P Izpuščeni IBM-ovi raziskovalci varnosti pred nekaj dnevi so zaznali nova družina zlonamerne programske opreme, imenovana "ZeroCleare", ki ga je ustvarila iranska hekerska skupina APT34 skupaj z xHunt, ta zlonamerna programska oprema je usmerjena proti industrijskemu in energetskemu sektorju na Bližnjem vzhodu. Preiskovalci niso razkrili imen podjetij žrtev, so pa analizirali zlonamerno programsko opremo podrobno poročilo na 28 straneh.
ZeroCleare prizadene samo Windows saj kot že ime opisuje pot do programske baze podatkov (PDB) njegova binarna datoteka se uporablja za izvedbo uničujočega napada, ki prepiše glavni zagonski zapis (MBR) in particije na ogroženih računalnikih z operacijskim sistemom Windows.
ZeroCleare je razvrščen kot zlonamerna programska oprema z vedenjem, ki je nekoliko podobno vedenju "Shamoon" (zlonamerna programska oprema, o kateri se je veliko govorilo, ker se je uporabljala za napade na naftne družbe iz leta 2012) Čeprav imata Shamoon in ZeroCleare podobne sposobnosti in vedenja, raziskovalci pravijo, da gre za ločena in ločena dela zlonamerne programske opreme.
Tako kot zlonamerna programska oprema Shamoon, ZeroCleare uporablja tudi legitimen krmilnik trdega diska, imenovan "RawDisk by ElDos", da prepišete glavni zagonski zapis (MBR) in diskovne particije določenih računalnikov z operacijskim sistemom Windows.
Čeprav krmilnik Dva ni podpisan, zlonamerna programska oprema jo lahko izvede z nalaganjem gonilnika VirtualBox ranljiv, a nepodpisan, ga izkoristi, da obide mehanizem za preverjanje podpisa in naloži nepodpisani gonilnik ElDos
Ta zlonamerna programska oprema se zažene z napadi surove sile za dostop do šibko varnih omrežnih sistemov. Ko napadalci okužijo ciljno napravo, širijo zlonamerno programsko opremo prek omrežja podjetij kot zadnji korak okužbe.
»Čistilo ZeroCleare je del zadnje faze celotnega napada. Zasnovan je za uporabo dveh različnih oblik, prilagojenih 32-bitnim in 64-bitnim sistemom.
Splošni tok dogodkov na 64-bitnih strojih vključuje uporabo ranljivega podpisanega gonilnika in nato njegovo izkoriščanje na ciljni napravi, da omogoči ZeroCleareu, da zaobide sistemsko abstrakcijsko plast sistema Windows in obide nekatere zaščitne ukrepe operacijskega sistema, ki preprečujejo, da se nepodpisani gonilniki izvajajo na 64-bitnih stroji ', piše v poročilu IBM.
Prvi krmilnik v tej verigi se imenuje soy.exe in je spremenjena različica nakladalnika gonilnikov Turla.
Ta krmilnik se uporablja za nalaganje ranljive različice krmilnika VirtualBox, ki ga napadalci izkoristijo za nalaganje gonilnika EldoS RawDisk. RawDisk je zakonit pripomoček, ki se uporablja za interakcijo z datotekami in particijami, napadalci Shamoon pa so ga uporabljali tudi za dostop do MBR.
Za dostop do jedra naprave ZeroCleare uporablja namerno ranljiv gonilnik in zlonamerne skripte PowerShell / Batch, da obide kontrolnike sistema Windows. Z dodajanjem teh taktik se je ZeroCleare razširil na številne naprave v prizadetem omrežju in sejal seme uničujočega napada, ki bi lahko prizadel tisoče naprav in povzročil izpadi, ki bi lahko trajali mesece, da se popolnoma obnovijo. "
Čeprav številne kampanje APT, ki jih raziskovalci izpostavljajo, se osredotočajo na kiber vohunjenje, nekatere iste skupine izvajajo tudi uničujoče operacije. V preteklosti se je veliko teh operacij odvijalo na Bližnjem vzhodu in se osredotočalo na energetska podjetja in proizvodne obrate, ki so ključna nacionalna dobrina.
Čeprav raziskovalci imena nobene organizacije niso navedli 100% ki jim je pripisana ta zlonamerna programska oprema, so najprej komentirali, da je APT33 sodeloval pri ustvarjanju ZeroCleare.
Nato je kasneje IBM trdil, da sta APT33 in APT34 ustvarila ZeroCleare, a kmalu po izidu dokumenta se je atribucija spremenila v xHunt in APT34, raziskovalci pa so priznali, da niso stoodstotno prepričani.
Po mnenju preiskovalcev, Napadi ZeroCleare niso oportunistični in zdi se, da gre za operacije, usmerjene proti določenim sektorjem in organizacijam.