L IBM सुरक्षा शोधकर्ताओं ने किया खुलासा कुछ दिन पहले उन्हें पता चला एक नया मैलवेयर परिवार जिसे "ज़ीरोक्लियर" कहा जाता है, एक ईरानी हैकर समूह APT34 द्वारा xHunt के साथ मिलकर बनाया गयायह मैलवेयर मध्य पूर्व में औद्योगिक और ऊर्जा क्षेत्रों को लक्षित करता है। शोधकर्ता पीड़ित कंपनियों के नाम उजागर नहीं करते हैं, लेकिन उन्होंने मैलवेयर का विश्लेषण समर्पित किया है 28 पेज की विस्तृत रिपोर्ट.
ज़ीरोक्लियर केवल विंडोज़ को प्रभावित करता है चूंकि इसका नाम इसके प्रोग्राम डेटाबेस (पीडीबी) के पथ का वर्णन करता है इसकी बाइनरी फ़ाइल का उपयोग विनाशकारी हमले को अंजाम देने के लिए किया जाता है जो मास्टर बूट रिकॉर्ड को अधिलेखित कर देता है (एमबीआर) और क्षतिग्रस्त विंडोज़ मशीनों पर विभाजन।
ज़ीरोक्लियर को एक मैलवेयर के रूप में वर्गीकृत किया गया है जिसका व्यवहार कुछ हद तक "शमून" जैसा है। (मैलवेयर के बारे में बहुत चर्चा हुई क्योंकि इसका उपयोग 2012 में तेल कंपनियों पर हमलों के लिए किया गया था) हालांकि शमून और ज़ीरोक्लियर की क्षमताएं और व्यवहार समान हैं, शोधकर्ताओं का कहना है कि दोनों मैलवेयर के अलग और विशिष्ट टुकड़े हैं।
शैमून मैलवेयर की तरह, ज़ीरोक्लियर एक वैध हार्ड ड्राइव ड्राइवर का भी उपयोग करता है जिसे "रॉडिस्क बाय एल्डोस" कहा जाता है।, विंडोज़ चलाने वाले विशिष्ट कंप्यूटरों के मास्टर बूट रिकॉर्ड (एमबीआर) और डिस्क विभाजन को अधिलेखित करने के लिए।
यद्यपि नियंत्रक दो हस्ताक्षरित नहीं है, मैलवेयर वर्चुअलबॉक्स ड्राइवर को लोड करके इसे निष्पादित करने का प्रबंधन करता है असुरक्षित लेकिन अहस्ताक्षरित, हस्ताक्षर सत्यापन तंत्र को बायपास करने और अहस्ताक्षरित एल्डोस ड्राइवर को लोड करने के लिए इसका फायदा उठाकर।
यह मैलवेयर क्रूर बल के हमलों के माध्यम से लॉन्च किया गया है कमजोर रूप से सुरक्षित नेटवर्क सिस्टम तक पहुंच प्राप्त करने के लिए। एक बार जब हमलावर लक्ष्य डिवाइस को संक्रमित कर देते हैं, तो वे मैलवेयर फैला देते हैं संक्रमण के अंतिम चरण के रूप में कंपनी नेटवर्क के माध्यम से।
“ज़ीरोक्लियर क्लीनर समग्र हमले के अंतिम चरण का हिस्सा है। इसे दो अलग-अलग तरीकों से तैनात करने के लिए डिज़ाइन किया गया है, जो 32-बिट और 64-बिट सिस्टम के लिए अनुकूलित है।
64-बिट मशीनों पर घटनाओं के सामान्य प्रवाह में एक कमजोर हस्ताक्षरित ड्राइवर का उपयोग करना और फिर लक्ष्य डिवाइस पर इसका शोषण करना शामिल है ताकि ज़ीरोक्लियर को विंडोज़ हार्डवेयर एब्स्ट्रैक्शन परत को बायपास करने और हैकर्स को रोकने वाले कुछ ऑपरेटिंग सिस्टम सुरक्षा उपायों को बायपास करने की अनुमति मिल सके। अहस्ताक्षरित ड्राइवर 64 पर चलने से -बिट मशीनें, "आईबीएम रिपोर्ट पढ़ती है।
इस श्रृंखला में पहले नियंत्रक को soy.exe कहा जाता है और Turla ड्राइवर लोडर का एक संशोधित संस्करण है।
उस ड्राइवर का उपयोग वर्चुअलबॉक्स ड्राइवर के कमजोर संस्करण को लोड करने के लिए किया जाता है, जिसका उपयोग हमलावर एल्डोएस रॉडिस्क ड्राइवर को लोड करने के लिए करते हैं। रॉडिस्क एक वैध उपयोगिता है जिसका उपयोग फ़ाइलों और विभाजनों के साथ इंटरैक्ट करने के लिए किया जाता है, और इसका उपयोग शामून हमलावरों द्वारा एमबीआर तक पहुंचने के लिए भी किया जाता है।
डिवाइस के कर्नेल तक पहुंच प्राप्त करने के लिए, ज़ीरोक्लियर विंडोज नियंत्रणों को बायपास करने के लिए जानबूझकर कमजोर ड्राइवर और दुर्भावनापूर्ण पावरशेल/बैच स्क्रिप्ट का उपयोग करता है। इन युक्तियों को जोड़कर, ज़ीरोक्लियर प्रभावित नेटवर्क पर कई उपकरणों में फैल गया, एक विनाशकारी हमले के बीज बोए जो हजारों उपकरणों को प्रभावित कर सकता है और आउटेज का कारण बन सकता है जिसे पूरी तरह से ठीक होने में महीनों लग सकते हैं।
हालांकि एपीटी के कई अभियान जिन्हें शोधकर्ता उजागर करते हैं, साइबर जासूसी पर ध्यान केंद्रित करते हैं, उन्हीं समूहों में से कुछ विनाशकारी अभियान भी चलाते हैं। ऐतिहासिक रूप से, इनमें से कई ऑपरेशन मध्य पूर्व में हुए हैं और ऊर्जा कंपनियों और उत्पादन सुविधाओं पर ध्यान केंद्रित किया है, जो महत्वपूर्ण राष्ट्रीय संपत्ति हैं।
हालांकि शोधकर्ताओं ने 100 फीसदी किसी संगठन का नाम नहीं उठाया है जिसके लिए इस मैलवेयर को जिम्मेदार ठहराया गया है, पहले उदाहरण में उन्होंने टिप्पणी की कि APT33 ने ज़ीरोक्लियर के निर्माण में भाग लिया था।
और फिर आईबीएम ने बाद में दावा किया कि APT33 और APT34 ने ZeroClear बनाया, लेकिन पेपर प्रकाशित होने के कुछ ही समय बाद, एट्रिब्यूशन xHunt और APT34 में बदल गया, और शोधकर्ताओं ने स्वीकार किया कि वे XNUMX प्रतिशत निश्चित नहीं थे।
शोधकर्ताओं के अनुसार, ज़ीरोक्लियर हमले अवसरवादी नहीं हैं और वे विशिष्ट क्षेत्रों और संगठनों के विरुद्ध निर्देशित कार्रवाई प्रतीत होते हैं।