skip to Main Content

Cyber Warfare: arriva ZeroCleare, nuovo malware per il data-wiping

Cyber Warfare: Arriva ZeroCleare, Nuovo Malware Per Il Data-wiping

di Pierguido Iezzi

Si chiama  ZeroCleare ed è un nuovo malware di categoria data-wiping. E’ collegato agli hacker di stato iraniani APT34 (Oilrig) e Hive0081 (xHunt) ed è l’evoluzione di Shamoon

Si chiama  ZeroCleare ed è un nuovo malware di categoria wiping, specializzato nella cancellazione dei dati dei database infettati, altamente distruttivo e precedentemente sconosciuto. Lo hanno scoperto alcuni esperti di sicurezza in questi giorni. Il forte sospetto è che dietro di esso ci siano gli hacker di stato di un Paese interessato a colpire la produzione di carburanti fossili e il settore energy di nazioni avversarie. Il codice malevolo è stato collegato a due APT molto note nella comunità underground del cybercrime, entrambi iraniane: APT34 (alias Oilrig) e Hive0081 (conosciuto anche come xHunt). Gli esperti di cyber security che hanno scoperto la nuova campagna, hanno sottolineato che il nuovo virus di data-wiping condivide fin troppe somiglianze di alto livello con il famigerato Shamoon: una delle famiglie di virus più distruttive dell’ultimo decennio, noto anche per aver danneggiato 30mila computer del più grande produttore di petrolio dell’Arabia Saudita nel 2012.

Come opera ZeroCleare

Proprio come Shamoon, ZeroCLeare utilizza come “testa di ponte” un driver per hard drive legittimo – RawDisk by ElDos – per sovrascivere il Master boot Record (la linea di codice che contiene la sequenza di comandi e istruzioni necessarie all’avvio) e le varie partizioni del disco nei computer presi di mira che utilizzano il sistema operativo Windows. Nonostante questo driver non possieda le firme necessarie al riconoscimento da parte di Windows, il malware riesce ugualmente a caricare EldoS attraverso una vulnerabilità di Oracle VirtualBox. Per riuscire a colpire il maggior numero possibile di network e device in una singola organizzazione con ZeroCleare, gli hacker iraniani iniziano con una campagna di “forza bruta” per forzare le password degli amministratori e successivamente installare delle web shell ASPX (uno script che viene caricato su un server con lo scopo di dare a un hacker il controllo remoto di una macchina) come China Chopper sfruttando una vulnerabilità di SharePoint.

Le tattiche usate dalle due APT per diffondere il malware sono terra terra, ma hanno comunque avuto successo

Queste tattiche – non particolarmente sofisticate che potremmo quasi definire “terra a terra – hanno avuto un notevole successo, aumentando di fatto il numero di sistemi infettati da ZeroCleare e mettendo di fatto a rischio migliaia di macchine. Le conseguenze, qualora venisse lanciato l’attacco di Data wiping potrebbero essere catastrofiche e occupare mesi nella sola attività di Data recovery. In parallelo le due APT del cybercrime hanno tentato di utilizzare un software più che legittimo di accesso da remoto come TeamViewer contaminandolo con un credential stealer come Mimikatz per aumentare ulteriormente il numero di accessi sottratti.

Le vittime e lo spettro della Cyber warfare

I ricercatori di cyber security non hanno rivelato i nomi di nessuna delle organizzazioni colpite, ma hanno confermato di aver osservato due versioni di ZeroCleare all’opera: una per ogni architettura Windows (32-bit e 64-bit), ma, per il momento sembra che solo la versione 64-bit sia operativa. Per gli esperti, gli attacchi del malware non sono opportunistici e sembrano essere operazioni mirate contro settori e bersagli specifici. I numeri, in effetti non mentono: c’è stato un aumento del 200% di anno in anno per gli attacchi contro le organizzazioni del settore energy in medio oriente. Osservando la regione e le vittime coinvolte (non dichiarate, ma neppure troppo nascoste) è facile capire come dietro questi attacchi si celi lo spettro del Cyber warfare sullo sfondo delle tensioni tra i Paesi del Golfo.

Il precedente di Shamoon e gli attacchi in Italia

Nel 2018 anche un’azienda italiana era stata vittima di una campagna malware distruptive come quella che si sta profilando al momento in Medio Oriente. Shamoon, l’antenato di ZeroCleare aveva infettato i computer di Saipem, uno dei principali fornitori di infrastrutture per la prospezione petrolifera, riuscendo a distruggere oltre il 10% dei dati compromessi, in particolare quelli contenuti nei server della società italiana presenti sul territorio saudita, degli Emirati Arabi e del Kuwait (oltre a Scozia e India). L’aggressione cibernetica aveva messo fuori gioco oltre 300 server e 100 device personali per un totale di quasi 4mila macchine. Proprio come ZeroCleare, Shamoon, noto anche come Disttrack, opera attraverso la sovrascrizione del file di Master boot Record. Il malware può anche propagarsi rapidamente attraverso le reti infette utilizzando il protocollo Windows Server Message Block (SMB), proprio come WannaCry e NotPetya.

Chi c’è dietro a queste campagne malware e quali sono gli obiettivi 

Shamoon è emerso per la prima volta nel 2012, e poi, dopo un lungo periodo di silenzio, una versione evoluta del malware è stata utilizzata in attacchi contro varie organizzazioni saudite nel 2016 e 2017, rivolgendosi a molteplici settori industriali, compresi il settore dei servizi pubblici e finanziari. Non è ancora chiaro chi abbia effettivamente creato il malware, ma i ricercatori di cyber security sono ampiamente convinti che i gruppi di hacking iraniani OilRig (sempre loro!), Rocket Kitten e Greenbug che lavorano per conto del governo iraniano fossero alla base dei precedenti attacchi di Shamoon, anche se l’Iran ha fortemente negato. Non siamo insomma davanti al classico modus operandi dell’attore del cybercrime mosso da motivi economici. Sembra invece che il fil rouge e l’incidenza di queste campagne sia proprio collegata a un chiaro disegno politico. Il terreno di battaglia, insomma, non è più solo quello dello scontro armato e del dibattito diplomatico.

Back To Top