Echipa globala de cercetare si analiza de la Kasperky Lab a descoperit un nou val de malware complex de tip wiper, denumit StoneDrill, care distruge totul de pe computerul infectat. StoneDrill are, de asemenea, tehnici avansate anti-detectie si instrumente de spionaj in arsenal. In afara de tintele din Orientul Mijlociu, a fost descoperita una si in Europa, unde programele de tip wiper folosite in Orientul Mijlociu nu fusesera detectate anterior.
In 2012, programul malware Shamoon (cunoscut si ca Disttrack) a facut mare valva dupa distrugerea a aproximativ 35.000 de computere dintr-o companie de petrol si gaze din Orientul Mijlociu. Acest atac devastator a pus 10% din petrolul furnizat la nivel mondial in pericol. Incidentul a fost, insa, unic si dupa aceea nu s-a mai auzit nimic despre acest “actor” din zona amenintarilor. Totusi, la sfarsitul anului 2016, el a revenit sub forma Shamoon 2.0 – o campanie malware mult mai extinsa, care foloseste o versiune actualizata a programului din 2012.
In timpul cercetarii, expertii Kaspersky Lab au descoperit, in mod neasteptat, un malware construit similar cu Shamoon 2.0. In acelasi timp, era foarte diferit si mult mai sofisticat decat Shamoon. Pe acesta l-au denumit StoneDrill.
StoneDrill – un program wiper cu conexiuni
Inca nu se stie cum se raspandeste StoneDrill, dar odata ajuns pe dispozitivul atacat, se infiltreaza in memoria browser-ului preferat de utilizator. In decursul acestui proces, foloseste doua tehnici complexe pentru a evita detectia de catre solutiile de securitate instalate pe dispozitivul victimei. Apoi, programul malware incepe sa distruga fisierele de pe computer. Pana acum, au fost identificate cel putin doua tinte StoneDrill, una localizata in Orientul Mijlociu, iar alta in Europa.
In afara de modulele care sterg fisiere, cercetatorii Kaspersky Lab au descoperit si un backdoor StoneDrill, dezvoltat, aparent, de aceiasi autori si folosit pentru spionaj. Expertii au descoperit patru panouri de comanda si control, folosite de atacatori pentru operatiuni de spionaj, cu ajutorul backdoor-ului StoneDrill, impotriva unui numar necunoscut de tinte.
Probabil lucrul cel mai interesant despre StoneDrill este ca pare sa aiba legaturi cu alte operatiuni de tip wiper si spionaj studiate anterior. Atunci cand cercetatorii Kaspersky Lab au descoperit StoneDrill cu ajutorul regulilor Yara create pentru a identifica mostre necunoscute din Shamoon, si-au dat seama ca studiau un cod malware unic. Acesta parea sa fie creat independent de Shamoon. Chiar daca cele doua familii – Shamoon si StoneDrill – nu au aceeasi baza de cod, gandirea autorilor si “stilul” de programare par sa fie similare. Acest lucru a facut posibila identificarea StoneDrill cu ajutorul regulilor Yara dezvoltate pentru Shamoon.
De asemenea, au fost observate similitudini de cod cu alte programe malware mai vechi, dar de data aceasta nu intre Shamoon si StoneDrill. StoneDrill foloseste anumite parti de cod detectate anterior in NewsBeef APT, cunoscut si ca Charming Kitten – o alta campanie malware activa in ultimii ani.
“Am fost intrigati de asemanarile dintre aceste trei operatiuni. A fost StoneDrill un alt program de tip wiper dezvoltat de cei din spatele Shamoon? Sau StoneDrill si Shamoon sunt doua grupuri diferite, care nu au nicio legatura, si s-a intamplat sa vizeze organizatii din Arabia Saudita in acelasi timp? Sau cele doua grupuri sunt diferite, dar unite prin aceleasi obiective? Ultima teorie pare cea mai plauzibila: cand vine vorba de instrumentele folosite, putem spune ca Shamoon foloseste sectiuni in limba araba yemenita, in timp ce StoneDrill are, majoritar, sectiuni in limba persana. Analistii geopolitici ar sublinia, probabil, faptul ca atat Iran, cat si Yemen sunt implicate in conflictul dintre Iran si Arabia Saudita, iar Arabia Saudita este tara unde au fost gasite cele mai multe victime ale acestor operatiuni. Dar, desigur, nu excludem posibilitatea ca aceste indicii sa fie incercari de a ne induce in eroare”, a spus Mohamad Amin Hasbini, Senior Security Researcher, Global Research and Analysis Team, Kaspersky Lab.
Banking 4.0 – „how was the experience for you”
„So many people are coming here to Bucharest, people that I see and interact on linkedin and now I get the change to meet them in person. It was like being to the Football World Cup but this was the World Cup on linkedin in payments and open banking.”
Many more interesting quotes in the video below: