The Penyelidik keselamatan IBM dibebaskan beberapa hari yang lalu mereka mengesan keluarga malware yang baru disebut "ZeroCleare", dibuat oleh kumpulan penggodam Iran APT34 bersama dengan xHunt, perisian hasad ini ditujukan kepada sektor perindustrian dan tenaga di Timur Tengah. Penyiasat tidak mendedahkan nama syarikat mangsa, tetapi mereka melakukan analisis terhadap perisian hasad tersebut laporan terperinci 28 halaman.
ZeroCleare hanya mempengaruhi Windows kerana seperti namanya menerangkan jalan pangkalan data program (PDB) fail binernya digunakan untuk melakukan serangan yang merosakkan yang menimpa rekod boot induk (MBR) dan partisi pada mesin Windows yang dikompromikan.
ZeroCleare diklasifikasikan sebagai perisian hasad dengan tingkah laku yang agak serupa dengan "Shamoon" (perisian hasad yang banyak dibicarakan kerana digunakan untuk serangan terhadap syarikat minyak sejak tahun 2012) Walaupun Shamoon dan ZeroCleare mempunyai kemampuan dan tingkah laku yang serupa, para penyelidik mengatakan kedua-duanya adalah perisian hasad yang terpisah dan berbeza.
Seperti perisian jahat Shamoon, ZeroCleare juga menggunakan pengawal cakera keras yang sah yang disebut "RawDisk by ElDos", untuk menimpa rekod boot utama (MBR) dan partisi cakera komputer tertentu yang menjalankan Windows.
Walaupun pengawal Kedua-dua tidak ditandatangani, malware berjaya melaksanakannya dengan memuatkan pemacu VirtualBox rentan tetapi tidak ditandatangani, memanfaatkannya untuk memintas mekanisme pengesahan tandatangan dan memuatkan pemacu ElDos yang tidak ditandatangani.
Malware ini dilancarkan melalui serangan brute force untuk mendapatkan akses ke sistem rangkaian yang lemah. Setelah penyerang menjangkiti peranti sasaran, mereka menyebarkan perisian hasad melalui rangkaian syarikat sebagai langkah terakhir jangkitan.
"Pembersih ZeroCleare adalah bagian dari tahap akhir keseluruhan serangan. Ia dirancang untuk menggunakan dua bentuk yang berbeza, disesuaikan dengan sistem 32-bit dan 64-bit.
Aliran peristiwa umum pada mesin 64-bit termasuk menggunakan pemacu yang ditandatangani yang rentan dan kemudian memanfaatkannya pada peranti sasaran untuk membolehkan ZeroCleare memintas lapisan abstraksi perkakasan Windows dan memintas beberapa perlindungan sistem operasi yang menghalang pemacu yang tidak ditandatangani berjalan pada 64-bit mesin ', membaca laporan IBM.
Pengawal pertama dalam rantai ini dipanggil soy.exe dan ia adalah versi yang dimuatkan dari pemuat pemacu Turla.
Pengawal itu digunakan untuk memuatkan versi pengawal VirtualBox yang rentan, yang dieksploitasi penyerang untuk memuatkan pemacu EldoS RawDisk. RawDisk adalah utiliti yang sah digunakan untuk berinteraksi dengan fail dan partisi, dan juga digunakan oleh penyerang Shamoon untuk mengakses MBR.
Untuk mendapatkan akses ke teras peranti, ZeroCleare menggunakan pemacu yang sengaja terdedah dan skrip PowerShell / Batch jahat untuk memintas kawalan Windows. Dengan menambahkan taktik ini, ZeroCleare menyebar ke banyak peranti di rangkaian yang terjejas, menaburkan benih serangan yang merosakkan yang boleh mempengaruhi ribuan peranti dan menyebabkan pemadaman yang memerlukan beberapa bulan untuk pulih sepenuhnya, "
Walaupun banyak kempen APT yang diteliti oleh penyelidik mengenai fokus pengintipan siber, sebilangan kumpulan yang sama juga melakukan operasi yang merosakkan. Dari segi sejarah, banyak operasi ini dilakukan di Timur Tengah dan telah memberi tumpuan kepada syarikat tenaga dan kemudahan pengeluaran, yang merupakan aset penting negara.
Walaupun penyelidik tidak menaikkan nama mana-mana organisasi 100% yang mana malware ini dikaitkan, pada mulanya mereka memberi komen bahawa APT33 mengambil bahagian dalam penciptaan ZeroCleare.
Dan kemudian IBM mendakwa bahawa APT33 dan APT34 membuat ZeroCleare, tetapi tidak lama selepas dokumen itu dikeluarkan, atribusi berubah menjadi xHunt dan APT34, dan para penyelidik mengakui bahawa mereka tidak yakin XNUMX peratus.
Menurut penyelidik, Serangan ZeroCleare tidak bersifat oportunis dan mereka nampaknya merupakan operasi yang ditujukan terhadap sektor dan organisasi tertentu.