Η Παγκόσμια Ομάδα Έρευνας και Ανάλυσης της Kaspersky Lab έχει ανακαλύψει ένα νέο, εξελιγμένο wiper (κακόβουλο λογισμικό που διαγράφει αρχεία), με το όνομα StoneDrill.
Ακριβώς όπως ένα άλλο διαβόητο wiper, το Shamoon, καταστρέφει ό,τι υπάρχει σε έναν «μολυσμένο» υπολογιστή. Το StoneDrill διαθέτει επίσης προηγμένες τεχνικές αντι-ανίχνευσης και εργαλεία κατασκοπείας στο οπλοστάσιό του. Εκτός από τους στόχους στη Μέση Ανατολή, ένας στόχος του StoneDrill έχει επίσης ανακαλυφθεί και στην Ευρώπη, όπου τα wipers που χρησιμοποιούνται στη Μέση Ανατολή δεν είχαν προηγουμένως εντοπιστεί σε ελεύθερη κατάσταση.
Το 2012, το wiper Shamoon (επίσης γνωστό και ως Disttrack) τράβηξε την προσοχή καταστρέφοντας περίπου 35.000 υπολογιστές σε μια εταιρεία πετρελαίου και φυσικού αερίου στη Μέση Ανατολή. Αυτή η καταστροφική επίθεση άφησε το 10% των προμηθειών πετρελαίου παγκοσμίως σε δυνητικό κίνδυνο. Ωστόσο, το περιστατικό ήταν μοναδικό στο είδος του, και μετά από αυτό ο φορέας έπαψε τη λειτουργία του. Στα τέλη του 2016, επέστρεψε με τη μορφή Shamoon 2.0 - μια αρκετά πιο εκτεταμένη κακόβουλη εκστρατεία που χρησιμοποιεί μια «βαρέως» ενημερωμένη έκδοση του κακόβουλου λογισμικού από το 2012.
Διερευνώντας αυτές τις επιθέσεις, οι ερευνητές της Kaspersky Lab εντόπισαν απρόσμενα ένα κακόβουλο λογισμικό που διαμορφώθηκε σε ένα παρόμοιο ύφος με το Shamoon 2.0. Ταυτόχρονα, ήταν πολύ διαφορετικό και πιο εξελιγμένο από το Shamoon. Το ονόμασαν StoneDrill.
StoneDrill – ένα wiper με διασυνδέσεις
Δεν είναι ακόμη γνωστό πώς διαδίδεται το StoneDrill, αλλά μόλις επιτεθεί στην συσκευή-στόχο, το ίδιο εγχέεται στο σύστημα καταγραφής της μνήμης του επιλεγμένου προγράμματος περιήγησης του χρήστη. Κατά τη διάρκεια αυτής της διαδικασίας, χρησιμοποιεί δύο εξελιγμένες τεχνικές αντί-εξομοίωσης με στόχο να ξεγελάσει τις λύσεις ασφάλειας που είναι εγκατεστημένες στον υπολογιστή του θύματος. Το κακόβουλο λογισμικό στη συνέχεια ξεκινά την καταστροφή των αρχείων του δίσκου του υπολογιστή.
Μέχρι στιγμής, τουλάχιστον δύο στόχοι του wiper StoneDrill έχουν ταυτοποιηθεί, ένα με έδρα στη Μέση Ανατολή και το άλλο στην Ευρώπη.
Εκτός από τη λειτουργία διαγραφής αρχείων, οι ερευνητές της Kaspersky Lab έχουν εντοπίσει επίσης ένα backdoor του StoneDrill, το οποίο φαίνεται να έχει αναπτυχθεί από τους ίδιους τους δημιουργούς του κώδικα και χρησιμοποιείται για λόγους κατασκοπείας. Οι ειδικοί ανακάλυψαν τέσσερις πίνακες εντολών και ελέγχου που χρησιμοποιήθηκαν από επιτιθέμενους για να διευθύνουν επιχειρήσεις κατασκοπείας με τη βοήθεια του backdoor του StoneDrill εναντίον ενός άγνωστου αριθμόυ στόχων.
Ίσως το πιο ενδιαφέρον γεγονός αναφορικά με το StoneDrill είναι ότι φαίνεται να συνδέεται με πολλά άλλα wipers και ενέργειες κατασκοπείας που παρατηρήθηκαν στο παρελθόν. Όταν οι ερευνητές της Kaspersky Lab ανακάλυψαν το StoneDrill με τη βοήθεια των κανόνων Yara που δημιουργήθηκαν για τον εντοπισμό αγνώστων δειγμάτων του Shamoon, συνειδητοποίησαν ότι έψαχναν ένα μοναδικό κομμάτι του κακόβουλου κώδικα που φαίνεται να έχει δημιουργηθεί χωριστά από το Shamoon. Ακόμα κι αν οι δύο οικογένειες - Shamoon και StoneDrill - δεν μοιράζονται την ίδια ακριβώς βάση κώδικα, η νοοτροπία των δημιουργών τους και το ύφος προγραμματισμού τους φαίνεται να είναι παρόμοια. Για τον λόγο αυτό ήταν και δυνατόν να εντοπιστεί το StoneDrill με τους κανόνες Yara που είχαν αναπτυχθεί για το Shamoon.
Παρατηρήθηκαν επίσης ομοιότητες στον κώδικα με παλαιότερα γνωστά κακόβουλα λογισμικά αλλά αυτή τη φορά όχι μεταξύ Shamoon και StoneDrill. Στην πραγματικότητα, το StoneDrill χρησιμοποιεί ορισμένα τμήματα κώδικα που έχουν εντοπιστεί προηγουμένως στο NewsBeef APT, γνωστό επίσης και ως Charming Kitten, άλλη μία εκστρατεία κακόβουλου λογισμικού με έντονη δράση τα τελευταία χρόνια.
«Το ενδιαφέρον μας για τις ομοιότητες και τις συγκρίσεις μεταξύ αυτών των τριών κακόβουλων δραστηριοτήτων ήταν πολύ μεγάλο. Ήταν το StoneDrill ακόμα ένα κακόβουλο πρόγραμμα που διαγράφει αρχεία ανεπτυγμένο από τον παράγοντα Shamoon; Ή οι StoneDrill και Shamoon είναι δύο διαφορετικές και ασύνδετες ομάδες που απλά έτυχε να στοχεύουν οργανισμούς στη Σαουδική Αραβία την ίδια στιγμή; Ή, δύο ομάδες οι οποίες είναι ξεχωριστές αλλά ευθυγραμμίζονται όσον αφορά στους στόχους τους; Η τελευταία θεωρία είναι η πιο πιθανή: αναφορικά με τα ευρήματα μπορούμε να πούμε ότι, ενώ το Shamoon ενσωματώνει γλωσσικά τμήματα από Αραβικούς πόρους, καθώς και πόρους από την Υεμένη, το StoneDrill ενσωματώνει κυρίως γλωσσικά τμήματα πόρων Περσικής προέλευσης. Οι γεωπολιτικοί αναλυτές πιθανότατα θα επισήμαναν γρήγορα ότι τόσο το Ιράν όσο και η Υεμένη είναι παίκτες στον « πόλεμο μέσω αντιπροσώπων» ανάμεσα στο Ιράν και τη Σαουδική Αραβία, και η Σαουδική Αραβία είναι η χώρα όπου βρέθηκαν τα περισσότερα θύματα των πράξεων αυτών. Αλλά φυσικά, δεν αποκλείουμε την πιθανότητα αυτά τα ευρήματα να είναι “false flags”», δήλωσε ο David Emm, Senior Security Researcher της Kaspersky Lab.
