلق عليها اسم ZeroCleare ، وقد تم ربط البيانات ممسحة البرامج الضارة على ولكن لا احد اثنين الإيراني
القرصنة groups- التي ترعاها الدولة APT34 ، المعروف أيضا باسم ITG13 وOilrig، و Hive0081 ، المعروف
أيضا باسم xHunt.

يقول فريق من الباحثين في شركة IBM الذين اكتشفوا برنامج ZeroCleare الخبيث إن البرامج الضارة للممسحات
الجديدة تشترك في بعض أوجه التشابه عالية المستوى مع Shamoon ، وهي واحدة من أكثر عائلات البرامج
الضارة تدميرًا والمعروفة بتلفها 30.000 جهاز كمبيوتر في أكبر منتج للنفط في المملكة العربية السعودية في
عام 2012.

فقط مثل اليستخدم برنامج ZeroCleare الخبيث من برنامج Shamoon ، وهو برنامج تشغيل شرعي للقرص الثابت
يسمى ‘RawDisk by ElDos’ للكتابة فوق سجل الإقلاع الرئيسي (MBR) وأقسام القرص لأجهزة الكمبيوتر المستهدفة
التي تشغل نظام التشغيل Windows.

على الرغم من عدم توقيع برنامج تشغيل EldoS ، إلا أن البرامج الضارة لا تزال قادرة على تشغيله عن طريق تحميل برنامج تشغيل VirtualBox من Oracle ضعيف ولكنه موقّع ، واستغلاله لتجاوز آلية التحقق من التوقيع وتحميل برنامج التشغيل EldoS غير الموقع.

 للوصول إلى جوهر الجهاز، وتستخدم ZeroCleare و[VBoxDrv لكن توقيع سائق عرضة عمدا و PowerShell الخبيثة مخطوطات دفعة لتجاوز الضوابط ويندوز” و قال الباحثون .

 

ممسحة البيانات الإيرانية

لنشر البرامج الضارة Zerocleare على أكبر عدد ممكن من أجهزة الكمبيوتر في مؤسسة ما ، أول محاولة للمهاجمين لفرض كلمات مرور حسابات الشبكة ثم قم بتثبيت قذائف ويب ASPX ، مثل China Chopper و Tunna ، من خلال استغلال ثغرة أمنية في SharePoint.

“بإضافة تكتيكات العيش خارج الأرض إلى المخطط ، تم نشر ZeroCleare على العديد من الأجهزة على الشبكة المتأثرة ، حيث بذر بذور هجوم مدمر يمكن أن يؤثر على آلاف الأجهزة ويتسبب في تعطيل قد يستغرق شهورًا للتعافي من قال الباحثون.

حاول نفس ممثلي التهديد أيضًا تثبيت برنامج شرعي للوصول عن بُعد يسمى TeamViewer واستخدموا نسخة غامضة من أداة سرقة بيانات اعتماد Mimikatz لسرقة المزيد من بيانات اعتماد الشبكة للخوادم المعرضة للخطر.

على الرغم من أن الباحثين لم يكشفوا عن أسماء أي منظمات مستهدفة ، إلا أنهم أكدوا أن هناك نسختين
من Zerocleare التي تمت مشاهدتها في البرية ، واحدة لكل بنية Windows (32 بت و 64 بت) ،
ولكن فقط 64- يعمل قليلا.

وفقًا للباحثين ، فإن هجمات ZeroCleare ليست انتهازية ويبدو أنها عمليات موجهة ضد قطاعات ومنظمات محددة.

وقال الباحثون “X-Force IRIS تتابع زيادة ملحوظة في الهجمات المدمرة في العام الماضي ، حيث سجلت زيادة
هائلة بنسبة 200 في المئة في حجم الهجمات المدمرة في الأشهر الستة الماضية”.

“بالنظر إلى المنطقة الجغرافية التي ضربها برنامج ZeroCleare ، فليست هذه هي المرة الأولى التي يشهد فيها
الشرق الأوسط هجمات مدمرة تستهدف قطاع الطاقة الخاص بها.”

الوسوم
اظهر المزيد

مقالات ذات صلة

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

إغلاق