L’Iran attacca Bapco con il nuovo malware Dustman

Gen 09, 2020 Marco Schiaffino Attacchi, In evidenza, Malware, News, RSS 0

L’attacco è stato portato il 29 dicembre da un gruppo di pirati collegati al governo di Teheran. Il malware è programmato per cancellare tutti i dati presenti sui sistemi.

Mentre cresce la tensione tra USA e Iran, il governo mediorientale fa parlare di sé anche per le azioni dei gruppi hacker sotto il suo controllo. A segnalare le attività degli hacker di stato al soldo di Teheran è l’Autorità per la cyber-sicurezza dell’Arabia Saudita, che in un report ha riassunto l’attacco subito dalla società petrolifera Bapco.

L’azienda statale del Barhein è stata presa di mira da un gruppo di pirati informatici che hanno utilizzato un nuovo malware battezzato con il nome di Dustman e che, secondo gli analisti sauditi, sarebbe parte dell’arsenale informatico della Repubblica Islamica dell’Iran.

A corroborare l’attribuzione degli esperti sono le caratteristiche del malware utilizzato. Si tratta infatti di un wiper, cioè di un software programmato per cancellare irrimediabilmente tutti i dati memorizzati sui sistemi infetti, che rappresenta una sorta di “firma” degli hacker iraniani.

Al pari di Shamoon (ne abbiamo parlato in questo articolo) Dustman è infatti un malware particolarmente distruttivo, che i normali pirati informatici non hanno alcun interesse a usare. I comuni cyber-criminali, infatti, utilizzano di solito virus informatici che gli consentono in qualche modo di monetizzare i loro attacchi, sia rubando informazioni sensibili, sia estorcendo denaro alle loro vittime.

In questo caso, invece, l’obiettivo dell’attacco era esclusivamente quello di sabotare i sistemi provocando i maggiori danni possibili.

Al pari di altri software già utilizzati dai servizi segreti iraniani per i loro cyber-attacchi, Dustman sfrutta un componente derivato da uno strumento di gestione per file, dischi e partizioni chiamato EldoS RawDisk, ampiamente utilizzato dai tecnici IT.

La scelta di Bapco come bersaglio non stupisce. Anche in passato, infatti, gli agenti iraniani hanno dimostrato di prediligere obiettivi nel settore dell’estrazione e della raffinazione del petrolio.

Secondo i ricercatori dell’Autorità di cyber-security saudita, l’utilizzo di Dustman non sarebbe stato pianificato, ma il tentativo di cancellare tutti i dati sui sistemi di Bapco rappresenterebbe un tentativo degli hacker di coprire le loro tracce dopo che la loro intrusione nei sistemi dell’azienda era stata scoperta.

Alcune fonti citate da ZDNet sostengono che l’attacco avrebbe sfruttato alcune vulnerabilità nei server Pulse VPN, sfruttati anche per il recente attacco a Travelex.

Il malware, in ogni caso, avrebbe funzionato solo parzialmente. Alcuni dei sistemi, infatti, avrebbero resistito all’attacco consentendo agli esperti di sicurezza di Bapco di ricostruire quanto avvenuto.

L’episodio, in ogni caso, contribuisce a dare maggiore consistenza all’allarme recentemente lanciato dall’Homeland Security statunitense, che ha chiesto alle aziende di tenere alta la guardia in previsione di attacchi da parte dell’intelligence iraniana.

Condividi l'articolo