Los IBM saugumo tyrėjai išleisti prieš kelias dienas jie aptiko nauja kenkėjiškų programų šeima, vadinama „ZeroCleare“, kurį sukūrė Irano įsilaužėlių grupė APT34 kartu su „xHunt“, ši kenkėjiška programa nukreipta prieš pramonės ir energetikos sektorius Viduriniuose Rytuose. Tyrėjai neatskleidė nukentėjusių įmonių pavadinimų, tačiau atliko kenkėjiškų programų analizę išsami 28 puslapių ataskaita.
„ZeroCleare“ veikia tik „Windows“ nes jo pavadinimas apibūdina programos duomenų bazės (PBP) kelią jo dvejetainis failas naudojamas destruktyviai atakai, perrašančiai pagrindinį įkrovos įrašą, įvykdyti (MBR) ir skaidinius pažeistose „Windows“ mašinose.
„ZeroCleare“ yra klasifikuojama kaip kenkėjiška programa, kurios elgesys šiek tiek panašus į „Shamoon“ (kenkėjiška programa, apie kurią buvo daug kalbėta, nes ji buvo naudojama 2012 m. atakoms prieš naftos kompanijas). Nors „Shamoon“ ir „ZeroCleare“ turi panašių galimybių ir elgesio, mokslininkai teigia, kad jie yra atskiri ir atskiri kenkėjiški gaminiai.
Kaip ir „Shamoon“ kenkėjiška programa, „ZeroCleare“ taip pat naudoja teisėtą standžiojo disko valdiklį, vadinamą „RawDisk by ElDos“, perrašyti pagrindinį įkrovos įrašą (MBR) ir disko skaidinius konkrečiuose kompiuteriuose, kuriuose veikia „Windows“.
Nors kontrolierius Du nėra pasirašytas, kenkėjiška programa sugeba tai įvykdyti įkeldama „VirtualBox“ tvarkyklę pažeidžiamas, bet nepasirašytas, pasinaudodamas juo apeina parašo tikrinimo mechanizmą ir įkelia nepasirašytą „ElDos“ tvarkyklę.
Ši kenkėjiška programa yra paleista per žiaurios jėgos išpuolius gauti prieigą prie silpnai saugių tinklo sistemų. Užpuolikai užkrėtę tikslinį įrenginį jie platina kenkėjišką programą per įmonės tinklą kaip paskutinį infekcijos žingsnį.
„„ ZeroCleare “valiklis yra paskutinio visos atakos etapo dalis. Jis skirtas diegti dvi skirtingas formas, pritaikytas 32 ir 64 bitų sistemoms.
Bendras įvykių srautas 64 bitų mašinose apima pažeidžiamos pasirašytos tvarkyklės naudojimą ir tada jos naudojimą tiksliniame įrenginyje, kad „ZeroCleare“ galėtų apeiti „Windows“ aparatūros abstrakcijos sluoksnį ir apeiti kai kurias operacinės sistemos apsaugos priemones, neleidžiančias nepasirašytoms tvarkyklėms paleisti 64 bitų mašinos “, rašoma IBM ataskaitoje.
Pirmasis valdiklis šioje grandinėje vadinamas soy.exe ir tai yra modifikuota „Turla“ tvarkyklės krautuvo versija.
Tas valdiklis naudojamas pažeidžiamai „VirtualBox“ valdiklio versijai įkelti, kurią užpuolikai naudoja įkelti „EldoS RawDisk“ tvarkyklę. „RawDisk“ yra teisėtas įrankis, naudojamas sąveikai su failais ir skaidiniais, taip pat „Shamoon“ užpuolikai jį naudojo norėdami pasiekti MBR.
Norėdami pasiekti prieigą prie pagrindinio įrenginio, „ZeroCleare“ naudoja tyčia pažeidžiamą tvarkyklę ir kenkėjiškus „PowerShell / Batch“ scenarijus, kad apeitų „Windows“ valdiklius. Pridėjus šią taktiką, „ZeroCleare“ išplito į daugelį įrenginių paveiktame tinkle, pasėjus destruktyvaus išpuolio, galinčio paveikti tūkstančius įrenginių ir sukelti pertraukas, kurioms visiškai pasveikti gali prireikti mėnesių, sėklas “.
Nors daugelio APT kampanijų metu tyrėjai daugiausia dėmesio skiria kibernetiniam šnipinėjimui, kai kurios tos pačios grupės taip pat vykdo destruktyvias operacijas. Istoriškai daugelis šių operacijų vyko Viduriniuose Rytuose ir buvo sutelktos į energetikos įmones ir gamybos įrenginius, kurie yra gyvybiškai svarbus nacionalinis turtas.
Nors tyrėjai 100% nekėlė nė vienos organizacijos pavadinimo kuriai priskiriama ši kenkėjiška programa, pirmiausia jie pakomentavo, kad APT33 dalyvavo kuriant „ZeroCleare“.
Vėliau IBM teigė, kad APT33 ir APT34 sukūrė „ZeroCleare“, tačiau netrukus po dokumento paskelbimo priskyrimas pasikeitė į „xHunt“ ir „APT34“, o mokslininkai pripažino, kad jie nėra visiškai tikri.
Pasak tyrėjų, „ZeroCleare“ atakos nėra oportunistinės ir atrodo, kad tai operacijos, nukreiptos prieš konkrečius sektorius ir organizacijas.