大家好,我是 零日情報局。
本文首發於公眾號 零日情報局,微信ID:lingriqingbaoju。
2012年開始,“破壞王”Shamoon憑藉著近乎不可逆的資料摧毀攻擊,成為了波斯灣石油巨頭們的噩夢。
到了2019年, Shamoon陰雲還未散去,毀滅者ZeroCleare空降中東,給局勢焦灼的海灣,再添陰霾。
ZeroCleare資料摧毀惡意軟體
昨天,IBM的X-Force事件響應和情報服務(IRIS)釋出報告,披露了一種全新的破壞性資料清除惡意軟體ZeroCleare,該惡意軟體以最大限度刪除感染裝置資料為目標。
IBM雖沒有透露此次遭受攻擊的具體公司,但可以確認ZeroCleare瞄準的是中東的能源和工業部門,且初步估算已有1400臺裝置遭感染。
與之前Shamoon非常相似,ZeroCleare用來執行破壞性攻擊,主要是擦除主開機記錄(MBR),並損壞大量網路裝置上的磁碟分割槽,說白了就是大肆刪資料。
由伊朗APT34和xHunt建立
除此以外,IBM報告也證實,ZeroCleare和破壞性惡意軟體Shamoon同宗,都是出自伊朗資助的頂級黑客組織之手。不同的是,Shamoon來自APT33組織,而ZeroCleare由APT34(Oilrig)和Hive0081(aka xHunt)組織協作開發。
從可查資料來看,伊朗黑客組織APT34(Oilrig)至少從2014年起就瞄準中東和國際受害者,目標也多集中在金融、政府、能源、化工和電信等關乎國家安全的重要領域。可以說,APT34的整體攻擊動向,與伊朗國家利益和作戰時間安排保持高度一致。
通過各種網路手段,幫助政府達成政治、經濟、軍事目的,是APT34一類國家級黑客組織行動的核心。今年早期,APT34(Oilrig)就曾偽裝成劍橋大學相關人員,使用LinkedIn傳送惡意檔案,進行網路釣魚攻擊,預謀竊取重要資訊。
(IBM報告:ZeroCleare由伊朗APT34和xHunt建立)
至於與APT34(Oilrig)合作的xHUNT組織,此前有人將二者視為同一組織,但此次IBM特別強調ZeroCleare由伊朗APT34和XHUNT共同建立,可見這極可能是伊朗的又一支隱蔽而強大的網路力量。
ZeroCleare軟體的非常規策略
從披露的攻擊程式來看,執行ZeroCleare惡意程式前,黑客會先通過暴力攻擊,訪問安全性較弱的公司網路帳戶,而當拿到公司伺服器帳戶的訪問許可權後,就會利用SharePoint漏洞安裝China Chopper、Tunna一類的Web Shell工具。
隨後,攻擊者便會在入侵裝置商,開啟橫向擴散模式,部署ZeroCleare資料摧毀惡意軟體,上演破壞性的資料擦除攻擊。至於攻擊細節上,一個叫EldoS RawDisk的合法工具包無形中成了ZeroCleare的推手。
(ZeroCleare攻擊感染流程)
EldoS RawDisk是一個主要用於與檔案、磁碟和分割槽進行互動的合法工具包。為了順利執行ZeroCleare,攻擊者會先通過名為soy.exe的中間檔案,載入易受攻擊簽名驅動程式VBoxDrv,強制(DSE)接受並執行驅動程式。
成功拿到許可權後,ZeroCleare就會通過濫用合法工具包EldoS RawDisk的方式,擦除MBR並損壞大量網路裝置上的磁碟分割槽,達到破壞性攻擊的目的。
值得一提的是,為了獲得裝置核心的訪問許可權,ZeroCleare還會使用易受攻擊的驅動程式和惡意的PowerShell / Batch指令碼,繞過Windows控制元件。
伊朗特色 資料粉碎攻擊
說到資料摧毀攻擊,很容易聯想到2012年首現,直至18年還在中東地區肆虐,針對性攻擊沙特國家石油公司的同類惡意軟體Shamoon。
被譽為“無敵破壞王”的Shamoon曾在2012年,因破壞性清除了沙特國家石油公司 35000臺計算機資料,導致石油業務停擺數週而名噪一時,也因此被稱為最危險的惡意軟體之一。
(2012年沙特國家石油公司發文遭到破壞性攻擊)
甚至2018年,變種Shamoon還被用於針對沙特國家石油公司海外承包商的定向打擊,影響近400臺伺服器和多達100臺個人計算機,殃及沙特石油業務運轉。
一方面,資料擦除作為一種兼具大規模破壞、鉅額損失、漫長恢復時間成本,以及摧毀式特性的攻擊手段,一直被圈裡人稱之為最惡劣的攻擊方式。
另一方面,中東石油化工市場不僅是海灣國家的經濟支柱,作為佔世界已探明石油儲量約64.5%的地區,中東早已成為全球能源架構的重要中心,任何一次看似輕微的攻擊,都可能波及全球。
而正是基於攻擊手段的摧毀性,以及中東石油的重要性,以Shamoon、ZeroCleare為代表的資料擦除惡意軟體,成為了伊朗定向打擊沙特乃至整個中東地區的常用伎倆。
激增200%的破壞性攻擊
更令人心驚的是,有報告統計,過去一年破壞性網路攻擊數量激增200%,破壞性惡意軟體正處於極速爆發階段。
零日盤點了近十年來典型的國家級破壞性網路攻擊,發現純粹的竊取資料和祕密監控已成為一種輔助手段,而像Stuxnet、Shamoon 和 Dark Seoul 這樣的破壞性惡意軟體,正越來越多地被擁有國家背景的黑客組織所使用,並逐漸向網路常規武器化發展。
2010年,世界上第一個數字武器Stuxnet震網病毒現世,美國利用其成功摧毀濃縮鈾離心機,致使伊朗核計劃破產;
2012年,為報復美國震網攻擊,伊朗利用Shamoon惡意軟體,近乎完全地摧毀性刪除了沙特國家石油公司35000 臺電腦資料,並在其公司首頁公然燃燒美國國旗;
2015年,Black Energy降臨烏克蘭,來自俄羅斯的攻擊者使用開源工具包,潛入烏克蘭能源公司,最終導致烏克蘭全國大停電;
再到近日,新型惡意資料擦除軟體ZeroCleare攻擊的冒頭。我們清晰的看見,在國家級的網路攻防對抗中,破壞性攻擊已成為一種代替常規軍事戰術的手段。
零日反思
低廉的攻擊代價和高危的攻擊結果,讓破壞性攻擊逐漸泛化,越來越多擁有國家支援背景的黑客,開始利用破壞性攻擊緊盯能源、工控、金融等關鍵性重要領域。
現今還只是在中東地區氾濫,明天會不會被利用於大國之間網路博弈,沒人可以斷言,但不可忽視破壞性攻擊已成為一種新的趨勢,而我們必須早做準備,才能在複雜的網路環境下,求一份生機。
零日情報局作品
微信公眾號:lingriqingbaoju
如需轉載,請後臺留言
歡迎分享朋友圈
參考資料:
IBM《新的破壞性攻擊“ZeroCleare”瞄準中東能源部門》