The মুক্তি পেয়েছে আইবিএম সুরক্ষা গবেষকরা কিছু দিন আগে তারা সনাক্ত করেছে "জিরো ক্লিয়ার" নামে পরিচিত ম্যালওয়ারের একটি নতুন পরিবার, এক্সহান্টের সাথে একত্রে ইরানি হ্যাকার গ্রুপ এপিটি 34 তৈরি করেছে, এই ম্যালওয়্যারটি মধ্য প্রাচ্যের শিল্প ও শক্তি খাতের বিপরীতে পরিচালিত। তদন্তকারীরা ক্ষতিগ্রস্থ সংস্থাগুলির নাম প্রকাশ করেনি, তবে তারা ম্যালওয়্যারটির বিশ্লেষণ করেছিল একটি বিশদ 28 পৃষ্ঠার রিপোর্ট।
জিরো ক্লিয়ার কেবল উইন্ডোজকেই প্রভাবিত করে যেহেতু এর নামটি এটি প্রোগ্রামের ডাটাবেসের পথ (PDB) বর্ণনা করে describes এর বাইনারি ফাইলটি ধ্বংসাত্মক আক্রমণ চালানোর জন্য ব্যবহৃত হয় যা মাস্টার বুট রেকর্ডটিকে ওভাররাইট করে (এমবিআর) এবং আপোস করা উইন্ডোজ মেশিনে পার্টিশন।
জিরো ক্লিয়ারকে "শামুন" এর মতো কিছুটা আচরণের সাথে ম্যালওয়্যার হিসাবে শ্রেণীবদ্ধ করা হয়েছে (এমন একটি ম্যালওয়্যার যা নিয়ে অনেক কথা হয়েছিল কারণ এটি ২০১২ সালের দিকে তেল সংস্থাগুলির উপর হামলার জন্য ব্যবহৃত হয়েছিল) যদিও শামুন এবং জিরোক্লিয়ারের একই ক্ষমতা এবং আচরণ রয়েছে, তবে গবেষকরা বলেছেন যে দুটিই ম্যালওয়ারের আলাদা এবং স্বতন্ত্র অংশ।
শামুন ম্যালওয়ারের মতো, জিরো ক্লিয়ারে "এলডস বাই রডডিস্ক" নামে একটি বৈধ হার্ড ডিস্ক নিয়ামকও ব্যবহার করে, উইন্ডোজ চলমান নির্দিষ্ট কম্পিউটারগুলির মাস্টার বুট রেকর্ড (এমবিআর) এবং ডিস্ক পার্টিশনগুলিকে ওভাররাইট করতে।
যদিও নিয়ামক দুই স্বাক্ষরিত নয়, ম্যালওয়ারটি ভার্চুয়ালবক্স ড্রাইভার লোড করে এটি সম্পাদন করে স্বাক্ষরকারী যাচাইকরণ প্রক্রিয়াটি বাইপাস করতে এবং স্বাক্ষরবিহীন এলডোস ড্রাইভার লোড করার জন্য এটি দুর্বল কিন্তু স্বাক্ষরযুক্ত।
এই ম্যালওয়্যারটি ব্রুট ফোর্স আক্রমণের মাধ্যমে চালু করা হয়েছে দুর্বলভাবে সুরক্ষিত নেটওয়ার্ক সিস্টেমে অ্যাক্সেস পেতে। আক্রমণকারীরা লক্ষ্য ডিভাইসে সংক্রামিত হয়ে গেলে তারা ম্যালওয়ারটি ছড়িয়ে দেয় সংক্রমণের শেষ পদক্ষেপ হিসাবে সংস্থা নেটওয়ার্কের মাধ্যমে।
“জিরোকলিয়ার ক্লিনার পুরো আক্রমণটির চূড়ান্ত পর্যায়ের অংশ is এটি 32-বিট এবং 64-বিট সিস্টেমে অভিযোজিত দুটি পৃথক ফর্ম স্থাপনের জন্য ডিজাইন করা হয়েছে।
64৪-বিট মেশিনে ইভেন্টগুলির সাধারণ প্রবাহের মধ্যে রয়েছে ঝুঁকিপূর্ণ স্বাক্ষরিত ড্রাইভার ব্যবহার করা এবং তারপরে লক্ষ্য ডিভাইসে এটি ব্যবহার করে জিরোক্রিয়ারকে উইন্ডোজ হার্ডওয়্যার অ্যাবস্ট্রাকশন স্তরকে বাইপাস করতে এবং কিছু অপারেটিং সিস্টেম সেফগার্ডগুলি বাইপাস করতে হয় যা স্বাক্ষরিত ড্রাইভারগুলি 64৪-বিটে চালিত করতে বাধা দেয় prevent মেশিন ', আইবিএম রিপোর্ট পড়ছে।
এই চেইনের প্রথম নিয়ামককে soy.exe বলা হয় এবং এটি টার্লা ড্রাইভার লোডারের পরিবর্তিত সংস্করণ।
ভার্চুয়ালবক্স নিয়ন্ত্রকের একটি দুর্বল সংস্করণ লোড করতে এই নিয়ামকটি ব্যবহৃত হয়, যা আক্রমণকারীরা EldoS RawDisk ড্রাইভারটি লোড করতে ব্যবহার করে। RawDisk একটি বৈধ ইউটিলিটি যা ফাইল এবং পার্টিশনের সাথে যোগাযোগের জন্য ব্যবহৃত হয় এবং এটি শামুন আক্রমণকারীরা এমবিআর অ্যাক্সেস করার জন্যও ব্যবহার করে।
ডিভাইসের মূলটিতে অ্যাক্সেস পেতে, জিরোকলিয়ার উইন্ডোজ নিয়ন্ত্রণগুলি বাইপাস করতে ইচ্ছাকৃতভাবে দুর্বল ড্রাইভার এবং দূষিত পাওয়ারশেল / ব্যাচ স্ক্রিপ্ট ব্যবহার করে। এই কৌশলগুলি যুক্ত করে জিরোক্রিয়ারটি প্রভাবিত নেটওয়ার্কের অসংখ্য ডিভাইসে ছড়িয়ে পড়ে এবং একটি ধ্বংসাত্মক আক্রমণটির বীজ বপন করে যা হাজার হাজার ডিভাইসকে প্রভাবিত করতে পারে এবং পুরোপুরি পুনরুদ্ধারে কয়েক মাস সময় নিতে পারে এমন ক্ষতি করতে পারে, "
যদিও এপিটি প্রচুর প্রচারণা গবেষকরা সাইবার গুপ্তচরবৃত্তির উপর আলোকপাত করেছেন, একই গ্রুপগুলির কিছু ধ্বংসাত্মক অপারেশনও করে। .তিহাসিকভাবে, এই অপারেশনগুলির অনেকগুলি মধ্য প্রাচ্যে ঘটেছিল এবং তারা শক্তি সংস্থাগুলি এবং উত্পাদন সুবিধাগুলিতে মনোনিবেশ করেছিল যা গুরুত্বপূর্ণ জাতীয় সম্পদ are
যদিও গবেষকরা কোনও প্রতিষ্ঠানের নাম 100% উত্থাপন করেননি যার জন্য এই ম্যালওয়্যারটি দায়ী করা হয়েছে, প্রথমত তারা মন্তব্য করেছিল যে APT33 জিরো ক্লিয়ার তৈরিতে অংশ নিয়েছিল।
এবং তারপরে পরে আইবিএম দাবি করেছিল যে এপিটি 33 এবং এপিটি 34 জিরো ক্লিয়ার তৈরি করেছে, তবে নথিটি প্রকাশের অল্পক্ষণের পরে, এট্রিবিউটটি এক্সহান্ট এবং এপিটি 34 এ পরিবর্তিত হয়েছে, এবং গবেষকরা স্বীকার করেছেন যে তারা শতভাগ নিশ্চিত নন।
গবেষকদের মতে, জিরো ক্লিয়ার আক্রমণগুলি সুবিধাবাদী নয় এবং তারা নির্দিষ্ট ক্ষেত্র এবং সংস্থার বিরুদ্ধে পরিচালিত অভিযান বলে মনে হয়।