ka Baarayaasha amniga IBM ayaa la sii daayay dhawr maalmood ka hor ayay ogaadeen qoys cusub oo furin ah oo loo yaqaan "ZeroCleare", oo ay abuureen koox Hackers ah oo reer Iiraan ah APT34 oo ay weheliyaan xHunt, Furinkan waxaa loogu talagalay waaxyaha warshadaha iyo tamarta ee Bariga Dhexe. Baarayaasha ma aysan shaacin magacyada shirkadaha dhibanaha ah, laakiin waxay ku sameeyeen falanqeyn ku saabsan malware warbixin 28-bog oo faahfaahsan.
ZeroCleare wuxuu saameeyaa kaliya Windows tan iyo markii magaceeda uu ku sifeynayo dhabbaha keydka barnaamijka (PDB) ee faylkiisa binary waxaa loo isticmaalaa in lagu fuliyo weerar burburin ah oo overwrites rikoorka boot boot (MBR) iyo qormooyin ku saabsan mashiinnada Windows ee xumaaday.
ZeroCleare waxaa lagu sifeeyay inay tahay kharribayaal leh dabeecad la mid ah tan "Shamoon" (khayaano inbadan laga hadlay maxaa yeelay waxaa loo adeegsaday weerarada shirkadaha saliida ee soo bilaabanayay 2012) In kasta oo Shamoon iyo ZeroCleare ay leeyihiin awoodo iyo dabeecado isku mid ah, cilmi baarayaashu waxay yiraahdeen labaduba waa gobalo khaasa oo kala duwan.
Sida khayaanada Shamoon, ZeroCleare sidoo kale waxay isticmaashaa kontaroole disk adag oo sharci ah oo loo yaqaan "RawDisk by ElDos", si dib loogu qoro diiwaanka boot boot (MBR) iyo qaybta diskiga ee kombiyuutarada gaarka ah ee ku shaqeeya Windows.
In kasta oo kantaroolaha Labada lama saxeexin, khayaanada ayaa maamusha inay fuliso iyadoo la raacayo darawal VirtualBox ah nugul laakiin aan la saxeexin, iyada oo laga faa'iideysanayo si looga gudbo habka xaqiijinta saxiixa oo loo raro darawalka ElDos ee aan la saxeexin.
Fariin-xumadan waxaa lagu bilaabay weerarro xoog ah si loo helo marinka nidaamyada isku xirnaanta daciifka ah ee amniga. Mar alla markii kuwa wax weerara ay ku dhacaan cudurka bartilmaameedka, waxay faafiyaan furinka iyada oo loo marayo shabakadda shirkadda tallaabada ugu dambeysa ee cudurka.
Nadiifiyaha ZeroCleare wuxuu qeyb ka yahay heerka ugu dambeeya ee weerarka guud. Waxaa loogu talagalay in la geeyo laba nooc oo kala duwan, oo loo habeeyay nidaamyada 32-bit iyo 64-bit.
Socodka guud ee dhacdooyinka mashiinada 64-bit waxaa kamid ah adeegsiga darawal saxeexan oo saxeexan ka dibna u adeegsanaya aaladda bartilmaameedka si loogu oggolaado ZeroCleare inay u dhaafto lakabka soo saarista qalabka Windows-ka oo ay dhaafto qaar ka mid ah nidaamka ilaalinta nidaamka ee ka hor tagaya darawalada aan la saxeexin inay ku shaqeeyaan 64-bit mashiinada ', ayaa lagu akhriyaa warbixinta IBM.
Maamulaha koowaad ee silsiladan waxaa loo yaqaan soy.exe waana nooc la beddelay oo ah rarka darawalka Turla.
Tilmaame-hayahaas waxaa loo isticmaalaa in lagu rakibo nooc nugul xakamaynta VirtualBox, Kuwaas oo weerarayaashu ka faa'iideystaan si ay u xiraan darawalka EldoS RawDisk. RawDisk waa adeeg sharci ah oo loo adeegsado la falgalka feylasha iyo qeeybinta, sidoo kale waxaa adeegsaday weerarayaasha Shamoon si ay u helaan MBR.
Si loo helo marinka aaladda, ZeroCleare waxay adeegsataa darawal si ula kac ah u nugul iyo qoraallada PowerShell / Dufcad xun si looga gudbo kontaroolada Windows. Ku darista xeeladahan, ZeroCleare wuxuu ku faafay aalado badan oo ku saabsan shabakadda ay dhibaatadu saameysey, isaga oo ku beeray abuurka weerar waxyeelleynaya oo saameyn ku yeelan kara kumaankun qalab isla markaana sababi kara maqnaansho bilooyin ku qaadan kara in si buuxda loo soo kabsado.
In kastoo qaar badan oo ka mid ah ololayaasha APT cilmi baarayaashu waxay soo bandhigaan diiradda sahaminta internetka, qaar ka mid ah isla kooxahaas ayaa sidoo kale fuliya howlo burburin ah. Taariikh ahaan, howlagalladan badankood waxay ka dheceen Bariga Dhexe waxayna diiradda saareen shirkadaha tamarta iyo xarumaha wax soo saarka, kuwaas oo ah hanti qaran oo muhiim ah.
In kasta oo cilmi-baarayaashu aysan kor u qaadin magacyada urur kasta 100% taas oo loo aaneynayo khayaanadan, markii ugu horeysay ee ay ka faaloodaan in APT33 ay ka qeyb qaadatay abuurista ZeroCleare.
Kadibna IBM kadib waxay sheegteen in APT33 iyo APT34 ay abuureen ZeroCleare, laakiin waxyar kadib markii dukumiintiga lasii daayay, tilmaamtu waxay isku badashay xHunt iyo APT34, cilmi baarayaashuna waxay qireen inaysan boqolkiiba boqol hubin
Sida laga soo xigtay cilmi-baarayaasha, Weerarada 'ZeroCleare' ma ahan fursad waxayna u muuqdaan inay yihiin hawlgalo lagu jiheeyo qaybo gaar ah iyo ururo.