StoneDrill - szkodliwe oprogramowanie, które niszczy dane
Badacze z Kaspersky Lab wykryli nowe szkodliwe oprogramowanie niszczące dane. Nosi ono nazwę StoneDrill i podobnie jak inny niesławny szkodliwy program tego typu - Shamoon - niszczy wszystko, co znajduje się na zainfekowanym komputerze. W swoim arsenale szkodnik posiada również zaawansowane techniki zapobiegające wykrywaniu oraz narzędzia szpiegowskie.
W 2012 r. szkodliwy program niszczący dane Shamoon (znany również jako Disttrack) wywołał spory szum medialny, odcinając od sieci około 35 000 komputerów w firmie działającej w branży naftowej i gazowniczej na Bliskim Wschodzie. Na skutek tego druzgocącego ataku zagrożonych zostało 10 proc. światowych zapasów ropy. Na szczęście był to odosobniony incydent - po ataku sprawca nie wykazywał praktycznie żadnej aktywności. Jednak pod koniec 2016 r. zagrożenie powróciło w postaci Shamoona 2.0 - o wiele szerszej kampanii wykorzystującej znacznie udoskonaloną wersję szkodnika z 2012 r.
Podczas badania tych ataków analitycy z Kaspersky Lab niespodziewanie wykryli szkodliwe oprogramowanie, które zostało stworzone w podobnym stylu co Shamoon 2.0. Jednocześnie znacznie się od niego różniło, zwłaszcza większym wyrafinowaniem. Badacze nadali mu nazwę StoneDrill.
Szkodnik z koneksjami
Sposób, w jaki rozprzestrzenia się StoneDrill, nie jest jeszcze znany. Wiadomo natomiast, że po przedostaniu się do atakowanej maszyny wstrzykuje się do procesu przeglądarki, z której korzysta użytkownik. Podczas tego procesu szkodnik stosuje dwie wyrafinowane techniki w celu przechytrzenia rozwiązań bezpieczeństwa zainstalowanych na maszynie ofiary. Następnie StoneDrill zaczyna niszczyć pliki na dysku komputera.
Jak dotąd zidentyfikowane zostały co najmniej dwa cele szkodnika StoneDrill: jeden na Bliskim Wschodzie, drugi w Europie.
Poza modułem niszczenia danych, badacze z Kaspersky Lab znaleźli również trojana StoneDrill, który został prawdopodobnie stworzony przez tych samych twórców i był wykorzystywany do celów szpiegowskich. Analitycy wykryli cztery panele kontroli wykorzystywane do przeprowadzania operacji szpiegowskich przy pomocy trojana StoneDrill przeciwko nieznanej liczbie celów.
Być może najciekawsze, jeśli chodzi o szkodnika StoneDrill, jest to, że wydaje się on mieć powiązania z kilkoma innymi, zidentyfikowanymi wcześniej szkodliwymi programami niszczącymi dane oraz operacjami szpiegowskimi. Po wykryciu StoneDrilla przy użyciu reguł metod opracowanych w celu zidentyfikowania nieznanych próbek Shamoona, badacze z Kaspersky Lab zdali sobie sprawę, że mają do czynienia z unikatowym szkodliwym kodem, który został stworzony niezależnie od Shamoona. Nawet jeśli baza kodu tych dwóch rodzin - Shamoon i StoneDrill - nie jest dokładnie taka sama, podejście ich autorów oraz ich styl programowania wydaje się być podobny.
Zaobserwowano również podobieństwa z kodem starszego szkodliwego oprogramowania - tym razem nie chodziło o Shamoona. Okazało się, że StoneDrill wykorzystuje pewne części kodu zidentyfikowanego wcześniej w szkodliwej kampanii NewsBeef APT (znanej również jako CharmingKitten), która była aktywna w ostatnich kilku latach.
"Byliśmy niezwykle zaintrygowani podobieństwami między tymi trzema szkodliwymi operacjami. Czy StoneDrill był kolejnym szkodnikiem stworzonym przez osobę odpowiedzialną za Shamoona? Czy StoneDrill i Shamoon reprezentują dwie różne i niepowiązane grupy, które przypadkiem atakowały organizacje saudyjskie? Czy raczej są to dwie niezależne grupy, które połączyły się ze względu na wspólne cele? Ostatnia teoria jest najbardziej prawdopodobna: jeśli chodzi o ślady w kodzie, można powiedzieć, że o ile Shamoon posiada fragmenty w języku arabskim (wskazujące na Jemen), w StoneDrillu występują sekcje perskojęzyczne. Analitycy geopolityczni prawdopodobnie bez trudu wykazaliby, że zarówno Iran, jak i Jemen stanowią graczy w konflikcie między Iranem a Arabią Saudyjską, a większość ofiar tych operacji zidentyfikowano w Arabii Saudyjskiej. Niezależnie od tego nie wykluczamy możliwości, że ślady te mogą stanowić element fałszywej bandery mającej na celu zmylenie badaczy i organów ścigania" - powiedział Mohamad Amin Hasbini, starszy badacz bezpieczeństwa, Globalny Zespół ds. Badań i Analiz (GReAT), Kaspersky Lab.
Aby pomóc organizacjom w ochronie przed atakami tego typu, eksperci zalecają następujące działania:
• Przeprowadzenie oceny bezpieczeństwa sieci (tj. audytu bezpieczeństwa, testów penetracyjnych, analizy luk) w celu identyfikacji i usunięcia słabości w zabezpieczeniach. Przejrzenie polityk bezpieczeństwa dostawców zewnętrznych oraz partnerów, jeśli mają bezpośredni dostęp do sieci kontroli.
• Zamówienie zewnętrznej analizy zagrożeń - badanie przeprowadzone przez renomowanego dostawcę pomoże organizacjom przewidzieć przyszłe ataki na infrastrukturę IT.
• Szkolenie pracowników ze szczególnym naciskiem na personel operacyjny i inżynieryjny oraz ich świadomość w zakresie najnowszych zagrożeń i ataków.
• Zapewnienie ochrony wewnątrz sieci i poza nią. Właściwa strategia bezpieczeństwa powinna uwzględniać zasoby przeznaczone na wykrywanie ataków i reagowanie na nie, aby umożliwić zablokowanie działań cyberprzestępczych, zanim uderzą w obiekty o znaczeniu krytycznym.
