osa IBMi turvauurijad vabastasid paar päeva tagasi nad avastasid uus pahavara perekond nimega "ZeroCleare", mille on loonud Iraani häkkerirühmitus APT34 koos xHuntiga, on see pahavara suunatud Lähis-Ida tööstus- ja energiasektorile. Uurijad ei avaldanud ohvrifirmade nimesid, kuid analüüsisid pahavara üksikasjalik 28-leheküljeline aruanne.
ZeroCleare mõjutab ainult Windowsi kuna selle nimi kirjeldab seda programmi andmebaasi (PDB) tee selle binaarfaili kasutatakse destruktiivse rünnaku käivitamiseks, mis kirjutab üle alglaadimiskirje (MBR) ja rikutud Windowsi masinate sektsioonid.
ZeroCleare klassifitseeritakse pahavara käitumisega, mis on mõnevõrra sarnane "Shamooni" käitumisega (Pahavara, millest räägiti palju, kuna seda kasutati naftafirmade vastu suunatud rünnakuteks alates aastast 2012) Kuigi Shamoonil ja ZeroCleare'il on sarnased võimalused ja käitumine, on teadlaste sõnul need kaks eraldiseisvat ja eraldiseisvat pahavaratükki.
Nagu Shamooni pahavara, ZeroCleare kasutab ka seaduslikku kõvakettakontrollerit nimega "RaDDisk by ElDos", üle kirjutama algkäivituskirje (MBR) ja konkreetsete Windowsi kasutavate arvutite ketta partitsioonid.
Kuigi kontroller Kaks pole allkirjastatud, õnnestub pahavaral see käivitada, laadides alla VirtualBoxi draiveri haavatav, kuid allkirjastamata, kasutades seda allkirja kontrollimise mehhanismist mööda ja allkirjastamata ElDose draiveri laadimiseks.
See pahavara käivitatakse toore jõu rünnakute kaudu pääseda nõrgalt turvalistele võrgusüsteemidele. Kui ründajad on sihtseadme nakatanud, levitavad nad pahavara infektsiooni viimase sammuna ettevõtte võrgu kaudu.
“Puhastusvahend ZeroCleare on osa üldise rünnaku viimasest etapist. See on loodud kahe erineva vormi juurutamiseks, mis on kohandatud 32- ja 64-bitistele süsteemidele.
Sündmuste üldine voog 64-bitistel masinatel hõlmab haavatava allkirjastatud draiveri kasutamist ja seejärel selle kasutamist sihtseadmes, et ZeroCleare saaks mööda Windowsi riistvara abstraktsioonikihti ja mööduks mõnest operatsioonisüsteemi kaitsemeetmest, mis takistab allkirjastamata draiverite töötamist 64-bitisel masinad ”, seisab IBMi aruandes.
Selle ahela esimest kontrollerit nimetatakse soy.exe ja see on Turla draiverilaaduri muudetud versioon.
Seda kontrollerit kasutatakse VirtualBoxi kontrolleri haavatava versiooni laadimiseks, mida ründajad kasutavad EldoS RawDisk-draiveri laadimiseks. RawDisk on seaduslik utiliit, mida kasutatakse failide ja partitsioonidega suhtlemiseks, samuti kasutasid Shamooni ründajad seda MBR-i juurde pääsemiseks.
Seadme tuumale juurdepääsu saamiseks kasutab ZeroCleare tahtlikult haavatavat draiverit ja pahatahtlikke PowerShelli / Batchi skripte Windowsi juhtelementide ümbersõitmiseks. Nende taktikate lisamisega levis ZeroCleare mõjutatud võrgus arvukatele seadmetele, külvates hävitava rünnaku seemned, mis võivad mõjutada tuhandeid seadmeid ja põhjustada katkestusi, mille täielik taastumine võib võtta kuid. "
Kuigi paljud APT kampaaniad, milles teadlased keskenduvad küberspionaažile, mõned samad rühmad teevad ka hävitavaid operatsioone. Ajalooliselt on paljud neist toimingutest toimunud Lähis-Idas ja keskendunud energiaettevõtetele ja tootmisrajatistele, mis on ülioluline riiklik vara.
Ehkki teadlased pole ühegi organisatsiooni nimesid 100% tõstnud millele see pahavara on omistatud, kommenteerisid nad kõigepealt, et APT33 osales ZeroCleare'i loomises.
Ja siis hiljem väitis IBM, et APT33 ja APT34 lõid ZeroCleare'i, kuid varsti pärast dokumendi avaldamist muutus omistus xHuntiks ja APT34-ks ning teadlased tunnistasid, et nad pole XNUMX protsenti kindlad.
Vastavalt uurijad, ZeroCleare'i rünnakud pole oportunistlikud need näivad olevat konkreetsete sektorite ja organisatsioonide vastu suunatud toimingud.