Un malware distruttivo che cancella i dati dei computer per colpire società industriali ed energetiche in Medio Oriente. Si tratta di ZeroCleare ed è stato individuato dai ricercatori Ibm.
X-Force Iris, l’unità di sicurezza di Ibm, ha pubblicato un rapporto su una nuova forma di malware “wiper” collegato a gruppi hacker in Iran e utilizzato in un attacco distruttivo contro società energetiche e industriali in Medio Oriente.
MALWARE DI TIPO WIPER
La divisione di Ibm ha scoperto nuovi malware della classe Wiper, ovvero in grado di sovrascrivere il Master Boot Record (Mbr) e le partizioni del disco su computer Windows.
ZEROCLEARE
Soprannominato ZeroCleare, il malware studiato dai ricercatori di Ibm è “legato a gruppi riconducibili a Teheran”, secondo un rapporto dei ricercatori IBM X-Force.
Il malware iraniano ha utilizzato RawDisk “per cancellare l’Mbr e danneggiare le partizioni del disco su un gran numero di dispositivi di rete, dissipando i semi di un attacco distruttivo che potrebbe colpire migliaia di dispositivi e causare interruzioni che potrebbero richiedere mesi per il completo recupero”.
COME IL MALWARE SHAMOON
I ricercatori Ibm hanno riscontrato diverse somiglianze tra ZeroCleare e Shamoon pertanto la società ritiene che ci sia lo stesso attore dietro entrambi.
Questo modo di eseguire un attacco su larga scala contro obiettivi scelti assomiglia al modo in cui aveva agito il malware Shamoon (aka Disttrack) durante l’attacco contro la compagnia petrolifera saudita Aramco nel 2012, come osservato anche dagli esperti di Websense, Seculert e Kaspersky.
All’epoca, gli aggressori utilizzavano Shamoon per cancellare tutti i dati su oltre 30.000 computer e riscrivere il loro Mbr sul disco rigido con l’immagine di una bandiera americana in fiamme.
GLI EFFETTI DELL’ATTACCO CYBER
Anche ZeroCleare avrebbe il potenziale per cancellare migliaia di computer. Ibm ha descritto gli attacchi come “mezzi a basso costo e potenzialmente non imputabili per condurre attività ostili e persino bellicose”. Inoltre, ha avvertito che il malware ha il “potenziale di interrompere servizi critici, danneggiare o distruggere apparecchiature altamente specializzate e, alla fine, infliggere effetti a cascata sulla sicurezza energetica e la capacità industriale di un paese”.
BERSAGLIO: INFRASTRUTTURE ENERGETICHE
Ad oggi, X-Force Iris non ha trovato alcun report precedente sul malware ZeroCleare. Ibm ha intercettato soltanto un attacco riconducibile a ZeroCleare, contro un’azienda energetica in Medio Oriente. Ma l’Iran ha usato Shamoon solo in pochi attacchi da quando l’ha diffuso per la prima volta nel 2012.
Le vittime degli attacchi sono attori nei settori dell’energia e dell’industria in paesi che l’Iran percepisce come ostili nel Golfo Persico.