Les chercheurs en sécurité de la division X-Force d’IBM ont rédigé un rapport de vingt-huit pages dédié à la découverte d’un virus particulièrement destructeur. "ZeroCleare", de son nom, aurait même été conçu par deux groupes de hackers iraniens travaillant pour le compte de leur gouvernement.

Un dangereux virus qui en rappelle un autre. X-Force, l’équipe d’IBM spécialisée dans la sécurité et le renseignement sur les menaces mondiales, a identifié un nouveau logiciel malveillant pour le moins inquiétant, rapporte ZDNet. Surnommé « ZeroCleare », ce malware partagerait de nombreuses similitudes avec un certain « Shamoon », réputé comme l’un des plus redoutables virus au monde.

Mis au jour en août 2012 par Symantec, Kaspersky Lab et Seculert, « Shamoon »  a tout particulièrement frappé les raffineries pétrolières nationales d’Arabie Saoudite et du Qatar. Surtout, sa nature destructrice engendrait d’importants dégâts techniques et financiers aux entreprises touchées. Le logiciel est ensuite revenu sur le devant de la scène à deux reprises, en 2016 puis 2017.

APT34, « comme par hasard »

Si IBM ne précise pas le nom des sociétés récemment ciblées par « ZeroCleare », leur domaine d’activité n’en reste pas moins éloquent : des groupes industriels du secteur de l’énergie situés au Moyen-Orient. Surtout, la multinationale américaine n’hésite pas à attribuer l’origine de ce virus découvert le 20 septembre dernier à deux groupes de hackers soutenus et financés par le gouvernement iranien.

Crédit photo : Markus Spiske via Unsplash.

Les attaques qui en résultent semblent être le fruit d’une collaboration étroite entre Hive0081 et ITG13, aussi connus sous le nom d’xHunt et APT34, respectivement. Coutumier du fait, le second nommé n’en serait pas à son premier coup d’essai. Celui qui se fait aussi appeler OilRig ou MuddyWater a fait l’objet, en juin, de sérieuses suspicions liées à une série de cyberattaques menées contre l’Irak, le Pakistan et le Tadjikistan, début 2019.

Double version

Au cours de ses recherches, IBM a déniché deux versions du logiciel malveillant : l’une conçue pour les systèmes d’exploitation 32 bits, l’autre pour les OS 64 bits. Bien que la seconde soit la seule utilisée et fonctionnelle. Pour arriver à leurs fins, les hackers ont tout d’abord lancé une attaque par force brute de manière à accéder aux comptes réseau d’une entreprise faiblement sécurisée.

Ce faisant, les pirates ont alors exploité une vulnérabilité de SharePoint (outil de collaboration en équipe de Microsoft) pour installer un Web Shell, et se sont ensuite répandus sur le plus d’ordinateurs possible avant de déployer le virus « ZeroCleare ». Ce dernier a alors supprimé un grand nombre de données présent sur les ordinateurs. Une manœuvre dévastatrice pour les victimes.

Crédit photo de la une : Daniel Jensen via Unsplash.

À propos d'ExpressVPN

ExpressVPN, annonceur exclusif de Cyberguerre, est un fournisseur de VPN premium. Il dispose de milliers de serveurs sécurisés répartis à travers le monde, permettant de délocaliser son adresse IP et de contourner les géoblocages. ExpressVPN ne conserve aucune trace de l'activité des utilisateurs. Son application de VPN, disponible sur ordinateur, mobile et routeur, est l'une des plus avancées du marché.

Plus d’informations sur la solution VPN d'ExpressVPN

Partager sur les réseaux sociaux