Els investigadors de seguretat d'IBM van donar a conèixer fa alguns dies que van detectar una nova família de malware anomenada «ZeroCleare», Creat per un grup de hackers iranians APT34 juntament amb xHunt, Aquest malware està dirigit contra els sectors industrial i energètic en el Mig Orient. Els investigadors no revelen els noms de les companyies víctimes, però van dedicar una anàlisi de l'malware a un informe detallat de 28 pàgines.
ZeroCleare afecta només a Windows ja que com el seu nom ho descriu la ruta de la base de dades de el programa (PDB) de el seu arxiu binari s'usa per executar un atac destructiu que sobreescriu el registre d'arrencada mestre (MBR) i les particions en màquines Windows compromeses.
ZeroCleare es cataloga com una malware amb un comportament alguna cosa similar a el de "Shamoon" (Un malware de el qual es va parlar molt a causa de que es va utilitzar per atacs a les companyies petrolieres que daten de 2012) Encara que Shamoon i ZeroCleare tenen capacitats i comportaments similars, els investigadors diuen que els dos són peces de malware separades i diferents.
A l'igual que el malware Shamoon, ZeroCleare també utilitza un controlador de disc dur legítim anomenat "RawDisk by ElDos", Per sobreescriure el registre d'arrencada (MBR) i les particions de disc de les computadores específiques que executen Windows.
Tot i que el controlador ElDos no està signat, el malware aconsegueix executar carregant un controlador de VirtualBox vulnerable però no signat, explotant per ometre el mecanisme de verificació de signatura i carregar el controlador ElDos sense signar.
Aquest malware es llança a través d'atacs de força bruta per accedir a sistemes de xarxa feblement assegurances. Una vegada que els atacants infecten el dispositiu objectiu, propaguen el malware a través de la xarxa de la companyia com l'últim pas de la infecció.
"El netejador ZeroCleare és part de l'etapa final de l'atac general. Està dissenyat per desplegar dues formes diferents, adaptades a sistemes de 32 bits i 64 bits.
El flux general d'esdeveniments en màquines de 64 bits inclou l'ús d'un controlador signat vulnerable i després explotar-lo en el dispositiu de destinació per permetre que ZeroCleare ometi la capa d'abstracció de maquinari de Windows i evitar algunes salvaguardes de el sistema operatiu que eviten que els controladors no signats s'executin en 64- màquines de bits «, es llegeix a l'informe d'IBM.
El primer controlador d'aquesta cadena es diu soy.exe i és una versió modificada de l'carregador de controladors Turla.
Aquest controlador s'utilitza per carregar una versió vulnerable de el controlador VirtualBox, Que els atacants exploten per carregar el controlador EldoS RawDisk. RawDisk és una utilitat legítima utilitzada per interactuar amb arxius i particions, i també va ser utilitzada pels atacants de Shamoon per accedir a l'MBR.
Per accedir a l'nucli de el dispositiu, ZeroCleare utilitza un controlador intencionalment vulnerable i scripts maliciosos de PowerShell / Batch per evitar els controls de Windows. A l'afegir aquestes tàctiques, ZeroCleare es va estendre a nombrosos dispositius a la xarxa afectada, sembrant les llavors d'un atac destructiu que podria afectar milers de dispositius i causar interrupcions que podrien prendre mesos per recuperar-se del tot, "
Encara que moltes de les campanyes d'APT que els investigadors exposen se centren en el ciberespionatge, alguns dels mateixos grups també realitzen operacions destructives. Històricament, moltes d'aquestes operacions han tingut lloc en el Mig Orient i s'han centrat en companyies d'energia i instal·lacions de producció, que són actius nacionals vitals.
Tot i que els investigadors no han plantejat en un 100% els noms d'alguna organització a la qual se li atribueixi aquest malware, en una primera instància comentaven que APT33 va participar en la creació d'ZeroCleare.
I despres posteriorment IBM va afirmar que APT33 i APT34 van crear ZeroCleare, però poc després de la publicació de el document es va actualitzar, l'atribució va canviar a xHunt i APT34, i els investigadors van admetre que no tenien un cent per cent de certesa.
Segons els investigadors, els atacs ZeroCleare no són oportunistes i sembla que són operacions dirigides contra sectors i organitzacions específics.