undefined Vydaní výskumníci v oblasti bezpečnosti IBM pred par dnami zistili nová rodina malvéru s názvom „ZeroCleare“, ktorú vytvorila iránska hackerská skupina APT34 spolu s xHunt, tento malware je zameraný proti priemyselnému a energetickému sektoru na Blízkom východe. Vyšetrovatelia nezverejnili mená spoločností, ktoré sa stali obeťami, ale vykonali analýzu škodlivého softvéru podrobná 28-stranová správa.
ZeroCleare ovplyvňuje iba Windows pretože ako to jeho názov vystihuje cestu k programovej databáze (PDB) z jeho binárny súbor sa používa na vykonanie deštruktívneho útoku, ktorý prepíše hlavný bootovací záznam (MBR) a oddiely na kompromitovaných počítačoch so systémom Windows.
ZeroCleare je klasifikovaný ako malware so správaním trochu podobným chovaniu sa „Shamoon“ (O malvéri, o ktorom sa veľa hovorilo, pretože sa používal na útoky na ropné spoločnosti z roku 2012) Aj keď Shamoon a ZeroCleare majú podobné schopnosti a správanie, vedci tvrdia, že ide o samostatné a odlišné kúsky malvéru.
Rovnako ako malware Shamoon, ZeroCleare tiež používa legitímny radič pevného disku s názvom „RawDisk od spoločnosti ElDos“, prepísať hlavný bootovací záznam (MBR) a diskové oddiely konkrétnych počítačov so systémom Windows.
Aj keď kontrolór Dva nie je podpísaný, malware ho dokáže spustiť načítaním ovládača VirtualBox zraniteľný, ale nepodpísaný, pričom ho využíva na obídenie mechanizmu overovania podpisov a načítanie nepodpísaného ovládača ElDos.
Tento malware sa spúšťa útokmi hrubou silou získať prístup k slabo zabezpečeným sieťovým systémom. Akonáhle útočníci infikujú cieľové zariadenie, šíria malware prostredníctvom siete spoločnosti ako posledný krok infekcie.
„Čistič ZeroCleare je súčasťou konečnej fázy celkového útoku. Je navrhnutý na nasadenie dvoch rôznych foriem prispôsobených pre 32-bitové a 64-bitové systémy.
Všeobecný tok udalostí na 64-bitových počítačoch zahŕňa použitie zraniteľného podpísané ovládače a ich následné zneužitie na cieľovom zariadení, aby ZeroCleare obišiel vrstvu hardvérovej abstrakcie systému Windows a obišiel niektoré ochranné prvky operačného systému, ktoré bránia spusteniu nepodpísaných ovládačov na 64-bitových zariadeniach machines ', číta správa IBM.
Prvý radič v tomto reťazci sa nazýva soy.exe a je to upravená verzia nakladača vodičov Turla.
Tento radič sa používa na načítanie zraniteľnej verzie radiča VirtualBox, ktoré útočníci využívajú na načítanie ovládača EldoS RawDisk. RawDisk je legitímny nástroj, ktorý sa používa na interakciu so súbormi a oddielmi, a používali ho tiež útočníci Shamoon na prístup k MBR.
Na získanie prístupu k jadru zariadenia používa ZeroCleare zámerne zraniteľný ovládač a škodlivé skripty PowerShell / Batch na obídenie ovládacích prvkov systému Windows. Pridaním týchto taktík sa ZeroCleare rozšíril na početné zariadenia v postihnutej sieti a zasial zárodky deštruktívneho útoku, ktorý by mohol zasiahnuť tisíce zariadení a spôsobiť výpadky, ktorých úplné zotavenie môže trvať mesiace, ““
Hoci mnoho z kampaní APT, ktoré vedci kladú dôraz na kybernetickú špionáž, niektoré rovnaké skupiny tiež vykonávajú deštruktívne operácie. Historicky sa veľa z týchto operácií uskutočnilo na Blízkom východe a zameralo sa na energetické spoločnosti a výrobné zariadenia, ktoré sú životne dôležitým národným majetkom.
Aj keď vedci nezvýšili názvy žiadnej organizácie na 100% ktorému je tento malware prisudzovaný, v prvom rade komentovali, že APT33 sa podieľal na vytvorení ZeroCleare.
A potom neskôr IBM tvrdila, že APT33 a APT34 vytvorili ZeroCleare, ale krátko po vydaní dokumentu sa uvedenie zdroja zmenilo na xHunt a APT34 a vedci pripustili, že si nie sú stopercentne istí.
Podľa vyšetrovateľov, ZeroCleare útoky nie sú oportunistické a javia sa ako operácie zamerané proti konkrétnym sektorom a organizáciám.