Các Các nhà nghiên cứu bảo mật của IBM đã phát hành một vài ngày trước họ đã phát hiện một họ phần mềm độc hại mới có tên là "ZeroCleare", được tạo bởi một nhóm hacker Iran APT34 cùng với xHunt, phần mềm độc hại này nhắm vào các lĩnh vực công nghiệp và năng lượng ở Trung Đông. Các nhà điều tra không tiết lộ tên của các công ty nạn nhân, nhưng đã phân tích phần mềm độc hại để một báo cáo chi tiết dài 28 trang.
ZeroCleare chỉ ảnh hưởng đến Windows vì như tên gọi của nó mô tả nó là đường dẫn của cơ sở dữ liệu chương trình (PDB) của tệp nhị phân của nó được sử dụng để thực hiện một cuộc tấn công phá hoại ghi đè lên bản ghi khởi động chính (MBR) và phân vùng trên máy Windows bị xâm phạm.
ZeroCleare được phân loại là phần mềm độc hại có hành vi hơi giống với "Shamoon" (Một phần mềm độc hại được nói đến nhiều vì nó được sử dụng để tấn công các công ty dầu mỏ từ năm 2012) Mặc dù Shamoon và ZeroCleare có các khả năng và hành vi tương tự nhau, các nhà nghiên cứu cho biết cả hai là những phần mềm độc hại riêng biệt và khác biệt.
Giống như phần mềm độc hại Shamoon, ZeroCleare cũng sử dụng bộ điều khiển đĩa cứng hợp pháp được gọi là "RawDisk của ElDos", để ghi đè lên bản ghi khởi động chính (MBR) và phân vùng đĩa của các máy tính cụ thể đang chạy Windows.
Mặc dù bộ điều khiển Cả hai không được ký, phần mềm độc hại quản lý để thực thi nó bằng cách tải trình điều khiển VirtualBox dễ bị tấn công nhưng chưa được ký, khai thác nó để bỏ qua cơ chế xác minh chữ ký và tải trình điều khiển ElDos chưa được ký.
Phần mềm độc hại này được khởi chạy thông qua các cuộc tấn công vũ phu để truy cập vào các hệ thống mạng an toàn yếu. Khi những kẻ tấn công lây nhiễm vào thiết bị mục tiêu, chúng sẽ phát tán phần mềm độc hại qua mạng công ty như là bước cuối cùng của quá trình lây nhiễm.
“Trình dọn dẹp ZeroCleare là một phần của giai đoạn cuối cùng của cuộc tấn công tổng thể. Nó được thiết kế để triển khai hai dạng khác nhau, thích ứng với các hệ thống 32-bit và 64-bit.
Luồng sự kiện chung trên máy 64-bit bao gồm việc sử dụng trình điều khiển đã ký dễ bị tấn công và sau đó khai thác nó trên thiết bị đích để cho phép ZeroCleare vượt qua lớp trừu tượng phần cứng của Windows và bỏ qua một số biện pháp bảo vệ của hệ điều hành ngăn các trình điều khiển chưa được ký chạy trên 64-bit máy móc ', đọc báo cáo của IBM.
Bộ điều khiển đầu tiên trong chuỗi này có tên là bean.exe và nó là một phiên bản sửa đổi của trình tải trình điều khiển Turla.
Bộ điều khiển đó được sử dụng để tải phiên bản dễ bị tấn công của bộ điều khiển VirtualBox, mà những kẻ tấn công khai thác để tải trình điều khiển EldoS RawDisk. RawDisk là một tiện ích hợp pháp được sử dụng để tương tác với các tệp và phân vùng, và nó cũng được những kẻ tấn công Shamoon sử dụng để truy cập MBR.
Để có quyền truy cập vào lõi của thiết bị, ZeroCleare sử dụng trình điều khiển có chủ đích dễ bị tấn công và các tập lệnh PowerShell / Batch độc hại để vượt qua các kiểm soát của Windows. Bằng cách thêm các chiến thuật này, ZeroCleare đã lây lan sang nhiều thiết bị trên mạng bị ảnh hưởng, gieo mầm mống của một cuộc tấn công phá hoại có thể ảnh hưởng đến hàng nghìn thiết bị và gây ra sự cố mất điện có thể mất nhiều tháng để khôi phục hoàn toàn ".
Mặc dù nhiều chiến dịch APT mà các nhà nghiên cứu vạch trần tập trung vào hoạt động gián điệp mạng, một số nhóm tương tự cũng thực hiện các hoạt động phá hoại. Trong lịch sử, nhiều hoạt động này đã diễn ra ở Trung Đông và tập trung vào các công ty năng lượng và cơ sở sản xuất, vốn là tài sản quan trọng của quốc gia.
Mặc dù các nhà nghiên cứu đã không nêu ra 100% tên của bất kỳ tổ chức nào mà phần mềm độc hại này được cho là, trong trường hợp đầu tiên, họ nhận xét rằng APT33 đã tham gia vào việc tạo ra ZeroCleare.
Và sau đó IBM tuyên bố rằng APT33 và APT34 đã tạo ra ZeroCleare, nhưng ngay sau khi tài liệu được phát hành, phân bổ đã thay đổi thành xHunt và APT34, và các nhà nghiên cứu thừa nhận rằng họ không chắc chắn XNUMX%.
Theo các nhà điều tra, Các cuộc tấn công ZeroCleare không mang tính cơ hội và chúng dường như là các hoạt động nhằm vào các lĩnh vực và tổ chức cụ thể.