„ZeroCleare“
Kibernetinio saugumo tyrėjai yra linkę paženklinti pažangiausias įsilaužimo grupes kaip APT (Advanced Persistent Threats). APT dažnai yra pasamdyta vyriausybių, kad būtų galima atlikti šešėlines operacijas. Tačiau ne visi APT yra vyriausybės remiami ir daugelis jų veikia savarankiškai, vykdydami savo darbotvarkes. Dauguma APT grupių vykdytų išpuolius siekdamos rinkti informaciją apie savo taikinį arba pradėtų grynai finansiškai motyvuotas operacijas. Tačiau yra tam tikrų APT, kurių tikslas yra sugadinti kuo daugiau žalos ir padaryti kuo daugiau žalos. Disko valytuvai yra dažniausiai kenkėjiška programinė įranga, naudojama tokiose grėsmingose kampanijose. Disko valytuvų tikslas yra sunaikinti duomenis, laikomus tiksliniame kietajame diske ir nuimamuosiuose saugojimo įrenginiuose. Jei jūsų failų atsarginės kopijos nėra ir jūs nukentėjote nuo disko valytuvo, nėra galimybės atkurti duomenų.
Turinys
Lokiai panašumai su „Shamoon Wiper”
Neseniai kenkėjiškų programų tyrėjai gamtoje pastebėjo naują disko valytuvą. Šios visiškai naujos grėsmės pavadinimas yra „ZeroCleare". Tyrinėdami „ZeroCleare" valytuvus, ekspertai nustatė keletą reikšmingų panašumų su vienu populiariausių disko valytuvų - „ Shamoon" . Tačiau tai nereiškia, kad „ZeroCleare" valytuvas yra „Shamoon" grėsmės kopija, nes taip pat yra įvairių svarbių skirtumų. Tai reiškia, kad šios grėsmės nepriklauso tai pačiai kenkėjiškų programų šeimai, tačiau „ZeroCleare" valytuvų autoriai greičiausiai pasiskolino kodą iš garsiai žinomos „Shamoon" grėsmės.
Perrašo MBR
Siekdami pakenkti tiksliniam kompiuteriui, užpuolikai pasinaudoja nuotolinio darbalaukio jungtimis ir tinklo abonementais, kurie buvo blogai apsaugoti ir todėl yra gana pažeidžiami. Užkrėtus kompiuterį, „ZeroCleare" valytuvas bus paleistas tik po to, kai grėsmės operatoriai panaudos kitas kenkėjiškų programų šeimas. Užpuolikai, norėdami įvykdyti grėsmingą operaciją, pasirinko naudoti tikrą įrankių rinkinį pavadinimu „EldoS RawDisk". Dažnai teisėti įrankių rinkiniai, tokie kaip „EldoS RawDisk", naudojami kibernetinėse atakose, nes jie leis užpuolikams išvengti saugumo patikrinimų ir kovos su kenkėjiškomis programomis priemonių. Paleidus „ZeroCleare" kenkėjišką programą, ji pradės perrašyti MBR („Master Boot Record") ir sunaikins vartotojo duomenis.
Kenkėjiškų programų ekspertai negalėjo nustatyti, kuris APT skleidžia „ZeroCleare" valytuvą ar koks yra jų galutinis tikslas. Kai kurie tyrinėtojai mano, kad „ZeroCleare" valytuvo grėsmės veikėjas gali veikti užsienio vyriausybės vardu.
Kalbant apie kenkėjiškų programų grėsmę, sukeliančią netvarką užkrėstoje sistemoje, kompiuterių vartotojai, kuriems kyla grėsmė, yra linkę gilintis į savo sistemos sutrikimo priežastis. Kaip paaiškėja, „ZeroCleare" yra tam tikros rūšies grėsmė, kurią, panašu, kad įsilaužėliai ar kibernetinės bangos pasinaudojo užpuolimais pramonės šakose. Vien per praėjusius metus, pasak IBM saugumo žvalgybos firmos, 200 procentų padaugėjo sunaikinimo išpuolių, kuriuos jų „X-Force IRIS" komanda matė padedant įmonėms reaguoti į tokius atvejus. „ZeroCleare" yra grėsmė, dažniausiai naudojama atakai energetikos ir pramonės sektoriuose, kur pastaraisiais metais pastebimas stabilus agresyvios ir modernios kenkėjiškos programos išpuolių augimas.
Daugelyje Europos šalių ir Viduriniuose Rytuose buvo pastebėtas gana didelis „ZeroCleare" išpuolių skaičius ir kitos panašios grėsmės. Nors „ZeroCleare" išpuoliai neapsiriboja tam tikromis sritimis, kibernetinės juostos nori pradėti savo išpuolius teritorijose dėl motyvacinių veiksnių, kurie galiausiai gali paveikti konkuruojančios šalies ekonomiką.
Dėl „ZeroCleare” sudėtingumo jis tampa pavojingesnis
„ZeroCleare" sudėtingumas yra didelis. Piratai sukūrė „ZeroCleare" taip, kad apeitų tam tikras „Windows" operacinės sistemos apsaugos priemones, daugiausia tas, kurios neleidžia pasirašytoms tvarkyklėms veikti tam tikrose sistemose. „ZeroCleare" atveju 64 bitų „Windows" kompiuteriai ir jų galimybė apsisaugoti nuo nepasirašytų tvarkyklių, naudojant „Driver Signature Enforcement" (DSE), iš esmės yra negaliojantys, kai yra atakuojami „ZeroCleare". Tokiu atveju akivaizdu, kad „ZeroCleare" gali laisvai naudoti 64 bitų sistemą, kuri, kai kurių manymu, yra saugesnė nei 32 bitų sistema. Bet kokiu atveju „ZeroCleare" yra linkęs sukelti didelių problemų ir gali paveikti užkrėstą kompiuterį ant kelių ir praktiškai nenaudingas po to, kai bus paveiktas pagrindinis įkrovos įrašas.
Kompiuterių vartotojai visada raginami imtis prevencinių priemonių, kad išvengtų tokios grėsmės kaip „ZeroCleare". Agresyvios išpirkos programinės įrangos ir kitų grėsmių, dėl kurių iš esmės prarandami saugomi duomenys, aplinkoje apsaugos firmos negali pakankamai pabrėžti, kaip svarbu imtis iniciatyvių priemonių, kad būtų išvengta „ZeroCleare" atakų, nes tai gali nepalikti daug vietos pažeistai sistemai atkurti.
