skip to Main Content

Leonardo Engineering

Ibm spara sull’Iran per il malware ZeroCleare

L'Iran ha lanciato un nuovo malware classe Wiper soprannominato ZeroCleare che cancella i dati dei computer Windows. L'allarme di un report Ibm

Un malware distruttivo che cancella i dati dei computer per colpire società industriali ed energetiche in Medio Oriente. Si tratta di ZeroCleare ed è stato individuato dai ricercatori Ibm.

X-Force Iris, l’unità di sicurezza di Ibm, ha pubblicato un rapporto su una nuova forma di malware “wiper” collegato a gruppi hacker in Iran e utilizzato in un attacco distruttivo contro società energetiche e industriali in Medio Oriente.

MALWARE DI TIPO WIPER

La divisione di Ibm ha scoperto nuovi malware della classe Wiper, ovvero in grado di sovrascrivere il Master Boot Record (Mbr) e le partizioni del disco su computer Windows.

ZEROCLEARE

Soprannominato ZeroCleare, il malware studiato dai ricercatori di Ibm è “legato a gruppi riconducibili a Teheran”, secondo un rapporto dei ricercatori IBM X-Force.

Il malware iraniano ha utilizzato RawDisk “per cancellare l’Mbr e danneggiare le partizioni del disco su un gran numero di dispositivi di rete, dissipando i semi di un attacco distruttivo che potrebbe colpire migliaia di dispositivi e causare interruzioni che potrebbero richiedere mesi per il completo recupero”.

COME IL MALWARE SHAMOON

I ricercatori Ibm hanno riscontrato diverse somiglianze tra ZeroCleare e Shamoon pertanto la società ritiene che ci sia lo stesso attore dietro entrambi.

Questo modo di eseguire un attacco su larga scala contro obiettivi scelti assomiglia al modo in cui aveva agito il malware Shamoon (aka Disttrack) durante l’attacco contro la compagnia petrolifera saudita Aramco nel 2012, come osservato anche dagli esperti di Websense, Seculert e Kaspersky.

All’epoca, gli aggressori utilizzavano Shamoon per cancellare tutti i dati su oltre 30.000 computer e riscrivere il loro Mbr  sul disco rigido con l’immagine di una bandiera americana in fiamme.

GLI EFFETTI DELL’ATTACCO CYBER

Anche ZeroCleare avrebbe il potenziale per cancellare migliaia di computer. Ibm ha descritto gli attacchi come “mezzi a basso costo e potenzialmente non imputabili per condurre attività ostili e persino bellicose”. Inoltre, ha avvertito che il malware ha il “potenziale di interrompere servizi critici, danneggiare o distruggere apparecchiature altamente specializzate e, alla fine, infliggere effetti a cascata sulla sicurezza energetica e la capacità industriale di un paese”.

BERSAGLIO: INFRASTRUTTURE ENERGETICHE

Ad oggi, X-Force Iris non ha trovato alcun report precedente sul malware ZeroCleare. Ibm ha intercettato soltanto un attacco riconducibile a ZeroCleare, contro un’azienda energetica in Medio Oriente. Ma l’Iran ha usato Shamoon solo in pochi attacchi da quando l’ha diffuso per la prima volta nel 2012.

Le vittime degli attacchi sono attori nei settori dell’energia e dell’industria in paesi che l’Iran percepisce come ostili nel Golfo Persico.

Back To Top