De la Shamoon la StoneDrill – A fost descoperit un nou malware periculos

Echipa globala de cercetare si analiza de la Kasperky Lab a descoperit un nou val de malware complex de tip wiper, denumit StoneDrill. La fel ca celalalt program malware, Shamoon, acesta distruge totul de pe computerul infectat. StoneDrill are, de asemenea, tehnici avansate anti-detectie si instrumente de spionaj in arsenal. In afara de tintele din Orientul Mijlociu, a fost descoperita una si in Europa, unde programele de tip wiper folosite in Orientul Mijlociu nu fusesera detectate anterior. 

In 2012, programul malware Shamoon (cunoscut si ca Disttrack) a facut mare valva dupa distrugerea a aproximativ 35.000 de computere dintr-o companie de petrol si gaze din Orientul Mijlociu. Acest atac devastator a pus 10% din petrolul furnizat la nivel mondial in pericol. Incidentul a fost, insa, unic si dupa aceea nu s-a mai auzit nimic despre acest “actor” din zona amenintarilor. Totusi, la sfarsitul anului 2016, el a revenit sub forma Shamoon 2.0 – o campanie malware mult mai extinsa, care foloseste o versiune actualizata a programului din 2012.

shamoon

In timpul cercetarii, expertii Kaspersky Lab au descoperit, in mod neasteptat, un malware construit similar cu Shamoon 2.0. In acelasi timp, era foarte diferit si mult mai sofisticat decat Shamoon. Pe acesta l-au denumit StoneDrill.

StoneDrill – un program wiper cu conexiuni

Inca nu se stie cum se raspandeste StoneDrill, dar odata ajuns pe dispozitivul atacat, se infiltreaza in memoria browser-ului preferat de utilizator. In decursul acestui proces, foloseste doua tehnici complexe pentru a evita detectia de catre solutiile de securitate instalate pe dispozitivul victimei. Apoi, programul malware incepe sa distruga fisierele de pe computer. Pana acum, au fost identificate cel putin doua tinte StoneDrill, una localizata in Orientul Mijlociu, iar alta in Europa.

In afara de modulele care sterg fisiere, cercetatorii Kaspersky Lab au descoperit si un backdoor StoneDrill, dezvoltat, aparent, de aceiasi autori si folosit pentru spionaj. Expertii au descoperit patru panouri de comanda si control, folosite de atacatori pentru operatiuni de spionaj, cu ajutorul backdoor-ului StoneDrill, impotriva unui numar necunoscut de tinte.

Probabil lucrul cel mai interesant despre StoneDrill este ca pare sa aiba legaturi cu alte operatiuni de tip wiper si spionaj studiate anterior. Atunci cand cercetatorii Kaspersky Lab au descoperit StoneDrill cu ajutorul regulilor Yara create pentru a identifica mostre necunoscute din Shamoon, si-au dat seama ca studiau un cod malware unic. Acesta parea sa fie creat independent de Shamoon. Chiar daca cele doua familii – Shamoon si StoneDrill – nu au aceeasi baza de cod, gandirea autorilor si “stilul” de programare par sa fie similare. Acest lucru a facut posibila identificarea StoneDrill cu ajutorul regulilor Yara dezvoltate pentru Shamoon.

De asemenea, au fost observate similitudini de cod cu alte programe malware mai vechi, dar de data aceasta nu intre Shamoon si StoneDrill. StoneDrill foloseste anumite parti de cod detectate anterior in NewsBeef APT, cunoscut si ca Charming Kitten – o alta campanie malware activa in ultimii ani.

 “Am fost intrigati de asemanarile dintre acete trei operatiuni. A fost StoneDrill un alt program de tip wiper dezvoltat de cei din spatele Shamoon? Sau StoneDrill si Shamoon sunt doua grupuri diferite, care nu au nicio legatura, si s-a intamplat sa vizeze organizatii din Arabia Saudita in acelasi timp? Sau cele doua grupuri sunt diferite, dar unite prin aceleasi obiective? Ultima teorie pare cea mai plauzibila: cand vine vorba de instrumentele folosite, putem spune ca Shamoon foloseste sectiuni in limba araba yemenita, in timp ce StoneDrill are, majoritar, sectiuni in limba persana. Analistii geopolitici ar sublinia, probabil, faptul ca atat Iran, cat si Yemen sunt implicate in conflictul dintre Iran si Arabia Saudita, iar Arabia Saudita este tara unde au fost gasite cele mai multe victime ale acestor operatiuni. Dar, desigur, nu excludem posibilitatea ca aceste indicii sa fie incercari de a ne induce in eroare”, a spus Mohamad Amin Hasbini, Senior Security Researcher, Global Research and Analysis Team, Kaspersky Lab.

Produsele Kaspersky Lab detecteaza si blocheaza programul malware care are legatura cu Shamoon, StoneDrill si NewsBeef.

Pentru a proteja organizatiile de astfel de atacuri, expertii in securitate de la Kaspersky Lab recomanda urmatoarele:

  • Realizati o evaluare a securitatii retelei (de exemplu, audit de securitate, teste de intruziune) pentru a identifica si a elimina orice bresa de securitate. Evaluati furnizorii externi si politicile de securitate ale partenerilor, in cazul in care acestia au acces direct la reteaua de control.
  • Solicitati informatii externe: datele provenite de la furnizori recunoscuti ajuta organizatiile sa prezica atacuri viitoare asupra infrastructurii industriale a companiei. Echipele pentru situatii de urgenta, cum sunt cele ICS CERT de la Kaspersky Lab, ofera informatii pentru mai multe domenii, gratuit.
  • Faceti training cu angajatii, acordand o atentie speciala personalului tehnic si operational, care trebuie sa fie la curent cu amenintari si atacuri recente.
  • Protejati perimetrul intern si extern. O strategie de securitate corespunzatoare trebuie sa acorde resurse considerabile detectarii atacului si raspunsului in cazul acestuia, pentru a-l bloca inainte de a ajunge la obiective de importanta critica.
  • Evaluati metodele de protectie avansata, inclusiv integritatea sistemelor de control, monitorizarea retelei pentru a creste securitatea de ansamblu a companiei, si a reduce riscul unei brese, chiar daca anumite puncte vulnerabile nu pot fi remediate sau eliminate.

Pentru detalii despre Shamoon 2.0 si StoneDrill, va rugam cititi articolul disponibil pe Securelist.com. Mai multe informatii despre atacurile anterioare Shamoon puteti gasi aici.

Pentru cei abonati la serviciul Kaspersky Lab Private Intelligence Reports sunt disponibile rapoarte de informatii de securitate despre Shamoon, StoneDrill si NewsBeef. Pentru mai multe informatii, va rugam contactati intelreports@kaspersky.com.

Administrator FaraVirusi.com
voluntar al Comodo Malware Research Team, expert Malwarebytes Anti-Malware

Leave a Reply