09/01/20
Киберпреступники, предположительно спонсируемые иранским государством, применили новое вредоносное ПО Dustman в ходе атак на компьютерные сети бахрейнской национальной нефтяной компании Bapco.
Кибератака была осуществлена 29 декабря, однако злоумышленникам удалось повредить только часть компьютерной сети Bapco, сообщило Национальное управление по кибербезопасности Саудовской Аравии (National Cybersecurity Authority).
В ходе недавней атаки преступники использовали новое вредоносное ПО под названием Dustman, представляющее собой вайпер для удаления данных на зараженных компьютерах. По словам представителей CNA, Dustman представляет собой обновленную и улучшенную версию вайпера ZeroCleare, обнаруженного осенью прошлого года.
Общим компонентом данных вредоносов является легитимный набор инструментов EldoS RawDisk для взаимодействия с файлами, дисками и разделами. Вредоносы используют различные эксплоиты и методы для повышения привилегий до уровня администратора, после чего они распаковывают и запускают утилиту EldoS RawDisk для очистки данных на зараженных хостах.
Однако у Dustman есть определенные отличия от других вайперов. Все необходимые драйверы и загрузчики поставляются в одном исполняемом файле, а не в двух файлах, как в случае с ZeroCleare. Также Dustman перезаписывает том, тогда как ZeroCleare стирает том, перезаписывая его мусорными данными (0x55).
Преступники эксплуатировали уязвимости удаленного выполнения кода в VPN-устройствах компании, что позволило им проникнуть в сеть Bapco. Согласно отчету CNA, злоумышленники, предположительно, инициировали процесс очистки данных в качестве последней попытки скрыть улики после того, как ряд совершенных ошибок выявил их присутствие во взломанной сети.
Специалисты пока не смогли определить, какая именно группировка причастна к кибератаке.
