L Vydáni výzkumníci v oblasti zabezpečení IBM před několika dny zjistili nová rodina malwaru s názvem „ZeroCleare“, vytvořená íránskou hackerskou skupinou APT34 společně s xHunt, tento malware je namířen proti průmyslovému a energetickému sektoru na Středním východě. Vyšetřovatelé nezveřejnili jména společností obětí, ale provedli analýzu malwaru podrobná 28stránková zpráva.
ZeroCleare ovlivňuje pouze Windows protože jak jeho název popisuje cestu k programové databázi (PDB) z jeho binární soubor se používá k provedení destruktivního útoku, který přepíše hlavní spouštěcí záznam (MBR) a oddíly na kompromitovaných počítačích se systémem Windows.
ZeroCleare je klasifikován jako malware s chováním poněkud podobným chování „Shamoon“ (o malwaru, o kterém se hodně hovořilo, protože se používal k útokům na ropné společnosti z roku 2012) Ačkoli Shamoon a ZeroCleare mají podobné schopnosti a chování, vědci tvrdí, že jde o samostatné a odlišné části malwaru.
Stejně jako malware Shamoon, ZeroCleare také používá legitimní řadič pevného disku s názvem „RawDisk by ElDos“, přepsat hlavní spouštěcí záznam (MBR) a diskové oddíly konkrétních počítačů se systémem Windows.
Přestože ovladač Dva není podepsán, malware jej dokáže spustit načtením ovladače VirtualBox zranitelný, ale nepodepsaný, jehož zneužití obejde mechanismus ověření podpisu a načte nepodepsaný ovladač ElDos.
Tento malware je spuštěn útoky hrubou silou získat přístup k slabě zabezpečeným síťovým systémům. Jakmile útočníci infikují cílové zařízení, šíří malware prostřednictvím firemní sítě jako poslední krok infekce.
"Čistič ZeroCleare je součástí závěrečné fáze celkového útoku." Je navržen pro nasazení dvou různých forem přizpůsobených pro 32bitové a 64bitové systémy.
Obecný tok událostí na 64bitových počítačích zahrnuje použití zranitelného podepsaného ovladače a jeho následné zneužití na cílovém zařízení, aby mohla ZeroCleare obejít vrstvu hardwaru Windows abstrakce a obejít některá ochranná opatření operačního systému, která zabrání spuštění nepodepsaných ovladačů na 64bitových zařízeních machines ', přečte zprávu IBM.
První řadič v tomto řetězci se nazývá soy.exe a jedná se o upravenou verzi zavaděče ovladačů Turla.
Tento řadič se používá k načtení zranitelné verze řadiče VirtualBox, které útočníci zneužijí k načtení ovladače EldoS RawDisk. RawDisk je legitimní nástroj používaný k interakci se soubory a oddíly a byl také používán útočníky Shamoon pro přístup k MBR.
K získání přístupu k jádru zařízení používá ZeroCleare záměrně zranitelný ovladač a škodlivé skripty PowerShell / Batch k obejití ovládacích prvků systému Windows. Přidáním této taktiky se ZeroCleare rozšířil do mnoha zařízení v postižené síti a zasel semena ničivého útoku, který by mohl ovlivnit tisíce zařízení a způsobit výpadky, jejichž úplné zotavení může trvat měsíce, “
Ačkoli mnoho z kampaní APT, které vědci vystavují zaměření na kybernetickou špionáž, některé ze stejných skupin také provádějí destruktivní operace. Historicky se mnoho z těchto operací odehrálo na Středním východě a zaměřilo se na energetické společnosti a výrobní zařízení, která jsou důležitým národním majetkem.
Přestože vědci 100% nezvýšili názvy žádné organizace kterému je tento malware přisuzován, nejprve uvedli, že APT33 se podílel na tvorbě ZeroCleare.
A později IBM tvrdila, že APT33 a APT34 vytvořily ZeroCleare, ale krátce po vydání dokumentu se přidělení změnilo na xHunt a APT34 a vědci připustili, že si nejsou stoprocentně jisti.
Podle vyšetřovatelů, Útoky ZeroCleare nejsou oportunistické a zdá se, že jde o operace namířené proti konkrétním odvětvím a organizacím.