Los Inilabas ang mga mananaliksik sa seguridad ng IBM ilang araw na ang nakakaraan nakita nila isang bagong pamilya ng malware na tinatawag na "ZeroCleare", nilikha ng isang pangkat ng hacker ng Iran na APT34 kasama ang xHunt, ang malware na ito ay nakadirekta laban sa mga sektor ng industriya at enerhiya sa Gitnang Silangan. Ang mga investigator ay hindi isiwalat ang mga pangalan ng mga nabiktimang kumpanya, ngunit gumawa ng isang pagtatasa ng malware sa isang detalyadong 28-pahinang ulat.
Ang Windows ay nakakaapekto lamang sa ZeroCleare dahil sa inilalarawan ng pangalan nito ang landas ng program database (PDB) ng ang binary file nito ay ginagamit upang maisagawa ang isang mapanirang pag-atake na nagpapatong sa record ng master boot (MBR) at mga partisyon sa nakompromiso na mga Windows machine.
Ang ZeroCleare ay inuri bilang isang malware na may pag-uugali na medyo katulad sa "Shamoon" (Isang malware na napag-uusapan nang marami sapagkat ginamit ito para sa pag-atake sa mga kumpanya ng langis na nagsimula pa noong 2012) Kahit na may magkatulad na kakayahan at pag-uugali sina Shamoon at ZeroCleare, sinabi ng mga mananaliksik na ang dalawa ay magkahiwalay at magkakaibang mga bahagi ng malware.
Tulad ng Shamoon malware, Gumagamit din ang ZeroCleare ng isang lehitimong hard disk controller na tinatawag na "RawDisk by ElDos", upang mai-overlap ang master boot record (MBR) at mga disk partition ng mga partikular na computer na tumatakbo sa Windows.
Kahit na ang taga-kontrol Ang dalawa ay hindi naka-sign, namamahala ang malware na ipatupad ito sa pamamagitan ng paglo-load ng isang driver ng VirtualBox mahina ngunit hindi pinirmahan, pinagsamantalahan ito upang i-bypass ang mekanismo ng pag-verify ng lagda at i-load ang driver na hindi pinirmahan na ElDos.
Ang malware na ito ay inilunsad sa pamamagitan ng pag-atake ng brute force upang makakuha ng pag-access sa mahina na pag-secure ng mga system ng network. Kapag nahawa na ng mga umaatake ang target na aparato, ikinakalat nila ang malware sa pamamagitan ng network ng kumpanya bilang huling hakbang ng impeksyon.
"Ang ZeroCleare cleaner ay bahagi ng huling yugto ng pangkalahatang pag-atake. Ito ay dinisenyo upang mag-deploy ng dalawang magkakaibang mga form, inangkop sa 32-bit at 64-bit na mga system.
Kasama sa pangkalahatang daloy ng mga kaganapan sa mga 64-bit machine ang paggamit ng isang mahina na naka-sign na driver at pagkatapos ay pagsamantalahan ito sa target na aparato upang payagan ang ZeroCleare na i-bypass ang layer ng pagkuha ng hardware ng Windows at i-bypass ang ilang mga pag-iingat ng operating system na pumipigil sa pagpapatakbo ng Mga hindi naka-sign na driver sa 64-bit machine ', binabasa ang ulat ng IBM.
Ang unang tagakontrol sa kadena na ito ay tinatawag na soy.exe at ito ay isang nabagong bersyon ng Turla driver loader.
Ginagamit ang Controller na iyon upang mai-load ang isang mahina laban bersyon ng VirtualBox controller, kung aling mga umaatake ang nagsasamantala upang mai-load ang driver ng EldoS RawDisk. Ang RawDisk ay isang lehitimong utility na ginamit upang makipag-ugnay sa mga file at partisyon, at ginamit din ito ng mga umaatake sa Shamoon upang ma-access ang MBR.
Upang makakuha ng access sa core ng aparato, gumagamit ang ZeroCleare ng isang sadyang mahina ang driver at nakakahamak na PowerShell / Batch script upang i-bypass ang mga kontrol sa Windows. Sa pamamagitan ng pagdaragdag ng mga taktika na ito, kumalat ang ZeroCleare sa maraming mga aparato sa apektadong network, na naghahasik ng mga binhi ng isang mapanirang atake na maaaring makaapekto sa libu-libong mga aparato at maging sanhi ng mga pag-outage na maaaring tumagal ng ilang buwan upang ganap na mabawi, "
Bagaman marami sa mga kampanyang APT na inilantad ng mga mananaliksik ang pagtuon sa cyber spionage, ang ilan sa parehong mga grupo ay nagsasagawa rin ng mapanirang operasyon. Kasaysayan, marami sa mga operasyong ito ang naganap sa Gitnang Silangan at nakatuon sa mga kumpanya ng enerhiya at pasilidad sa produksyon, na kung saan ay mahahalagang pambansang pag-aari.
Bagaman hindi naitaas ng mga mananaliksik ang mga pangalan ng anumang samahan 100% kung saan iniugnay ang malware na ito, sa unang pagkakataon ay nagkomento sila na lumahok ang APT33 sa paglikha ng ZeroCleare.
At pagkatapos ay nag-angkin ang IBM na ang APT33 at APT34 ay lumikha ng ZeroCleare, ngunit ilang sandali matapos na mailabas ang dokumento, ang pagpapatungkol ay binago sa xHunt at APT34, at inamin ng mga mananaliksik na hindi sila XNUMX porsyento na sigurado.
Ayon sa mga mananaliksik, Ang mga pag-atake ng ZeroCleare ay hindi oportunista at ang mga ito ay tila mga pagpapatakbo na nakadirekta laban sa mga partikular na sektor at samahan.