پژوهشگران امنیت سایبری یک بدافزار پاککنندهی دادهی مخرب جدید کشف کردهاند که توسط نفوذگران تحت حمایت دولت استفاده میشود تا سازمانهای انرژی و صنعتی خاورمیانه را هدف قرار دهد. این بدافزار پاککنندهی داده که ZeroClear نامیده میشود به دو گروه نفوذ نسبت داده میشود که یکی از آنها APT34 یا همان ITG13 و Oilrig و دیگری Hive0081 یا همان xHunt است.
گروهی از پژوهشگران آیبیام که بدافزار ZeroClear را کشف کردند بیان میکنند که این بدافزار پاککنندهی جدید برخی شباهتهای سطح بالا با Shamoon دارد که یکی از بدافزارهای بسیار مخرب است و ۳۰ هزار رایانهی بزرگترین تولیدکنندهی نفت عربستان سعودی را در سال ۲۰۱۲ هدف قرار داد و به آنها آسیب رساند.
ZeroClear دقیقاً مانند بدافزار پاککنندهی Shamoon از یک حافظهی سخت به نام RawDisk by EIDos استفاده میکند تا رکورد اصلی راهاندازی سیستم (MBR) و پارتیشنهای حافظهی رایانههای مورد هدف را که سیستم عامل ویندوز را اجرا میکنند، بازنویسی کند.
اگرچه درایور EIdoS امضا نشده است، این بدافزار همچنان میتواند از طریق بارگذاری یک درایور VirtualBox اوراکل امضاشده و آسیبپذیر، آن را اجرا کند و از آن برای دور زدن سازوکار بررسی امضا بهرهبرداری کند و درایور EIdoS امضانشده را بارگذاری کند.
پژوهشگران بیان کردند که ZeroClear برای دسترسی به هستهی دستگاه از یک درایور آسیبپذیر و امضاشدهی VBoxDrv و اسکریپتهای پاورشل برای دور زدن کنترلهای ویندوز استفاده میکند. مهاجمان برای استقرار بدافزار ZeroClear در رایانههای یک سازمان، ابتدا تلاش میکنند تا با جستجوی کورکورانه گذرواژههای حسابهای شبکه را به دست آورند و سپس شلهای وب ASPX مانند China Chopper و Tunna را با بهرهبرداری از یک آسیبپذیری Sharepoint نصب میکنند.
پژوهشگران بیان کردند که ZeroClear در بسیاری از دستگاههای موجود در شبکهی آسیبدیده منتشر شده است و یک حملهی مخرب میتواند هزاران دستگاه را تحت تأثیر قرار دهد و موجب ایجاد یک خرابی شود که ممکن است بازیابی کامل آن ماهها طول بکشد.همان عاملان تهدید تلاش کردند تا نرمافزار دسترسی از راه دور قانونی TeaamViewer را نصب کنند و از یک نسخهی مبهمسازیشدهی ابزار سرقت گواهینامهی Mimikatz برای سرقت گواهینامههای شبکه از سرورهای آسیبدیده استفاده کنند. اگرچه پژوهشگران نام هیچ یک از سازمانهایی را که هدف قرار گرفتهاند، افشا نکردند، اما تأیید کردند که دو نسخه از ZeroClear مشاهده شده است که یکی در هر دو معماری ۳۲ بیتی و ۶۴ بیتی ویندوز و دیگری تنها در معماری ۶۴ بیتی کار میکند.
بهگفتهی پژوهشگران، حملات ZeroClear فرصتطلبانه نیست و به نظر میرسد بلکه عملیات هدفمند علیه بخشها و سازمانهای خاص است. X-Force IRIS در سال گذشته شاهد افزایش چشمگیر حملات مخرب بوده و در شش ماه گذشته، افزایش ۲۰۰ درصدی میزان حملات مخرب را ثبت کرده است. با توجه به منطقهی جغرافیایی آسیبدیده توسط بدافزار ZeroClear، این اولین بار نیست که خاورمیانه شاهد حملات مخربی است که بخش انرژی آن را هدف قرار میدهند.