Un nou val de malware complex de tip wiper, care distruge fişiere, vizează Orientul Mijlociu şi par a fi interesate de ţinte din Europa, se arată într-un comunicat de presă al Kasperky Lab.
"Echipa globală de cercetare şi analiză de la Kasperky Lab a descoperit un nou val de malware complex de tip wiper, denumit StoneDrill. La fel ca celălalt program malware, Shamoon, acesta distruge totul de pe computerul infectat. StoneDrill are, de asemenea, tehnici avansate anti-detecţie şi instrumente de spionaj în arsenal. În afară de ţintele din Orientul Mijlociu, a fost descoperită una şi în Europa, unde programele de tip wiper folosite în Orientul Mijlociu nu fuseseră detectate anterior", se arată în document.
În 2012, programul malware Shamoon (cunoscut şi ca Disttrack) a făcut mare vâlvă după distrugerea a aproximativ 35.000 de computere dintr-o companie de petrol şi gaze din Orientul Mijlociu.
"Acest atac devastator a pus 10% din petrolul furnizat la nivel mondial în pericol. Incidentul a fost, însă, unic şi după aceea nu s-a mai auzit nimic despre acest 'actor' din zona ameninţărilor. Totuşi, la sfârşitul anului 2016, el a revenit sub forma Shamoon 2.0 — o campanie malware mult mai extinsă, care foloseşte o versiune actualizată a programului din 2012. În timpul cercetării, experţii Kaspersky Lab au descoperit, în mod neaşteptat, un malware construit similar cu Shamoon 2.0. În acelaşi timp, era foarte diferit şi mult mai sofisticat decât Shamoon. Pe acesta l-au denumit StoneDrill", menţionează sursa citată.
Potrivit acesteia, încă nu se ştie cum se răspândeşte StoneDrill, dar odată ajuns pe dispozitivul atacat, se infiltrează în memoria browser-ului preferat de utilizator.
"În decursul acestui proces, foloseşte două tehnici complexe pentru a evita detecţia de către soluţiile de securitate instalate pe dispozitivul victimei. Apoi, programul malware începe să distrugă fişierele de pe computer. Până acum, au fost identificate cel puţin două ţinte StoneDrill, una localizată în Orientul Mijlociu, iar alta în Europa. În afară de modulele care şterg fişiere, cercetătorii Kaspersky Lab au descoperit şi un backdoor StoneDrill, dezvoltat, aparent, de aceiaşi autori şi folosit pentru spionaj. Experţii au descoperit patru panouri de comandă şi control, folosite de atacatori pentru operaţiuni de spionaj, cu ajutorul backdoor-ului StoneDrill, împotriva unui număr necunoscut de ţinte", informează Kaspersky.
Experţii companiei de securitate spun că StoneDrill pare să aibă legături cu alte operaţiuni de tip wiper şi spionaj studiate anterior.
Atunci când cercetătorii Kaspersky Lab au descoperit StoneDrill cu ajutorul regulilor Yara create pentru a identifica mostre necunoscute din Shamoon, şi-au dat seama că studiau un cod malware unic. Acesta părea să fie creat independent de Shamoon.
"Chiar dacă cele două familii — Shamoon şi StoneDrill — nu au aceeaşi bază de cod, gândirea autorilor şi 'stilul' de programare par să fie similare. Acest lucru a făcut posibilă identificarea StoneDrill cu ajutorul regulilor Yara dezvoltate pentru Shamoon. De asemenea, au fost observate similitudini de cod cu alte programe malware mai vechi, dar de data aceasta nu între Shamoon şi StoneDrill", se mai arată în document.
StoneDrill foloseşte anumite părţi de cod detectate anterior în NewsBeef APT, cunoscut şi ca Charming Kitten — o altă campanie malware activă în ultimii ani.
"Am fost intrigaţi de asemănările dintre aceste trei operaţiuni. A fost StoneDrill un alt program de tip wiper dezvoltat de cei din spatele Shamoon? Sau StoneDrill şi Shamoon sunt două grupuri diferite, care nu au nicio legatură, şi s-a întâmplat să vizeze organizaţii din Arabia Saudită în acelasi timp? Sau cele două grupuri sunt diferite, dar unite prin aceleaşi obiective? Ultima teorie pare cea mai plauzibilă: cand vine vorba de instrumentele folosite, putem spune ca Shamoon foloseşte secţiuni în limba arabă yemenită, în timp ce StoneDrill are, majoritar, secţiuni în limba persană. Analiştii geopolitici ar sublinia, probabil, faptul că atât Iran, cât şi Yemen sunt implicate în conflictul dintre Iran şi Arabia Saudită, iar Arabia Saudită este ţara unde au fost găsite cele mai multe victime ale acestor operaţiuni. Dar, desigur, nu excludem posibilitatea ca aceste indicii să fie încercări de a ne induce în eroare", a declarat Mohamad Amin Hasbini, senior security researcher, Global Research and Analysis Team, Kaspersky Lab.
