ZeroCleare
Kyberturvallisuustutkijoilla on taipumus merkitä edistyneimmät hakkerointiryhmät APT: ksi (Advanced Persistent Threats). Hallitukset palkkaavat usein APT: tä varjoisien operaatioiden toteuttamiseksi. Kaikki APT: t eivät kuitenkaan ole hallituksen tukemia, ja monet toimivat omin päin, noudattaen omia ohjelmiaan. Suurin osa APT-ryhmistä joko suorittaisi hyökkäyksiä tavoitteenaan kerätä tietoja tavoitteestaan tai käynnistää puhtaasti taloudellisesti motivoituneita operaatioita. On kuitenkin tiettyjä APT: itä, joiden tavoitteena on tuhota mahdollisimman paljon tuhoa ja aiheuttaa niin paljon vahinkoa kuin mahdollista. Levypyyhkimet ovat yleisimpiä haittaohjelmia, joita käytetään tällaisissa uhkaavissa kampanjoissa. Levypyyhkimien tavoitteena on tuhota kohteen kiintolevylle ja irrotettaviin tallennuslaitteisiin tallennetut tiedot. Jos tiedostoista ei ole varmuuskopiota ja joudut levypyyhkijän uhreiksi, tietojasi ei voi palauttaa.
Sisällysluettelo
Karhui yhtäläisyyksiä Shamoon-pyyhin kanssa
Äskettäin haittaohjelmatutkijat havaitsivat uuden levypesurin luonnossa. Tämän aivan uuden uhan nimi on ZeroCleare. Tutkiessaan ZeroCleare-pyyhin, asiantuntijat löysivät joitain merkittäviä yhtäläisyyksiä yhden suosituimpaan levypesurin - Shamoonin kanssa . Tämä ei kuitenkaan tarkoita, että ZeroCleare-pyyhin olisi kopio Shamoon-uhasta, koska siinä on myös useita tärkeitä eroja. Tämä tarkoittaa, että nämä uhat eivät kuulu samaan haittaohjelmaperheeseen, mutta ZeroCleare-pyyhkijän kirjoittajat ovat todennäköisesti lainanneet koodia pahamaineiselta Shamoon-uhkalta.
Korvaa MBR: n
Kohdennetun isännän vaarantamiseksi hyökkääjät näyttävät hyödyntävän etätyöpöytäyhteyksiä ja verkkotilejä, jotka on suojattu huonosti ja ovat siten melko haavoittuvia. Tietokoneen tartuttamisen jälkeen ZeroCleare-pyyhin käynnistetään vasta, kun uhan operaattorit ovat käyttäneet muita haittaohjelmaperheitä. Hyökkääjät ovat päättäneet käyttää aitoa välineistöä nimeltään 'EldoS RawDisk' suorittaaksesi uhkaavan operaation. Usein laillisia työkalusarjoja, kuten 'EldoS RawDisk', käytetään verkkohyökkäyksissä, koska niiden avulla hyökkääjät voisivat välttää tietoturvatarkastuksia ja haittaohjelmien torjuntaa. Kun ZeroCleare-haittaohjelma käynnistetään, se alkaa kirjoittaa MBR: n (Master Boot Record) ja tuhota käyttäjän tiedot.
Haittaohjelmien asiantuntijat eivät ole pystyneet selvittämään, mikä APT levittää ZeroCleare-pyyhin tai mikä on heidän lopputavoitteensa. Jotkut tutkijat uskovat, että ZeroCleare-pyyhkimen takana oleva uhkatekijä voi toimia ulkomaisen hallituksen puolesta.
Kun kyse on haittaohjelmauhkista, jotka aiheuttavat sotkua tartunnan saaneessa järjestelmässä, tietokoneen käyttäjät, joihin uhka kohdistuu, ovat yleensä sukellut syvälle järjestelmän häiriöiden syihin. Kuten käy ilmi, ZeroCleare on erityyppinen uhka, jonka hakkerit tai verkkohyökkäykset näyttävät hyödyntäneen palkkahyökkäyksiä teollisuudelle. Vain viime vuonna IBM: n tietoturvayrityksen mukaan tuhoisien hyökkäysten määrä on lisääntynyt 200 prosentilla, jonka heidän X-Force IRIS -tiiminsä on nähnyt auttamassa yrityksiä reagoimaan tällaisiin tapauksiin. ZeroCleare on uhka, jota on käytetty useimmiten hyökkäyksinä energia- ja teollisuussektoreille, ja aggressiivisten ja hienostuneiden haittaohjelmien hyökkäykset ovat lisääntyneet tasaisesti viime vuosina.
Monissa osissa Eurooppaa ja Lähi-itää on nähty melko suuri määrä ZeroClearen hyökkäyksiä ja muita vastaavia uhkia. Vaikka ZeroCleare-hyökkäykset eivät ole rajoittuneet tietyille alueille, kyberpölynimurit pyrkivät käynnistämään hyökkäykset alueilla motivoivien tekijöiden takia, jotka voivat lopulta vaikuttaa kilpailijamaan talouteen.
ZeroClearen monimutkaisuus tekee siitä vaarallisemman
ZeroClearen monimutkaisuus on laaja. Hakkerit ovat luoneet ZeroClearen tavalla, jolla ohitetaan tietyt suojaukset Windows-käyttöjärjestelmässä, lähinnä ne, jotka estävät allekirjoittamattomia ohjaimia toimimasta tietyissä järjestelmissä. ZeroClearen tapauksessa 64-bittiset Windows-tietokoneet ja niiden kyky suojautua allekirjoittamattomilta ohjaimilta ohjaimen allekirjoitusten valvonnalla (DSE) ovat käytännössä mitätöitä, kun ne ovat ZeroClearen hyökkäyksen alaisia. Tällaisen kanssa on selvää, että ZeroCleare voi vapaasti käyttää 64-bittistä järjestelmää, jonka jotkut pitävät turvallisempana kuin 32-bittinen järjestelmä. Joka tapauksessa ZeroCleare on alttiina aiheuttamaan suuria ongelmia, ja se voi johtaa tartunnan saaneen tietokoneen polvillemiseen ja käytännössä hyödytöntä Master Boot Record -rekisteriin vaikuttamisen jälkeen.
Tietokoneen käyttäjiä kehotetaan aina ryhtymään ennaltaehkäiseviin toimenpiteisiin, jotta ZeroCleare-kaltaisten uhkien uhka ei pääse. Agressiivisten ransomware-ohjelmien ja muiden uhkien tilanteessa, jotka aiheuttavat pohjimmiltaan tallennetun tiedon menetyksen, turvallisuusyritykset eivät voi korostaa tarpeeksi ennakoivia toimenpiteitä ZeroCleare-hyökkäysten välttämiseksi, koska se ei ehkä jätä paljon tilaa vaurioituneen järjestelmän palauttamiselle.
