Home Infraestructuras críticas Ciberdelincuentes iraníes atacaron a los sectores energético e industrial de Oriente Medio,...

Ciberdelincuentes iraníes atacaron a los sectores energético e industrial de Oriente Medio, con un sofisticado malware

Investigadores de seguridad de IBM X-Force han identificado un nuevo malware de limpiaparabrisas, posiblemente desarrollado y desplegado por grupos iraníes financiados por el estado en Oriente Medio.

El programa malicioso, al que los investigadores apodaron ZeroCleare, está diseñado para destruir los datos de los dispositivos ó al menos dificultar su recuperación. La unidad de seguridad de IBM X-Force cree que es el producto de una colaboración entre varios grupos patrocinados por el estado iraní.

Según un informe de ArsTechnica, los ataques buscaban objetivos específicos en los sectores energético e industrial en países considerados rivales de Irán. Aunque el vínculo con los grupos patrocinados por el estado iraní no es 100% seguro, es muy probable, dados los vectores de ataque conocidos y los objetivos.

“Aunque X-Force IRIS no puede atribuir la actividad observada durante la fase destructiva de la campaña ZeroCleare, evaluamos que las similitudes de alto nivel con otros actores iraníes de la amenaza, incluyendo la dependencia de los shells ASPX de la web y las cuentas VPN comprometidas, el vínculo con la actividad ITG13, y la alineación del ataque con los objetivos iraníes en la región, hacen que sea probable que este ataque haya sido ejecutado por uno o más grupos de amenaza iraníes”, dijeron los investigadores de ArsTechnica.

Los ataques procedían de las direcciones IP de Ámsterdam, que han sido utilizadas en el pasado por otro grupo infame, conocido con los nombres de APT34 y Oilrig. Los actores malos también usaron una vulnerabilidad de SharePoint e intentaron instalar TeamViewer para un acceso remoto completo.

El software del limpiaparabrisas necesita acceso directo al disco, por lo que utiliza los controladores no firmados existentes para insinuarse en los equipos de destino. En el caso de ZeroCleare, utiliza los controladores EldoS y VBoxDrv para pasar por alto la firma del controlador en Windows, sobrescribiendo el MBR y las particiones del PC objetivo.

Con información de: Masterhacks Noticias.