ZeroCleare
Οι ερευνητές στον κυβερνοχώρο τείνουν να χαρακτηρίζουν τις πιο προηγμένες ομάδες hacking ως APT (Advanced Persistent Threats). Οι APT συχνά προσλαμβάνονται από τις κυβερνήσεις για να πραγματοποιούν σκιερό πράξεις. Ωστόσο, δεν είναι όλα τα APT κυβερνητικά χορηγούμενα, και πολλοί λειτουργούν μόνοι τους, ακολουθώντας τις δικές τους ατζέντες. Οι περισσότερες ομάδες APT θα διεξήγαγαν επιθέσεις με στόχο τη συλλογή πληροφοριών σχετικά με τον στόχο τους ή την έναρξη δραστηριοτήτων καθαρά οικονομικά παρακινημένων. Ωστόσο, υπάρχουν ορισμένοι APT που έχουν ως στόχο να προκαλέσουν όσο το δυνατόν περισσότερο κακό και να προκαλέσουν όσο το δυνατόν μεγαλύτερη ζημιά. Οι υαλοκαθαριστήρες δίσκων είναι το πιο συχνά χρησιμοποιούμενο κακόβουλο λογισμικό σε τέτοιες απειλητικές καμπάνιες. Ο στόχος των υαλοκαθαριστήρων είναι να καταστρέψουν τα δεδομένα που είναι αποθηκευμένα στο σκληρό δίσκο του στόχου και τις αφαιρούμενες συσκευές αποθήκευσης. Εάν ένα αντίγραφο ασφαλείας των αρχείων σας δεν είναι διαθέσιμο και πέσετε θύμα ενός υαλοκαθαριστήρα, δεν υπάρχει τρόπος να ανακτήσετε τα δεδομένα σας.
Πίνακας περιεχομένων
Ομοιότητες αρκούδων με τον υαλοκαθαριστήρα Shamoon
Πρόσφατα, οι ερευνητές κακόβουλου λογισμικού εντόπισαν ένα νέο υαλοκαθαριστήρα στο φυσικό περιβάλλον. Το όνομα αυτής της ολοκαίνουργιας απειλής είναι το ZeroCleare. Κατά τη μελέτη του υαλοκαθαριστήρα ZeroCleare, οι ειδικοί βρήκαν μερικές σημαντικές ομοιότητες με έναν από τους πιο δημοφιλείς υαλοκαθαριστήρες - Shamoon . Ωστόσο, αυτό δεν σημαίνει ότι ο υαλοκαθαριστήρας ZeroCleare αποτελεί αντίγραφο της απειλής του Shamoon, καθώς υπάρχουν και διάφορες σημαντικές διαφορές. Αυτό σημαίνει ότι αυτές οι απειλές δεν ανήκουν στην ίδια οικογένεια κακόβουλων προγραμμάτων, αλλά οι συγγραφείς του υαλοκαθαριστήρα ZeroCleare έχουν πιθανώς δανειστεί κώδικα από την περίφημη απειλή Shamoon.
Αντικαθιστά το MBR
Για να θέσουν σε κίνδυνο έναν στοχοθετημένο κεντρικό υπολογιστή, οι επιτιθέμενοι φαίνεται να εκμεταλλεύονται τις συνδέσεις απομακρυσμένης επιφάνειας εργασίας και τους λογαριασμούς δικτύου που έχουν ασφαλιστεί κακώς και είναι επομένως μάλλον ευάλωτοι. Μόλις μολυνθεί ένας υπολογιστής, ο υαλοκαθαριστήρας ZeroCleare θα εκτοξευθεί μόνο αφού οι χειριστές της απειλής έχουν χρησιμοποιήσει άλλες οικογένειες malware. Οι επιτιθέμενοι επέλεξαν να χρησιμοποιήσουν ένα αυθεντικό πακέτο εργαλείων που ονομάζεται 'EldoS RawDisk' για να πραγματοποιήσουν την απειλητική λειτουργία. Συχνά, νόμιμες εργαλειοθήκες όπως το «EldoS RawDisk» χρησιμοποιούνται σε επιθέσεις στον κυβερνοχώρο, διότι θα επέτρεπαν στους επιτιθέμενους να αποφύγουν ελέγχους ασφαλείας και μέτρα κατά του κακόβουλου λογισμικού. Όταν ξεκινήσει το κακόβουλο λογισμικό ZeroCleare, θα αρχίσει να αντικαθιστά το MBR (Master Boot Record) και να καταστρέφει τα δεδομένα του χρήστη.
Οι εμπειρογνώμονες κακόβουλου λογισμικού δεν μπόρεσαν να προσδιορίσουν ποια APT διαδίδει τον καθαριστή ZeroCleare ή ποιος είναι ο τελικός στόχος τους. Κάποιοι ερευνητές πιστεύουν ότι ο απειλή για τον υαλοκαθαριστήρα ZeroCleare μπορεί να ενεργεί εξ ονόματος μιας ξένης κυβέρνησης.
Όταν πρόκειται για απειλές κακόβουλου λογισμικού που κάνουν ένα χάος σε ένα μολυσμένο σύστημα, οι χρήστες υπολογιστών που επηρεάζονται από την απειλή τείνουν να βουτήξουν βαθιά στους λόγους της διαταραχής στο σύστημά τους. Όπως αποδεικνύεται, το ZeroCleare είναι ένας ιδιαίτερος τύπος απειλής που μοιάζει να έχει αξιοποιηθεί από τους χάκερ ή τα cybercrooks για να επιτελέσουν επιθέσεις σε βιομηχανίες. Μόλις κατά το παρελθόν έτος, σύμφωνα με την εταιρεία Intelligence Security της IBM, σημειώθηκε αύξηση κατά 200% στο ποσό των καταστρεπτικών επιθέσεων που η ομάδα τους X-Force IRIS έχει δει σε περιπτώσεις βοήθειας των εταιρειών να ανταποκριθούν σε τέτοιες περιπτώσεις. Το ZeroCleare είναι μια απειλή που έχει χρησιμοποιηθεί για να επιτεθεί περισσότερο στους ενεργειακούς και βιομηχανικούς τομείς, ο οποίος έχει δει σταθερή αύξηση στις επιθέσεις από επιθετικό και εξελιγμένο κακόβουλο λογισμικό τα τελευταία χρόνια.
Πολλά τμήματα της Ευρώπης και της Μέσης Ανατολής έχουν δει έναν αρκετά μεγάλο αριθμό επιθέσεων από το ZeroCleare και άλλες παρόμοιες απειλές. Ενώ οι επιθέσεις του ZeroCleare δεν περιορίζονται σε συγκεκριμένους τομείς, οι κυβερνοχώροι προσπαθούν να ξεκινήσουν τις επιθέσεις τους σε περιοχές που οφείλονται σε παρακινητικούς παράγοντες που θα μπορούσαν τελικά να επηρεάσουν την οικονομία μιας αντίπαλης χώρας.
Οι πολυπλοκότητες του ZeroCleare την καθιστούν πιο επικίνδυνη
Η πολυπλοκότητα του ZeroCleare είναι εκτεταμένη. Οι χάκερ έχουν δημιουργήσει το ZeroCleare με τρόπο ώστε να παρακάμπτουν συγκεκριμένες διασφαλίσεις στο λειτουργικό σύστημα των Windows, κυρίως εκείνες που εμποδίζουν την εκτέλεση μη υπογεγραμμένων προγραμμάτων οδήγησης σε ορισμένα συστήματα. Στην περίπτωση του ZeroCleare, οι υπολογιστές με Windows 64-bit και η ικανότητά τους να προστατεύουν τους μη υπογεγραμμένους οδηγούς με το DSE (Driver Signature Enforcement - DSE) είναι ουσιαστικά άκυρο όταν είναι υπό την επίθεση του ZeroCleare. Με αυτά, είναι φανερό ότι το ZeroCleare είναι ελεύθερο εύρος για να εκμεταλλευτεί ένα σύστημα 64-bit, το οποίο πιστεύεται ότι είναι πιο ασφαλές από ένα σύστημα 32 bit. Είτε έτσι είτε αλλιώς, το ZeroCleare είναι επιρρεπές στο να προκαλέσει σημαντικά ζητήματα και μπορεί να οδηγήσει σε προσβολή ενός μολυσμένου υπολογιστή στα γόνατά του και ουσιαστικά άχρηστο αφού επηρεάσει το Master Boot Record.
Οι χρήστες υπολογιστών καλούνται πάντοτε να λάβουν προληπτικά μέτρα για να αποφύγουν την επίθεση από απειλές όπως το ZeroCleare. Στο τοπίο των επιθετικών ransomware και άλλων απειλών που προκαλούν κατά βάση απώλεια αποθηκευμένων δεδομένων, οι εταιρείες ασφάλειας δεν μπορούν να τονίσουν πόσο σημαντικό είναι να λάβουν προληπτικά μέτρα για την αποφυγή επιθέσεων ZeroCleare, καθώς δεν αφήνει πολύ περιθώρια για ανάκτηση ενός κατεστραμμένου συστήματος.
