În 2012, programul malware Shamoon (cunoscut și ca Disttrack) a făcut mare vâlvă după distrugerea a aproximativ 35.000 de computere dintr-o companie de petrol și gaze din Orientul Mijlociu. Acest atac devastator a pus 10% din petrolul furnizat la nivel mondial în pericol. Incidentul a fost, însă, unic și după aceea nu s-a mai auzit nimic despre acest “actor” din zona amenințărilor. Totuși, la sfârșitul anului 2016, el a revenit sub forma Shamoon 2.0 – o campanie malware mult mai extinsă, care folosește o versiune actualizată a programului din 2012.
În timpul cercetării, experții Kaspersky Lab au descoperit, în mod neașteptat, un malware construit similar cu Shamoon 2.0. În același timp, era foarte diferit și mult mai sofisticat decât Shamoon. Pe acesta l-au denumit StoneDrill.
StoneDrill – un program wiper cu conexiuni
Încă nu se știe cum se răspândește StoneDrill, dar odată ajuns pe dispozitivul atacat, se infiltrează în memoria browser-ului preferat de utilizator. În decursul acestui proces, folosește două tehnici complexe pentru a evita detecția de către soluțiile de securitate instalate pe dispozitivul victimei. Apoi, programul malware începe să distrugă fișierele de pe computer. Până acum, au fost identificate cel puțin două ținte StoneDrill, una localizată în Orientul Mijlociu, iar alta în Europa.
În afară de modulele care șterg fișiere, cercetătorii Kaspersky Lab au descoperit și un backdoor StoneDrill, dezvoltat, aparent, de aceiași autori și folosit pentru spionaj. Experții au descoperit patru panouri de comandă și control, folosite de atacatori pentru operațiuni de spionaj, cu ajutorul backdoor-ului StoneDrill, împotriva unui număr necunoscut de ținte.
Probabil lucrul cel mai interesant despre StoneDrill este că pare să aibă legături cu alte operațiuni de tip wiper și spionaj studiate anterior. Atunci când cercetătorii Kaspersky Lab au descoperit StoneDrill cu ajutorul regulilor Yara create pentru a identifica mostre necunoscute din Shamoon, și-au dat seama că studiau un cod malware unic. Acesta părea să fie creat independent de Shamoon. Chiar dacă cele două familii – Shamoon și StoneDrill – nu au aceeași bază de cod, gândirea autorilor și “stilul” de programare par să fie similare. Acest lucru a făcut posibilă identificarea StoneDrill cu ajutorul regulilor Yara dezvoltate pentru Shamoon.
De asemenea, au fost observate similitudini de cod cu alte programe malware mai vechi, dar de data aceasta nu între Shamoon și StoneDrill. StoneDrill folosește anumite părți de cod detectate anterior în NewsBeef APT, cunoscut și ca Charming Kitten – o altă campanie malware activă în ultimii ani.
“Am fost intrigați de asemănările dintre acete trei operațiuni. A fost StoneDrill un alt program de tip wiper dezvoltat de cei din spatele Shamoon? Sau StoneDrill și Shamoon sunt două grupuri diferite, care nu au nicio legătură, și s-a întâmplat să vizeze organizații din Arabia Saudită în același timp? Sau cele două grupuri sunt diferite, dar unite prin aceleași obiective? Ultima teorie pare cea mai plauzibilă: când vine vorba de instrumentele folosite, putem spune că Shamoon folosește secțiuni în limba arabă yemenită, în timp ce StoneDrill are, majoritar, secțiuni în limba persană. Analiștii geopolitici ar sublinia, probabil, faptul că atât Iran, cât și Yemen sunt implicate în conflictul dintre Iran și Arabia Saudită, iar Arabia Saudită este țara unde au fost găsite cele mai multe victime ale acestor operațiuni. Dar, desigur, nu excludem posibilitatea ca aceste indicii să fie încercări de a ne induce în eroare”, a spus Mohamad Amin Hasbini, Senior Security Researcher, Global Research and Analysis Team, Kaspersky Lab.
Produsele Kaspersky Lab detectează și blochează programul malware care are legătură cu Shamoon, StoneDrill și NewsBeef.
Pentru a proteja organizațiile de astfel de atacuri, experții în securitate de la Kaspersky Lab recomandă următoarele:
• Realizați o evaluare a securității rețelei (de exemplu, audit de securitate, teste de intruziune) pentru a identifica și a elimina orice breșă de securitate. Evaluați furnizorii externi și politicile de securitate ale partenerilor, în cazul în care aceștia au acces direct la rețeaua de control.
• Solicitați informații externe: datele provenite de la furnizori recunoscuți ajută organizațiile să prezică atacuri viitoare asupra infrastructurii industriale a companiei. Echipele pentru situații de urgență, cum sunt cele ICS CERT de la Kaspersky Lab, oferă informații pentru mai multe domenii, gratuit.
• Faceți training cu angajații, acordând o atenție specială personalului tehnic și operațional, care trebuie să fie la curent cu amenințări și atacuri recente.
• Protejați perimetrul intern și extern. O strategie de securitate corespunzătoare trebuie să acorde resurse considerabile detectării atacului și răspunsului în cazul acestuia, pentru a-l bloca înainte de a ajunge la obiective de importanță critică.
• Evaluați metodele de protecție avansată, inclusiv integritatea sistemelor de control, monitorizarea rețelei pentru a crește securitatea de ansamblu a companiei, și a reduce riscul unei breșe, chiar dacă anumite puncte vulnerabile nu pot fi remediate sau eliminate.