Ο Οι ερευνητές ασφαλείας της IBM αποκάλυψαν πριν λίγες μέρες εντόπισαν μια νέα οικογένεια κακόβουλου λογισμικού που ονομάζεται "ZeroCleare", που δημιουργήθηκε από μια ιρανική ομάδα χάκερ APT34 μαζί με την xHunt, αυτό το κακόβουλο λογισμικό στοχεύει στους βιομηχανικούς και ενεργειακούς τομείς στη Μέση Ανατολή. Οι ερευνητές δεν αποκαλύπτουν τα ονόματα των εταιρειών των θυμάτων, αλλά αφιέρωσαν μια ανάλυση του κακόβουλου λογισμικού αναλυτική αναφορά 28 σελίδων.
Το ZeroCleare επηρεάζει μόνο τα Windows αφού όπως το περιγράφει το όνομά του η διαδρομή της βάσης δεδομένων του προγράμματος (PDB) του Το δυαδικό του αρχείο χρησιμοποιείται για την εκτέλεση μιας καταστροφικής επίθεσης που αντικαθιστά την κύρια εγγραφή εκκίνησης (MBR) και κατατμήσεις σε υπολογιστές με Windows που έχουν παραβιαστεί.
Το ZeroCleare έχει ταξινομηθεί ως κακόβουλο λογισμικό με συμπεριφορά κάπως παρόμοια με αυτή του "Shamoon" (ένα κακόβουλο λογισμικό πολυσυζητημένο επειδή χρησιμοποιήθηκε για επιθέσεις σε εταιρείες πετρελαίου που χρονολογείται από το 2012) Αν και οι Shamoon και ZeroCleare έχουν παρόμοιες δυνατότητες και συμπεριφορά, οι ερευνητές λένε ότι τα δύο είναι ξεχωριστά και ξεχωριστά κομμάτια κακόβουλου λογισμικού.
Όπως το κακόβουλο λογισμικό Shamoon, Το ZeroCleare χρησιμοποιεί επίσης ένα νόμιμο πρόγραμμα οδήγησης σκληρού δίσκου που ονομάζεται "RawDisk by ElDos", για να αντικαταστήσετε την κύρια εγγραφή εκκίνησης (MBR) και τα διαμερίσματα δίσκου συγκεκριμένων υπολογιστών με Windows.
Αν και ο ελεγκτής Τα δύο δεν είναι υπογεγραμμένο, το κακόβουλο λογισμικό καταφέρνει να το εκτελέσει φορτώνοντας ένα πρόγραμμα οδήγησης VirtualBox ευάλωτο αλλά ανυπόγραφο, εκμεταλλεύοντάς το για να παρακάμψει τον μηχανισμό επαλήθευσης υπογραφής και να φορτώσει το ανυπόγραφο πρόγραμμα οδήγησης ElDos.
Αυτό το κακόβουλο λογισμικό εκτοξεύεται μέσω επιθέσεων ωμής βίας να αποκτήσει πρόσβαση σε ασθενώς ασφαλή συστήματα δικτύου. Μόλις οι εισβολείς μολύνουν τη συσκευή-στόχο, διαδίδουν το κακόβουλο λογισμικό μέσω του εταιρικού δικτύου ως το τελευταίο βήμα της μόλυνσης.
«Το καθαριστικό ZeroCleare είναι μέρος του τελικού σταδίου της συνολικής επίθεσης. Είναι σχεδιασμένο να αναπτύσσεται με δύο διαφορετικούς τρόπους, προσαρμοσμένο σε συστήματα 32-bit και 64-bit.
Η γενική ροή συμβάντων σε μηχανήματα 64-bit περιλαμβάνει τη χρήση ενός ευάλωτου υπογεγραμμένου προγράμματος οδήγησης και στη συνέχεια την εκμετάλλευσή του στη συσκευή προορισμού για να επιτρέψει στο ZeroCleare να παρακάμψει το επίπεδο αφαίρεσης υλικού των Windows και να παρακάμψει ορισμένες διασφαλίσεις του λειτουργικού συστήματος που εμποδίζουν τους χάκερ. -bit machines», αναφέρει η έκθεση της IBM.
Ο πρώτος ελεγκτής σε αυτήν την αλυσίδα ονομάζεται soy.exe και είναι μια τροποποιημένη έκδοση του προγράμματος οδήγησης Turla loader.
Αυτό το πρόγραμμα οδήγησης χρησιμοποιείται για τη φόρτωση μιας ευάλωτης έκδοσης του προγράμματος οδήγησης VirtualBox, το οποίο οι εισβολείς εκμεταλλεύονται για να φορτώσουν το πρόγραμμα οδήγησης EldoS RawDisk. Το RawDisk είναι ένα νόμιμο βοηθητικό πρόγραμμα που χρησιμοποιείται για την αλληλεπίδραση με αρχεία και κατατμήσεις και χρησιμοποιήθηκε επίσης από εισβολείς Shamoon για πρόσβαση στο MBR.
Για να αποκτήσει πρόσβαση στον πυρήνα της συσκευής, το ZeroCleare χρησιμοποιεί ένα σκόπιμα ευάλωτο πρόγραμμα οδήγησης και κακόβουλα σενάρια PowerShell/Batch για να παρακάμψει τα στοιχεία ελέγχου των Windows. Προσθέτοντας αυτές τις τακτικές, το ZeroCleare εξαπλώθηκε σε πολλές συσκευές στο επηρεαζόμενο δίκτυο, σπέρνοντας τους σπόρους μιας καταστροφικής επίθεσης που θα μπορούσε να επηρεάσει χιλιάδες συσκευές και να προκαλέσει διακοπές λειτουργίας που θα μπορούσαν να χρειαστούν μήνες για να αποκατασταθούν πλήρως».
Αν και πολλές από τις εκστρατείες APT που εκθέτουν οι ερευνητές επικεντρώνονται στην κατασκοπεία στον κυβερνοχώρο, ορισμένες από τις ίδιες ομάδες διεξάγουν επίσης καταστροφικές επιχειρήσεις. Ιστορικά, πολλές από αυτές τις επιχειρήσεις έχουν λάβει χώρα στη Μέση Ανατολή και έχουν επικεντρωθεί σε ενεργειακές εταιρείες και εγκαταστάσεις παραγωγής, που αποτελούν ζωτικής σημασίας εθνικά περιουσιακά στοιχεία.
Αν και οι ερευνητές δεν έχουν συγκεντρώσει 100% τα ονόματα κανενός οργανισμού στο οποίο αποδίδεται αυτό το κακόβουλο λογισμικό, στην πρώτη περίπτωση σχολίασαν ότι το APT33 συμμετείχε στη δημιουργία του ZeroCleare.
Και μετά η IBM ισχυρίστηκε αργότερα ότι οι APT33 και APT34 δημιούργησαν το ZeroCleare, αλλά λίγο μετά τη δημοσίευση της εργασίας, η απόδοση άλλαξε σε xHunt και APT34 και οι ερευνητές παραδέχτηκαν ότι δεν ήταν XNUMX τοις εκατό σίγουροι.
Σύμφωνα με τους ερευνητές, Οι επιθέσεις ZeroCleare δεν είναι ευκαιριακές και φαίνεται να είναι επιχειρήσεις που στρέφονται κατά συγκεκριμένων τομέων και οργανισμών.