ព័ត៌មាន

ZeroCleare: មេរោគកំទេចទិន្នន័យថ្មីរបស់ប្រទេសអ៊ីរ៉ង់មានគោលដៅទៅលើវិស័យថាមពល

ក្រុមអ្នកស្រាវជ្រាវសុវត្ថិភាពតាមអ៊ីនធឺរណិតរកឃើញមេរោគបំផ្លាញទិន្នន័យដែលមិនធ្លាប់ស្គាល់ពីមុនដែលប្រើដោយពួកហេគឃរ័ឧបត្ថម្ភដោយរដ្ឋដើម្បីកំណត់គោលដៅថាមពល និងអង្គការឧស្សាហកម្មនៅមជ្ឈឹមបូព៌ា។ Dubbed ZeroCleare ទិន្នន័យមេរោគ wiper ត្រូវផ្សារភ្ជាប់ទៅនឹង ក្រុមហេគដែលឧបត្ថម្ភដោយរដ្ឋអ៊ីរ៉ង់ចំនួនពីរគឺ APT34 ដែលមានឈ្មោះថា ITG13 និង Oilrig និង Hive0081 ដែលត្រូវគេស្គាល់ថា xHunt ។ ក្រុមអ្នកស្រាវជ្រាវនៅ IBM ដែលរកឃើញមេរោគ ZeroCleare និយាយថា មេរោគ Wiper ថ្មី ចែករំលែកនូវភាពស្រដៀងគ្នាកម្រិតខ្ពស់ខ្លះជាមួយ Shamoon ដែលជាមេរោគមួយក្នុងចំណោមក្រុមបំផ្លាញមេរោគដែលត្រូវគេស្គាល់ថាបំផ្លាញ កុំព្យូទ័រចំនួន ៣ ម៉ឺនគ្រឿងនៅឯប្រទេសផលិតប្រេងធំជាងគេរបស់អារ៉ាប៊ីសាអូឌីតកាលពីឆ្នាំ ២០១២ ។

  image

ដូចគ្នានឹងមេរោគ Shamoon wiper ដែរ ZeroCleare ក៏ប្រើ hard disk driver ដែលមានឈ្មោះថា &#039RawDisk ដោយ ElDos&#039 ដើម្បី overwrite the master boot record (MBR) និង disk partitions របស់កុំព្យូទ័រគោលដៅដែលដំណើរការប្រព័ន្ធប្រតិបត្តិការ window។ ទោះបីជាកម្មវិធីបញ្ជា EldoS មិនត្រូវចុះហត្ថលេខាក៏ដោយ ក៏មេរោគនៅតែគ្រប់គ្រងដំណើរការវា ដោយផ្ទុកកម្មវិធីបញ្ជា Oracle’s VirtualBox driver ដែលងាយរងគ្រោះ ប៉ុន្តែចុះហត្ថលេខាលើ កម្មវិធី Oracle ដោយកេងចំណេញពីវាដើម្បីចៀសពីយន្តការត្រួតពិនិត្យហត្ថលេខា និងផ្ទុកកម្មវិធីបញ្ជា EldoS ដែលមិនទាន់ចុះហត្ថលេខា។ អ្នកស្រាវជ្រាវនិយាយថា “ដើម្បីទទួលនូវមុខងាររបស់ ឧបករណ៍នេះ ZeroCleare ប្រើកម្មវិធីបញ្ជា VBoxDrv ដែលងាយរងគ្រោះ និង ស្គ្រីប PowerShell / Batch ដែលមានគ្រោះថ្នាក់ bypass Windows control”។

image

ដើម្បីដាក់ពង្រាយមេរោគ Zerocleare លើកុំព្យូទ័រជាច្រើននៅក្នុងអង្គភាពមួយតាមដែលអាចធ្វើទៅ  ការប៉ុនប៉ងដំបូងរបស់អ្នកវាយប្រហារដើម្បីបំបែកលេខកូដគណនីបណ្តាញ ហើយបន្ទាប់មក តំឡើង ASPX web shells ដូចជា China Chopper និង Tunna ដោយការធ្វើអាជីវកម្មភាព ងាយរងគ្រោះនៃ SharePoint។ “ការបន្ថែមយុទ្ធសាស្រ្ត living off the land, ZeroCleare ត្រូវ ផ្សព្វផ្សាយទៅឧបករណ៍ជាច្រើននៅលើបណ្តាញដែលរងផលប៉ះពាល់ដោយសាបព្រួសគ្រាប់ពូជនៃការវាយប្រហារបំផ្លិចបំផ្លាញដែលអាចប៉ះពាល់ដល់ឧបករណ៍រាប់ពាន់ និងបណ្តាលឱ្យមានការរំខាន ដែលអាចចំណាយពេលច្រើនខែដើម្បីជាសះស្បើយពីពេញលេញ” បើយោងតាមអ្នកស្រាវជ្រាវ។ អ្នកគំរាមកំហែងដដែលនេះក៏ព្យាយាមដំឡើងកម្មវិធីចូលពីចម្ងាយដោយស្របច្បាប់ដែលមានឈ្មោះថា TeamViewer និងប្រើឧបករណ៍លួចព័ត៌មានសម្ងាត់របស់ Mimikatz ដើម្បីលួចអត្ត សញ្ញាណបណ្តាញរបស់ម៉ាស៊ីនមេដែលសម្របសម្រួល។

ទោះបីជាអ្នកស្រាវជ្រាវមិនបង្ហាញពីឈ្មោះនៃអង្គការគោលដៅណាមួយក៏ដោយពួកគេ បញ្ជាក់ថាមាន version ចំនួនពីរដែលត្រូវគេមិនធ្លាប់ស្គាល់ មួយនៅក្នុង Windows នីមួយៗ (៣២ ប៊ីតនិង ៦៤ ប៊ីត) ប៉ុន្តែមានតែ ៦៤- ប៊ីតទេដែលដំណើរការ។ យោងទៅតាមអ្នកស្រាវជ្រាវ ការវាយប្រហាររបស់ ZeroCleare មិនមែនជាឱកាសនិយមទេ ហើយហាក់ដូចជាប្រតិបត្តិការគោលដៅដើម្បី ប្រឆាំងនឹងអង្គការជាក់លាក់។ អ្នកស្រាវជ្រាវនិយាយថា “កម្លាំង X-Force IRIS នឹងកំពុងកើត មាននូវការបំផ្លិចបំផ្លាញគួរឱ្យកត់សម្គាល់ក្នុងឆ្នាំកន្លងមកដោយកើនឡើងចំនួន ២០០ ភាគរយ នៃ ចំនួនបំផ្លិចបំផ្លាញក្នុងរយៈពេល ៦ ខែកន្លងមក”។ “ក្រឡេកមើលតំបន់ភូមិសាស្ត្រដែលរងគ្រោះដោយមេរោគ ZeroCleare វាមិនមែនជាលើកទីមួយទេ ដែលមជ្ឈឹមបូព៌ាឃើញការវាយប្រហារបំផ្លិចបំផ្លាញសំដៅទៅលើវិស័យថាមពលរបស់ខ្លួននោះ”។