Los IBM: n tietoturvatutkijat julkaistiin muutama päivä sitten he havaitsivat uusi haittaohjelmaperhe nimeltä ZeroCleare, luonut iranilainen hakkeriryhmä APT34 yhdessä xHuntin kanssa, tämä haittaohjelma on suunnattu Lähi-idän teollisuus- ja energia-aloille. Tutkijat eivät paljastaneet uhriyritysten nimiä, mutta he analysoivat haittaohjelman yksityiskohtainen 28-sivuinen raportti.
ZeroCleare vaikuttaa vain Windowsiin koska sen nimi kuvaa sitä ohjelman ohjelmatietokannan (PDB) polun sen binaaritiedostoa käytetään tuhoavan hyökkäyksen suorittamiseen, joka korvaa pääkäynnistystietueen (MBR) ja osiot vaarantuneista Windows-koneista.
ZeroCleare luokitellaan haittaohjelmaksi, jonka käyttäytyminen on hieman samanlainen kuin "Shamoon" (haittaohjelma, josta puhuttiin paljon, koska sitä käytettiin öljy-yhtiöiden hyökkäyksiin vuodelta 2012). Vaikka Shamoonilla ja ZeroCleareilla on samanlaiset ominaisuudet ja käyttäytyminen, tutkijoiden mukaan nämä kaksi ovat erillisiä ja erillisiä haittaohjelmia.
Kuten Shamoon-haittaohjelma, ZeroCleare käyttää myös laillista kiintolevyn ohjainta nimeltä "RaDDisk by ElDos", korvata pääkäynnistystietue (MBR) ja levyosiot tietyissä Windows-käyttöjärjestelmissä.
Vaikka ohjain Kaksi ei ole allekirjoitettu, haittaohjelma onnistuu suorittamaan sen lataamalla VirtualBox-ohjaimen haavoittuva, mutta allekirjoittamaton, hyödyntämällä sitä ohittamalla allekirjoituksen vahvistusmekanismin ja lataamalla allekirjoittamaton ElDos-ohjain.
Tämä haittaohjelma käynnistetään raakojen joukkojen hyökkäysten kautta päästä heikosti suojattuihin verkkojärjestelmiin. Kun hyökkääjät tartuttavat kohdelaitteen, he levittävät haittaohjelmia infektion viimeisenä vaiheena yrityksen verkon kautta.
”ZeroCleare -puhdistin on osa kokonaishyökkäyksen viimeistä vaihetta. Se on suunniteltu ottamaan käyttöön kaksi erilaista muotoa, jotka on sovitettu 32- ja 64-bittisiin järjestelmiin.
Yleinen tapahtumien kulku 64-bittisillä koneilla sisältää haavoittuvan allekirjoitetun ohjaimen käyttämisen ja sitten sen hyödyntämisen kohdelaitteessa, jotta ZeroCleare voi ohittaa Windowsin laitteiston abstraktiokerroksen ja ohittaa joitain käyttöjärjestelmän suojatoimenpiteitä, jotka estävät allekirjoittamattomia ohjaimia suorittamasta 64-bittisiä koneet ', lukee IBM-raportti.
Tämän ketjun ensimmäistä ohjainta kutsutaan nimellä soy.exe ja se on muokattu versio Turla-ohjaimesta.
Tätä ohjainta käytetään haavoittuvan version lataamiseen VirtualBox-ohjaimesta, jota hyökkääjät hyödyntävät ladatakseen EldoS RawDisk -ajurin. RawDisk on laillinen apuohjelma, jota käytetään vuorovaikutuksessa tiedostojen ja osioiden kanssa, ja Shamoon-hyökkääjät käyttivät sitä myös MBR: n käyttämiseen.
Saadakseen pääsyn laitteen ytimeen ZeroCleare käyttää tarkoituksellisesti haavoittuvaa ohjainta ja haitallisia PowerShell / Batch-komentosarjoja ohittaakseen Windows-ohjaimet. Lisäämällä nämä taktiikat ZeroCleare levisi lukemattomiin laitteisiin tartunnan saaneessa verkossa kylväen tuhoavan hyökkäyksen siemeniä, joka voi vaikuttaa tuhansiin laitteisiin ja aiheuttaa seisokkeja, joiden palautuminen voi kestää kuukausia. "
Vaikka monet APT-kampanjoista, joissa tutkijat paljastavat keskittymisen verkkovakoiluun, jotkut samoista ryhmistä suorittavat myös tuhoavia toimia. Historiallisesti monet näistä toimista ovat tapahtuneet Lähi-idässä, ja ne ovat keskittyneet energiayhtiöihin ja tuotantolaitoksiin, jotka ovat tärkeitä kansallisia voimavaroja.
Vaikka tutkijat eivät ole nostaneet minkään organisaation nimeä 100% johon tämä haittaohjelma johtuu, he kommentoivat ensinnäkin, että APT33 osallistui ZeroClearen luomiseen.
Ja sitten myöhemmin IBM väitti, että APT33 ja APT34 loivat ZeroClearen, mutta pian asiakirjan julkaisemisen jälkeen attribuutio muuttui xHuntiksi ja APT34: ksi, ja tutkijat myönsivät, etteivät he olleet XNUMX-prosenttisesti varmoja.
Tutkijoiden mukaan ZeroCleare-hyökkäykset eivät ole opportunistisia ja ne näyttävät olevan toimia, jotka kohdistuvat tiettyihin aloihin ja organisaatioihin.