L IBM drošības pētnieki atbrīvoti pirms dažām dienām viņi atklāja jauna ļaunprogrammatūru saime ar nosaukumu "ZeroCleare", kuru izveidoja Irānas hakeru grupa APT34 kopā ar xHunt, šī ļaunprātīgā programmatūra ir vērsta pret rūpniecības un enerģētikas nozarēm Tuvajos Austrumos. Izmeklētāji neatklāja cietušo uzņēmumu nosaukumus, bet veica ļaunprogrammatūras analīzi detalizēts 28 lappušu pārskats.
ZeroCleare ietekmē tikai Windows tā kā tā nosaukums to apraksta programmas Datu bāzes (PDB) ceļš tā bināro failu izmanto destruktīva uzbrukuma veikšanai, kas pārraksta galveno sāknēšanas ierakstu (MBR) un nodalījumus uz bojātajām Windows mašīnām.
ZeroCleare tiek klasificēts kā ļaunprātīga programmatūra, kuras darbība ir nedaudz līdzīga "Shamoon" uzvedībai (Ļaunprātīga programmatūra, par kuru tika runāts daudz, jo tā tika izmantota uzbrukumiem naftas kompānijām, kas datēti ar 2012. gadu.) Kaut arī Shamoon un ZeroCleare ir līdzīgas iespējas un uzvedība, pētnieki saka, ka abi ir atsevišķi un atšķirīgi ļaunprogrammatūras gabali.
Tāpat kā Shamoon ļaunprogrammatūra, ZeroCleare izmanto arī likumīgu cietā diska kontrolieri ar nosaukumu RawDisk by ElDos, lai pārrakstītu galveno sāknēšanas ierakstu (MBR) un disku nodalījumus īpašos datoros, kuros darbojas sistēma Windows.
Kaut arī kontrolieris Tie divi nav parakstīts, ļaunprātīgai programmatūrai to izdodas izpildīt, ielādējot VirtualBox draiveri neaizsargāts, bet neparakstīts, izmantojot to, lai apietu paraksta pārbaudes mehānismu un ielādētu neparakstīto ElDos draiveri.
Šī ļaunprogrammatūra tiek palaista, izmantojot nežēlīgus spēkus lai piekļūtu vāji drošām tīkla sistēmām. Kad uzbrucēji inficē mērķa ierīci, viņi izplata ļaunprātīgo programmatūru izmantojot uzņēmuma tīklu kā pēdējo infekcijas posmu.
“ZeroCleare tīrītājs ir daļa no kopējā uzbrukuma pēdējā posma. Tas ir paredzēts divu dažādu formu izvietošanai, kas pielāgotas 32 bitu un 64 bitu sistēmām.
Vispārējā notikumu plūsma 64 bitu mašīnās ietver neaizsargāta parakstīta draivera izmantošanu un pēc tam tā izmantošanu mērķa ierīcē, lai ļautu ZeroCleare apiet Windows aparatūras abstrakcijas slāni un izvairīties no dažiem operētājsistēmas aizsargpasākumiem, kas neļauj neparakstītajiem draiveriem darboties 64 bitos. mašīnas ”, lasāms IBM ziņojumā.
Pirmo kontrolieri šajā ķēdē sauc par soy.exe un tā ir modificēta Turla draiveru iekrāvēja versija.
Šis kontrolieris tiek izmantots, lai ielādētu neaizsargātu VirtualBox kontroliera versiju, kuru uzbrucēji izmanto, lai ielādētu EldoS RawDisk draiveri. RawDisk ir likumīga utilīta, ko izmanto, lai mijiedarbotos ar failiem un nodalījumiem, un Shamoon uzbrucēji to izmantoja arī, lai piekļūtu MBR.
Lai piekļūtu ierīces kodolam, ZeroCleare izmanto apzināti neaizsargātu draiveri un ļaunprātīgus PowerShell / Batch skriptus, lai apietu Windows vadīklas. Pievienojot šo taktiku, ZeroCleare izplatījās daudzās ierīcēs skartajā tīklā, sējot graujoša uzbrukuma sēklas, kas varētu ietekmēt tūkstošiem ierīču un izraisīt pārtraukumus, kuru pilnīga atkopšana varētu aizņemt mēnešus.
Kaut gan daudzās APT kampaņās pētnieki koncentrējas uz kiberspiegošanu, dažas no tām pašām grupām veic arī destruktīvas darbības. Vēsturiski daudzas no šīm operācijām ir notikušas Tuvajos Austrumos, un tās ir koncentrējušās uz enerģētikas uzņēmumiem un ražošanas iekārtām, kas ir valsts nozīmīgi aktīvi.
Lai gan pētnieki nav 100% izvirzījuši nevienas organizācijas nosaukumu kam piedēvēta šī ļaunprātīgā programmatūra, viņi vispirms komentēja, ka APT33 piedalījās ZeroCleare izveidē.
Un vēlāk vēlāk IBM apgalvoja, ka APT33 un APT34 izveidoja ZeroCleare, taču neilgi pēc dokumenta izlaišanas attiecinājums mainījās uz xHunt un APT34, un pētnieki atzina, ka viņi nav simtprocentīgi pārliecināti.
Saskaņā ar izmeklētājiem, ZeroCleare uzbrukumi nav oportūnistiski un šķiet, ka tās ir operācijas, kas vērstas pret noteiktām nozarēm un organizācijām.