Л Пустили ИБМ-ове истраживаче безбедности пре неколико дана су открили нова породица малвера под називом „ЗероЦлеаре“, коју је креирала иранска хакерска група АПТ34 заједно са кХунт-ом, овај злонамерни софтвер усмерен је против индустријског и енергетског сектора на Блиском Истоку. Истражитељи нису открили имена компанија жртава, али су урадили анализу малвера за детаљан извештај од 28 страница.
ЗероЦлеаре утиче само на Виндовс будући да како описује његово име, пут програмске базе података (ПДБ) од његова бинарна датотека користи се за извршавање деструктивног напада који преписује главни запис покретања (МБР) и партиције на угроженим Виндовс машинама.
ЗероЦлеаре је класификован као малвер са понашањем донекле слично понашању „Схамоон-а“ (злонамерни софтвер о којем се пуно говорило јер се користио за нападе на нафтне компаније из 2012.) Иако Схамоон и ЗероЦлеаре имају сличне могућности и понашање, истраживачи кажу да су то одвојена и различита дела злонамерног софтвера.
Попут Схамоон малвера, ЗероЦлеаре такође користи легитимни контролер тврдог диска под називом "РавДиск би ЕлДос", да препишете главни запис покретања (МБР) и партиције диска одређених рачунара који раде под оперативним системом Виндовс.
Иако контролер Два није потписан, малвер успева да га изврши учитавањем управљачког програма ВиртуалБок рањив, али непотписан, искоришћавајући га како би заобишао механизам за проверу потписа и учитао непотписани ЕлДос управљачки програм.
Овај малвер је покренут нападима грубе силе да би добили приступ слабо заштићеним мрежним системима. Једном када нападачи заразе циљни уређај, шире малваре путем мреже предузећа као последњи корак заразе.
„Чистач ЗероЦлеаре део је завршне фазе целокупног напада. Дизајниран је за примену два различита облика, прилагођена 32-битним и 64-битним системима.
Општи ток догађаја на 64-битним машинама укључује употребу рањивог потписаног управљачког програма, а затим његово коришћење на циљном уређају како би се омогућило да ЗероЦлеаре заобиђе слој апстракције Виндовс хардвера и заобиђе неке заштитне мере оперативног система које спречавају непотписане управљачке програме да раде на 64-битним машине ', стоји у извештају ИБМ-а.
Први контролер у овом ланцу назива се сои.еке и то је модификована верзија утоваривача возача Турла.
Тај контролер се користи за учитавање рањиве верзије контролера ВиртуалБок, коју нападачи искоришћавају да би учитали ЕлдоС РавДиск управљачки програм. РавДиск је легитимни услужни програм који се користи за интеракцију са датотекама и партицијама, а користили су га и Схамоон нападачи за приступ МБР-у.
Да би добио приступ језгру уређаја, ЗероЦлеаре користи намерно рањиви управљачки програм и злонамерне ПоверСхелл / Батцх скрипте за заобилажење Виндовс контрола. Додавањем ове тактике, ЗероЦлеаре се проширио на бројне уређаје на погођеној мрежи, сијући семе разорног напада који би могао да утиче на хиљаде уређаја и проузрокује прекиде којима би требало да прођу месеци да се потпуно опораве “.
Мада многе кампање АПТ-а истраживачи излажу фокус на цибер шпијунажи, неке од истих група такође изводе деструктивне операције. Историјски гледано, многе од ових операција одвијале су се на Блиском Истоку и биле су усредсређене на енергетске компаније и производне погоне, који су витална национална имовина.
Иако истраживачи нису 100% навели имена ниједне организације којима се приписује овај злонамерни софтвер, прво су прокоментарисали да је АПТ33 учествовао у стварању ЗероЦлеаре.
А онда је касније ИБМ тврдио да су АПТ33 и АПТ34 створили ЗероЦлеаре, али убрзо након објављивања документа, атрибуција се променила у кХунт и АПТ34, а истраживачи су признали да нису XNUMX посто сигурни.
Према истраживачима, ЗероЦлеаре напади нису опортунистички и чини се да су то операције усмерене против одређених сектора и организација.