L Випущено дослідників безпеки IBM кілька днів тому вони виявили нове сімейство шкідливих програм під назвою "ZeroCleare", створений іранською хакерською групою APT34 спільно з xHunt, це шкідливе програмне забезпечення спрямоване проти промислового та енергетичного секторів на Близькому Сході. Слідчі не розкрили імена компаній-жертв, але провели аналіз шкідливого програмного забезпечення детальний звіт на 28 сторінках.
ZeroCleare впливає лише на Windows оскільки його назва описує шлях до бази даних програми (PDB) його двійковий файл використовується для виконання руйнівної атаки, яка перезаписує головний завантажувальний запис (MBR) та розділи на скомпрометованих машинах Windows.
ZeroCleare класифікується як шкідливе програмне забезпечення з поведінкою, дещо схожою на поведінку "Shamoon" (зловмисне програмне забезпечення, про яке багато говорили, оскільки воно використовувалося для нападів на нафтові компанії ще з 2012 року). Хоча Shamoon і ZeroCleare мають схожі можливості та поведінку, дослідники кажуть, що ці два окремі та різні шматки шкідливого програмного забезпечення.
Як і шкідливе програмне забезпечення Shamoon, ZeroCleare також використовує законний контролер жорсткого диска під назвою "RawDisk від ElDos", щоб перезаписати головний завантажувальний запис (MBR) та розділи диска певних комп'ютерів під управлінням Windows.
Хоча контролер Два не підписано, шкідливим програмам вдається його виконати, завантаживши драйвер VirtualBox вразливий, але непідписаний, використовуючи його для обходу механізму перевірки підпису та завантаження непідписаного драйвера ElDos.
Це шкідливе програмне забезпечення запускається за допомогою атак грубої сили отримати доступ до слабо захищених мережевих систем. Як тільки зловмисники заражають цільовий пристрій, вони поширюють шкідливе програмне забезпечення через мережу компаній як останній крок зараження.
«Прибиральник ZeroCleare є частиною завершальної стадії загальної атаки. Він призначений для розгортання двох різних форм, пристосованих до 32-розрядних та 64-розрядних систем.
Загальний потік подій на 64-розрядних машинах включає використання вразливого підписаного драйвера, а потім його використання на цільовому пристрої, щоб дозволити ZeroCleare обійти апаратний рівень абстракції Windows і обійти деякі захисні механізми операційної системи, які перешкоджають роботі неподписаних драйверів на 64-розрядних машини ', - йдеться у звіті IBM.
Перший контролер у цьому ланцюжку називається soy.exe і це модифікована версія завантажувача драйверів Turla.
Цей контролер використовується для завантаження вразливої версії контролера VirtualBox, який зловмисники використовують для завантаження драйвера EldoS RawDisk. RawDisk - законна утиліта, яка використовується для взаємодії з файлами та розділами, а також використовувалася зловмисниками Shamoon для доступу до MBR.
Для отримання доступу до ядра пристрою ZeroCleare використовує навмисно вразливий драйвер та шкідливі сценарії PowerShell / Batch для обходу елементів керування Windows. Додавши ці тактики, ZeroCleare поширився на численні пристрої в ураженій мережі, посіявши насіння руйнівної атаки, яка може вплинути на тисячі пристроїв і спричинити відключення, для повного відновлення яких знадобиться місяць "
Хоча багато з кампаній АРТ дослідники піддають увагу кібершпигунству, деякі ті ж групи також виконують руйнівні операції. Історично багато з цих операцій відбувалися на Близькому Сході і були зосереджені на енергетичних компаніях та виробничих потужностях, які є життєво важливими національними активами.
Хоча дослідники не піднімали імена жодної організації на 100% до якого приписується це шкідливе програмне забезпечення, в першу чергу вони прокоментували, що APT33 брав участь у створенні ZeroCleare.
А потім пізніше IBM стверджувала, що APT33 і APT34 створили ZeroCleare, але незабаром після випуску документа атрибуція змінилася на xHunt та APT34, і дослідники визнали, що вони не були впевнені на XNUMX відсотків.
За даними слідства, Атаки ZeroCleare не є опортуністичними і, схоже, це операції, спрямовані проти певних секторів та організацій.