ZeroCleare, 1 nouveau malware de type “data wiper”

Des chercheurs en sécurité informatique ont découvert un nouveau malware nommé ZeroCleare. C’est un malware de type “data wiping (effacement de données)” qui est utilisé par des hackers sponsorisés par des gouvernements.

Ces pirates ciblent des centrales électriques et des organisations industrielles au Moyen-Orient.

Le malware semble être lié à deux groupes de hackers sponsorisés par le gouvernement Iranien. Les deux groupes sont APT34, aussi connu sous le nom de ITG13 ou Oilrig et Hive0081, aussi connu sous le nom de xHunt.

L’équipe de chercheurs d’IBM qui a découvert ZeroCleare a déclaré que le malware a de fortes ressemblances avec Shamoon, l’une des familles de malware les plus destructrices. Shamoon a endommagé 30 000 ordinateurs appartenant à un producteur de pétrole saoudien en 2012.

Comment fonctionne le malware ZeroCleare?

Tout comme le malware Shamoon, ZeroCleare utilise un pilote de disques durs nommé ‘RawDisk by EIdoS‘ pour écrire par dessus le MBR (Master Boot Record) et les partitions de disques des ordinateurs Windows ciblés.

Bien que le pilote EIdoS ne soit pas signé, le malware arrive quand même à l’exécuter en utilisant un pilote VirtualBox vulnérable. Cela permet de contourner le mécanisme de vérification de signature et exécuter le pilote EIdoS non-signé.

“Pour obtenir un accès au noyau de l’appareil, ZeroCleare a utilisé un pilote vulnérable [mais signé VBoxDrv] et des scripts Powershell/Batch pour contourner les contrôles de Windows,” ont expliqué les chercheurs.

zerocleare

Pour déployer ZeroCleare, les pirates doivent d’abord tenter une attaque de force brute sur les mots de passe des comptes du réseau et ensuite installé des shells ASPX, comme China Chopper et Tunna, en exploitant une vulnérabilité de SharePoint.

Les mêmes pirates ont aussi tenté d’installer un logiciel d’accès à distance nommé TeamViewer. Ils utilisent aussi une version offusquée de l’outil de vol de données “Mimikatz” pour dérober des informations de connexion au réseau.

Les chercheurs n’ont pas révélé les noms des organisations ciblées mais ont confirmé qu’il y’a deux versions de ZeroCleare, une pour chaque architecture Windows (32-bit et 64-bit) mais seulement la version 64-bit fonctionne.

Selon les chercheurs, les attaques ZeroCleare sont des opérations ciblées contre des secteurs et des organisations spécifiques.

Ce n’est pas la première fois que des attaques ciblant le secteur énergétique se produisent au Moyen-Orient.