L Hulumtuesit e sigurisë IBM lëshuan disa ditë më parë ata zbuluan një familje e re e malware të quajtur "ZeroCleare", krijuar nga një grup iranian i hakerëve APT34 së bashku me xHunt, ky malware është i drejtuar kundër sektorëve industrialë dhe të energjisë në Lindjen e Mesme. Hetuesit nuk zbuluan emrat e kompanive të viktimave, por bënë një analizë të malware-ve një raport të detajuar me 28 faqe.
ZeroCleare prek vetëm Windows pasi siç e përshkruan emri i saj rruga e bazës së të dhënave të programit (PDB) të skedari binar i tij përdoret për të ekzekutuar një sulm shkatërrues që mbishkruan rekordin master boot (MBR) dhe ndarjet në makineritë e komprometuara të Windows.
ZeroCleare klasifikohet si një malware me një sjellje disi të ngjashme me atë të "Shamoon" (Një malware për të cilin u fol shumë sepse u përdor për sulme ndaj kompanive të naftës që datojnë që nga viti 2012) Edhe pse Shamoon dhe ZeroCleare kanë aftësi dhe sjellje të ngjashme, studiuesit thonë që të dy janë pjesë të veçanta dhe të dallueshme të malware.
Ashtu si malware Shamoon, ZeroCleare gjithashtu përdor një kontrollues të ligjshëm të diskut të ngurtë të quajtur "RawDisk nga ElDos", për të mbishkruar regjistrin master të nisjes (MBR) dhe ndarjet e diskut të kompjuterëve specifik që funksionojnë Windows.
Edhe pse kontrolluesi Dy nuk është nënshkruar, malware arrin ta ekzekutojë atë duke ngarkuar një drejtues VirtualBox e prekshme, por e nënshkruar, duke e shfrytëzuar atë për të anashkaluar mekanizmin e verifikimit të nënshkrimit dhe për të ngarkuar drejtuesin e pa firmosur ElDos.
Ky malware lëshohet përmes sulmeve të forcës brutale për të fituar akses në sistemet e rrjetit me siguri të dobët. Sapo sulmuesit të infektojnë pajisjen e synuar, ata përhapin malware-in përmes rrjetit të kompanisë si hapi i fundit i infeksionit.
"Pastruesi ZeroCleare është pjesë e fazës përfundimtare të sulmit të përgjithshëm. Designedshtë krijuar për të vendosur dy forma të ndryshme, të përshtatura për sistemet 32-bit dhe 64-bit.
Rrjedha e përgjithshme e ngjarjeve në makineritë 64-bit përfshin përdorimin e një drejtuesi të nënshkruar të prekshëm dhe më pas shfrytëzimin e tij në pajisjen e synuar për të lejuar ZeroCleare të anashkalojë shtresën e abstraksionit të pajisjes Windows dhe të anashkalojë disa masa mbrojtëse të sistemit operativ që parandalojnë drejtuesit e Unsigned të funksionojnë në 64-bit makineritë ”, thuhet në raportin e IBM.
Kontrolluesi i parë në këtë zinxhir quhet soy.exe dhe është një version i modifikuar i ngarkuesit të drejtuesve Turla.
Ky kontrollues përdoret për të ngarkuar një version të prekshëm të kontrolluesit VirtualBox, të cilën sulmuesit e shfrytëzojnë për të ngarkuar drejtuesin EldoS RawDisk. RawDisk është një mjet i ligjshëm që përdoret për të bashkëvepruar me skedarë dhe ndarje, dhe gjithashtu u përdor nga sulmuesit Shamoon për të hyrë në MBR.
Për të fituar qasje në thelbin e pajisjes, ZeroCleare përdor një drejtues qëllimisht të prekshëm dhe skriptet me qëllim të keq PowerShell / Batch për të anashkaluar kontrollet e Windows. Duke shtuar këto taktika, ZeroCleare u përhap në pajisje të shumta në rrjetin e prekur, duke mbjellë farërat e një sulmi shkatërrues që mund të prekë mijëra pajisje dhe të shkaktojë ndërprerje që mund të duhen muaj për tu rikuperuar plotësisht, "
Megjithëse shumë prej fushatave APT, studiuesit ekspozojnë përqendrimin në spiunazhin kibernetik, disa prej të njëjtave grupe kryejnë edhe operacione shkatërruese. Historikisht, shumë nga këto operacione janë zhvilluar në Lindjen e Mesme dhe janë përqendruar në kompanitë e energjisë dhe pajisjet e prodhimit, të cilat janë pasuri vitale kombëtare.
Edhe pse studiuesit nuk kanë ngritur emrat e ndonjë organizate 100% së cilës i atribuohet ky malware, në radhë të parë ata komentuan që APT33 mori pjesë në krijimin e ZeroCleare.
Dhe më vonë IBM pretendoi se APT33 dhe APT34 krijuan ZeroCleare, por menjëherë pasi dokumenti u lëshua, atribuimi ndryshoi në xHunt dhe APT34, dhe studiuesit pranuan se nuk ishin XNUMX për qind të sigurt.
Sipas studiuesve, Sulmet ZeroCleare nuk janë oportuniste dhe ato duket se janë operacione të drejtuara kundër sektorëve dhe organizatave specifike.