Echipa de cercetare de la SonicWall Capture Labs a monitorizat activ grupurile APT33, APT34, APT35, APT39 și a urmărit cu multă atenție activitatea acestora astfel încât, în doar o săptămână, a identificat apariția și răspândirea troianului ZeroClear, dar și a altor programe distructive.
Grupurile de mai sus sunt concentrate în principal pe sisteme informatice financiare, energetice, de telecomunicații, industriale și de controlul datelor (SCADA/ICS).
Recent, APT33, cel mai puternic grup cibernetic al Iranului, a fost descoperit sondând sistemele de control fizic utilizate în unitățile de producție și distribuție a energiei electrice, producție și rafinării, folosind atacuri de tip password spraying pentru a încerca accesarea frauduloasă a unor conturi, prin folosirea unor parole comune.
APT33 este un grup suspect de amenințare cibernetică, de origine iraniană, care efectuează operațiuni încă din 2013. De-a lungul timpului, grupul a vizat organizații din mai multe industrii, manifestând un interes deosebit în aviație și sectoarele energetice.
Troianul ZeroClear este un virus care șterge hard-discul. Când este executat, va încerca să suprascrie Master Boot Record (MBR) și partițiile de disc pe computerele cu sistem de operare Microsoft Windows.
Se poate executa pe sisteme x86 sau x64 și este cu atât mai periculos cu cât majoritatea controlerelor industriale rulează încă sisteme de operare mai vechi.
“Având în vedere descoperirile recente, sfătuim companiile să ia măsuri suplimentare de protecție în fața amenințărilor cibernetice în special împotriva atacurilor de tip spear-phishing, DDoS, ransomware și a celor de tip wiper, acestea din urmă fiind cele mai utiizate asupra vecinilor Iranului“, explică Bill Conner, CEO al SonicWall.
“Aceste tipuri de atacuri, concepute pentru a detecta slăbiciunile umane și / sau din rețelele informatice, ar putea pătrunde, în cele din urmă, prin cele mai puternice și de încredere sisteme de protecție ale unei țări, în ceea ce ar fi un atac cibernetic istoric”, a adăugat Conner.
“Spear phishing este un email sau o comunicare electronică frauduloasă care are drept țintă o anumită persoană, business sau organizație. Deși, de obicei, obiectivul unui astfel de email este furtul de date în scopuri infracționale, în cazul spear-phishing, atacatorii pot avea și intenția să instaleze malware pe computerul-țintă”, explică Tudor Florescu, Sales Engineer la SonicWall.