Drukuj
Kategoria: Publikacje i raporty

hackerBadacze z Kaspersky Lab wykryli nowe, wyrafinowane szkodliwe oprogramowanie niszczące dane, o nazwie StoneDrill. Podobnie jak inny niesławny szkodliwy program tego typu - Shamoon, StoneDrill niszczy wszystko, co znajduje się na zainfekowanym komputerze. W swoim arsenale szkodnik posiada również zaawansowane techniki zapobiegające wykrywaniu oraz narzędzia szpiegowskie.

Oprócz celów na Bliskim Wschodzie jedna z potencjalnych ofiar została zidentyfikowana w Europie, gdzie narzędzia tego typu wykorzystywane na Bliskim Wschodzie nie były wcześniej wykrywane na wolności.


W 2012 r. szkodliwy program niszczący dane Shamoon (znany również jako Disttrack) wywołał spory szum medialny, odcinając od sieci około 35 000 komputerów w firmie działającej w branży naftowej i gazowniczej na Bliskim Wschodzie. Na skutek tego druzgocącego ataku zagrożonych zostało 10% światowych zapasów ropy. Na szczęście był to odosobniony incydent - po ataku sprawca nie wykazywał praktycznie żadnej aktywności. Jednak pod koniec 2016 r. zagrożenie powróciło w postaci Shamoona 2.0 - o wiele szerszej kampanii wykorzystującej znacznie udoskonaloną wersję szkodnika z 2012 r.

Podczas badania tych ataków analitycy z Kaspersky Lab niespodziewanie wykryli szkodliwe oprogramowanie, które zostało stworzone w podobnym stylu co Shamoon 2.0. Jednocześnie znacznie się od niego różniło, zwłaszcza większym wyrafinowaniem. Badacze nadali mu nazwę StoneDrill.

 

StoneDrill - szkodnik z koneksjami

Sposób, w jaki rozprzestrzenia się StoneDrill, nie jest jeszcze znany. Wiadomo natomiast, że po przedostaniu się do atakowanej maszyny wstrzykuje się do procesu przeglądarki, z której korzysta użytkownik. Podczas tego procesu szkodnik stosuje dwie wyrafinowane techniki w celu przechytrzenia rozwiązań bezpieczeństwa zainstalowanych na maszynie ofiary. Następnie StoneDrill zaczyna niszczyć pliki na dysku komputera. Jak dotąd zidentyfikowane zostały co najmniej dwa cele szkodnika StoneDrill: jeden na Bliskim Wschodzie, drugi w Europie.

Poza modułem niszczenia danych badacze z Kaspersky Lab znaleźli również trojana StoneDrill, który został prawdopodobnie stworzony przez tych samych twórców i był wykorzystywany do celów szpiegowskich. Analitycy wykryli cztery panele kontroli wykorzystywane do przeprowadzania operacji szpiegowskich przy pomocy trojana StoneDrill przeciwko nieznanej liczbie celów.

Być może najciekawsze, jeśli chodzi o szkodnika StoneDrill, jest to, że wydaje się on mieć powiązania z kilkoma innymi, zidentyfikowanymi wcześniej szkodliwymi programami niszczącymi dane oraz operacjami szpiegowskimi. Po wykryciu StoneDrilla przy użyciu reguł metod opracowanych w celu zidentyfikowania nieznanych próbek Shamoona badacze z Kaspersky Lab zdali sobie sprawę, że mają do czynienia z unikatowym szkodliwym kodem, który został stworzony niezależnie od Shamoona. Nawet jeśli baza kodu tych dwóch rodzin - Shamoon i StoneDrill - nie jest dokładnie taka sama, podejście ich autorów oraz ich styl programowania wydaje się być podobny.

Zaobserwowano również podobieństwa z kodem starszego szkodliwego oprogramowania - tym razem nie chodziło o Shamoona. Okazało się, że StoneDrill wykorzystuje pewne części kodu zidentyfikowanego wcześniej w szkodliwej kampanii NewsBeef APT (znanej również jako CharmingKitten), która była aktywna w ostatnich kilku latach.


Byliśmy niezwykle zaintrygowani podobieństwami między tymi trzema szkodliwymi operacjami. Czy StoneDrill był kolejnym szkodnikiem stworzonym przez osobę odpowiedzialną za Shamoona? Czy StoneDrill i Shamoon reprezentują dwie różne i niepowiązane grupy, które przypadkiem atakowały organizacje saudyjskie? Czy raczej są to dwie niezależne grupy, które połączyły się ze względu na wspólne cele? Ostatnia teoria jest najbardziej prawdopodobna: jeśli chodzi o ślady w kodzie, można powiedzieć, że o ile Shamoon posiada fragmenty w języku arabskim (wskazujące na Jemen), w StoneDrillu występują sekcje perskojęzyczne. Analitycy geopolityczni prawdopodobnie bez trudu wykazaliby, że zarówno Iran, jak i Jemen stanowią graczy w konflikcie między Iranem a Arabią Saudyjską, a większość ofiar tych operacji zidentyfikowano w Arabii Saudyjskiej. Niezależnie od tego nie wykluczamy możliwości, że ślady te mogą stanowić element fałszywej bandery mającej na celu zmylenie badaczy i organów ścigania - powiedział Mohamad Amin Hasbini, starszy badacz bezpieczeństwa, Globalny Zespół ds. Badań i Analiz (GReAT), Kaspersky Lab.

Produkty firmy Kaspersky Lab skutecznie wykrywają i blokują szkodliwe oprogramowanie związane z kampaniami Shamoon, StoneDrill oraz NewsBeef.

Aby pomóc organizacjom w ochronie przed atakami tego typu, eksperci bezpieczeństwa z Kaspersky Lab zalecają następujące działania:

Więcej informacji na temat szkodników Shamoon 2.0 oraz StoneDrill znajduje się na stronie https://kas.pr/LR8i.

[źródło: www.kaspersky.pl]