Od Shamoon-a do StoneDrill-a – otkriven novi, napredni malver za brisanje

Globalni tim za istraživanje i analizu kompanije Kaspersky Lab otkrio je novi, napredniji malver koji briše fajlove na zaraženim računarima, a zove se StoneDrill. Kao i drugi programi za brisanje podataka, uništava sve na zaraženom računaru. StoneDrill, takođe u svojoj osnovi, podrazumeva i naprednu tehniku skrivanja i alatke za špijunažu. Pored meta na Bliskom istoku, jedna od meta StoneDrill-a otkrivena je i u Evropi, gde programi za brisanje koji su korišćeni na Bliskom istoku, nisu prethodno primećeni.

Tokom 2012. godine, malver Shamoon (poznat i kao Disttrack), bio je u žiži interesovanja, jer je napao oko 35.000 kompjutera u kompaniji koja se bavi proizvodnjom nafte i gasa na Bliskom istoku. Ovaj strahoviti napad je doveo do toga da je 10 odsto rezervi svetske nafte bilo, potencijalno, izloženo riziku. Ipak, takav incident se desio jednom, i posle toga je izvršilac istog nestao. U drugom delu 2016. godine se vratio kao Shamoon 2.0 – u mnogo većoj meri maliciozna kampanja koja je koristila apdejtovanu verziju malvera iz 2012. godine.

 

Prilikom proučavanja ovih napada, istraživači kompanije Kaspersky Lab, neočekivano su naišli na malver koji je bio sličnog „stila” kao Shamoon 2.0. U isto vreme, bio je puno drugačiji i napredniji u odnosu na Shamoon. Nazvali su ga StoneDrill.

 

StoneDrill

 

Ne zna se još kako se StoneDrill širi, ali jednom kada napadne mašinu, ulazi u memoriju korisnikovog izabranog pretraživača. Tokom ovog procesa koristi dve napredne tehnike skrivanja kojima prevari zaštitu instaliranu na kompjuteru žrtve. Malver onda počne da uništava fajlove na kompjuteru.

 

Za sada su, najmanje, dve žrtve StoneDrill-a identifikovane, jedna na Bliskom istoku i druga u Evropi.

 

Pored modula za brisanje, istraživači kompanije Kaspersky Lab su takođe pronašli da su malver StoneDrill backdoor očigledno razvili isti kreatori kodova i da može biti korišćen i u svrhe špijuniranja. Stručnjaci su otkrili četiri komande i kontrolna panela koji su napadači koristili da špijuniraju nepoznati broj „meta”uz pomoć StoneDrill backdoor-a.

 

Možda je najinteresantnija stvar kod StoneDrill-a to što se čini da ima veze sa nekolicinom drugih programa za brisanje i špijunskih operacija koje su primećene ranije. Kada su istraživači kompanije Kaspersky Lab otkrili StoneDrill uz pomoć Yara-pravila koja su napravljena da bi pronašla nepoznate primere Shamoon-a, shvatili su da pred sobom imaju jedinstveni primerak malicioznog koda koji je, izgleda, bio kreiran nezavisno od Shamoon-a. Iako dve porodice – Shamoon i StoneDrill – ne dele istu bazu kodova, ideje autora i njihov „stil” programiranja deluju slično. Zato je bilo moguće identifikovati StoneDrill uz pomoć Yara pravila razvijenih posebno za Shamoon.

 

Sličnosti kodova u odnosu na starije poznate malvere takođe su uočene, ali ovaj put ne između Shamoon-a i StoneDrilla-. Zapravo, StoneDrill koristi neke delove koda koji je ranije primećen u NewsBeef APT, takođe poznat i kao Charming Kitten („šarmirajuće mače“) – još jedna maliciozna kampanja koja je bila aktivna u poslednjih nekoliko godina.

 

„Bili smo veoma intrigirani sličnostima i poređenjima između ove tri zlonamerne operacije. Da li je StoneDrill bio još jedan malver razvijen od tvoraca Shamoon-a? Ili su StoneDrill i Shamoon dve različite i nepovezane grupe koje sasvim slučajno napadaju saudijske organizacije u isto vreme? Ili, dve grupe koje su razdvojene ali imaju iste ciljeve? Druga teorija je najverovatnija: kada su u pitanju činjenice, može se reći da dok Shamoon napada teritorije arabijsko-jemenskog govornog područja, StoneDrill napada, u najvećem broju, persijsko govorno područje. Analitičari geopolitike bi verovatno brzo istakli da su i Iran i Jemen učesnici u sukobu između Irana i Saudijske Arabije, a da je u Saudijskoj Arabiji pronađen najveći broj „žrtava” ovih operacija. Ali, naravno, ne isključujemo ni mogućnost da je ovo sve samo dizanje prašine”, izjavio je Muhamed Amin Hasbini (Mohamad Amin Hasbini), viši istraživač bezbednosti u okviru tima za globalna istraživanja i analizu u kompaniji Kaspersky Lab.

 

 

Proizvodi kompanije Kaspersky Lab uspešno otkrivaju i blokiraju malvere koji su povezni sa malverima Shamoon, StoneDrill i NewsBeef.

 

U cilju zaštite organizacija od takvih napada, bezbednosni stručnjaci kompanije Kaspersky Lab savetuju sledeće:

 

  • Sprovesti procenu bezbednosti kontrolne mreže (tj. bezbednosnu reviziju, testiranje penetracije, analizu nedostataka) kako bi bili identifikovani i uklonjeni svi bezbednosni propusti. Pregledati spoljnog vendora i treću stranu bezbednosne politike u slučaju da imaju direktan pristup kontrolnoj mreži.
  • Zahtevanje eksternih obaveštenja: obaveštenja renomiranih vendora pomažu organizacijama da predvide buduće napade na industrijske infrastrukture kompanije. Timovi za reagovanje u vanrednim situacijama, kao što je ICS CERT kompanije Kaspersky Lab, daju neka besplatna obaveštenja o industriji.
  • Obučavajte svoje zaposlene, obraćajući posebno pažnju na operativni i inženjerski kadar i na njihovu svest o nedavnim pretnjama i napadima.
  • Obezbedite zaštitu unutar i van granica. Pravilna strategija bezbednosti mora da podrazumeva značajna sredstva za detekciju napada i odgovor kako bi napad bio blokiran pre nego što dopre do kritički važnih objekta.
  • Procenite napredne metode zaštite: uključujući redovne kontrole integriteta kontrolora i specijalizovani monitoring mreže, kako bi se povećala ukupna bezbednost kompanije i smanjile šanse za uspešan prodor, čak i ako se neki inherntno ranjivi čvorovi ne mogu popraviti ili ukloniti.