Στον απόηχο των επιθέσεων του κακόβουλου λογισμικού Shamoon, ένα νέο wiper στοχοποιεί τη Μέση Ανατολή και δείχνει ενδιαφέρον και για ευρωπαϊκούς στόχους
Η Παγκόσμια Ομάδα Έρευνας και Ανάλυσης της Kaspersky Lab έχει ανακαλύψει ένα νέο, εξελιγμένο wiper (κακόβουλο λογισμικό που διαγράφει αρχεία), με το όνομα StoneDrill. Ακριβώς όπως ένα άλλο διαβόητο wiper, το Shamoon, καταστρέφει ό,τι υπάρχει σε έναν «μολυσμένο» υπολογιστή. Το StoneDrill διαθέτει επίσης προηγμένες τεχνικές αντι-ανίχνευσης και εργαλεία κατασκοπείας στο οπλοστάσιό του. Εκτός από τους στόχους στη Μέση Ανατολή, ένας στόχος του StoneDrill έχει επίσης ανακαλυφθεί και στην Ευρώπη, όπου τα wipers που χρησιμοποιούνται στη Μέση Ανατολή δεν είχαν προηγουμένως εντοπιστεί σε ελεύθερη κατάσταση.
Το 2012, το wiper Shamoon (επίσης γνωστό και ως Disttrack) τράβηξε την προσοχή καταστρέφοντας περίπου 35.000 υπολογιστές σε μια εταιρεία πετρελαίου και φυσικού αερίου στη Μέση Ανατολή. Αυτή η καταστροφική επίθεση άφησε το 10% των προμηθειών πετρελαίου παγκοσμίως σε δυνητικό κίνδυνο. Ωστόσο, το περιστατικό ήταν μοναδικό στο είδος του, και μετά από αυτό ο φορέας έπαψε τη λειτουργία του. Στα τέλη του 2016, επέστρεψε με τη μορφή Shamoon 2.0 - μια αρκετά πιο εκτεταμένη κακόβουλη εκστρατεία που χρησιμοποιεί μια «βαρέως» ενημερωμένη έκδοση του κακόβουλου λογισμικού από το 2012.
Διερευνώντας αυτές τις επιθέσεις, οι ερευνητές της Kaspersky Lab εντόπισαν απρόσμενα ένα κακόβουλο λογισμικό που διαμορφώθηκε σε ένα παρόμοιο ύφος με το Shamoon 2.0. Ταυτόχρονα, ήταν πολύ διαφορετικό και πιο εξελιγμένο από το Shamoon. Το ονόμασαν StoneDrill.
StoneDrill – ένα wiper με διασυνδέσεις
Δεν είναι ακόμη γνωστό πώς διαδίδεται το StoneDrill, αλλά μόλις επιτεθεί στην συσκευή-στόχο, το ίδιο εγχέεται στο σύστημα καταγραφής της μνήμης του επιλεγμένου προγράμματος περιήγησης του χρήστη. Κατά τη διάρκεια αυτής της διαδικασίας, χρησιμοποιεί δύο εξελιγμένες τεχνικές αντί-εξομοίωσης με στόχο να ξεγελάσει τις λύσεις ασφάλειας που είναι εγκατεστημένες στον υπολογιστή του θύματος. Το κακόβουλο λογισμικό στη συνέχεια ξεκινά την καταστροφή των αρχείων του δίσκου του υπολογιστή.
Μέχρι στιγμής, τουλάχιστον δύο στόχοι του wiper StoneDrill έχουν ταυτοποιηθεί, ένα με έδρα στη Μέση Ανατολή και το άλλο στην Ευρώπη.
Εκτός από τη λειτουργία διαγραφής αρχείων, οι ερευνητές της Kaspersky Lab έχουν εντοπίσει επίσης ένα backdoor του StoneDrill, το οποίο φαίνεται να έχει αναπτυχθεί από τους ίδιους τους δημιουργούς του κώδικα και χρησιμοποιείται για λόγους κατασκοπείας. Οι ειδικοί ανακάλυψαν τέσσερις πίνακες εντολών και ελέγχου που χρησιμοποιήθηκαν από επιτιθέμενους για να διευθύνουν επιχειρήσεις κατασκοπείας με τη βοήθεια του backdoor του StoneDrill εναντίον ενός άγνωστου αριθμόυ στόχων.
Ίσως το πιο ενδιαφέρον γεγονός αναφορικά με το StoneDrill είναι ότι φαίνεται να συνδέεται με πολλά άλλα wipers και ενέργειες κατασκοπείας που παρατηρήθηκαν στο παρελθόν. Όταν οι ερευνητές της Kaspersky Lab ανακάλυψαν το StoneDrill με τη βοήθεια των κανόνων Yara που δημιουργήθηκαν για τον εντοπισμό αγνώστων δειγμάτων του Shamoon, συνειδητοποίησαν ότι έψαχναν ένα μοναδικό κομμάτι του κακόβουλου κώδικα που φαίνεται να έχει δημιουργηθεί χωριστά από το Shamoon. Ακόμα κι αν οι δύο οικογένειες - Shamoon και StoneDrill - δεν μοιράζονται την ίδια ακριβώς βάση κώδικα, η νοοτροπία των δημιουργών τους και το ύφος προγραμματισμού τους φαίνεται να είναι παρόμοια. Για τον λόγο αυτό ήταν και δυνατόν να εντοπιστεί το StoneDrill με τους κανόνες Yara που είχαν αναπτυχθεί για το Shamoon.
Παρατηρήθηκαν επίσης ομοιότητες στον κώδικα με παλαιότερα γνωστά κακόβουλα λογισμικά αλλά αυτή τη φορά όχι μεταξύ Shamoon και StoneDrill. Στην πραγματικότητα, το StoneDrill χρησιμοποιεί ορισμένα τμήματα κώδικα που έχουν εντοπιστεί προηγουμένως στο NewsBeef APT, γνωστό επίσης και ως Charming Kitten, άλλη μία εκστρατεία κακόβουλου λογισμικού με έντονη δράση τα τελευταία χρόνια.
«Το ενδιαφέρον μας για τις ομοιότητες και τις συγκρίσεις μεταξύ αυτών των τριών κακόβουλων δραστηριοτήτων ήταν πολύ μεγάλο. Ήταν το StoneDrill ακόμα ένα κακόβουλο πρόγραμμα που διαγράφει αρχεία ανεπτυγμένο από τον παράγοντα Shamoon; Ή οι StoneDrill και Shamoon είναι δύο διαφορετικές και ασύνδετες ομάδες που απλά έτυχε να στοχεύουν οργανισμούς στη Σαουδική Αραβία την ίδια στιγμή; Ή, δύο ομάδες οι οποίες είναι ξεχωριστές αλλά ευθυγραμμίζονται όσον αφορά στους στόχους τους; Η τελευταία θεωρία είναι η πιο πιθανή: αναφορικά με τα ευρήματα μπορούμε να πούμε ότι, ενώ το Shamoon ενσωματώνει γλωσσικά τμήματα από Αραβικούς πόρους, καθώς και πόρους από την Υεμένη, το StoneDrill ενσωματώνει κυρίως γλωσσικά τμήματα πόρων Περσικής προέλευσης. Οι γεωπολιτικοί αναλυτές πιθανότατα θα επισήμαναν γρήγορα ότι τόσο το Ιράν όσο και η Υεμένη είναι παίκτες στον « πόλεμο μέσω αντιπροσώπων» ανάμεσα στο Ιράν και τη Σαουδική Αραβία, και η Σαουδική Αραβία είναι η χώρα όπου βρέθηκαν τα περισσότερα θύματα των πράξεων αυτών. Αλλά φυσικά, δεν αποκλείουμε την πιθανότητα αυτά τα ευρήματα να είναι “false flags”», δήλωσε ο David Emm, Senior Security Researcher της Kaspersky Lab.
Τα προϊόντα της Kaspersky Lab εντοπίζουν και εμποδίζουν το κακόβουλο λογισμικό που σχετίζεται με τα Shamoon, StoneDrill και NewsBeef.
Για την προστασία των οργανισμών από τέτοιου είδους επιθέσεις, οι ειδικοί σε θέματα ασφάλειας της Kaspersky Lab συμβουλεύουν τα εξής:
Να πραγματοποιούν αξιολόγηση ασφάλειας του δικτύου ελέγχου (δηλαδή, έναν έλεγχο ασφάλειας, δοκιμές διείσδυσης, ανάλυση κενού) για τον εντοπισμό και την απομάκρυνση τυχόν κενών ασφαλείας. Επίσης, συνίσταται η επανεξέταση των εξωτερικών προμηθευτών και των πολιτικών ασφαλείας τρίτων σε περίπτωση που έχουν άμεση πρόσβαση στο δίκτυο ελέγχου.
Να ζητάνε εξωτερική Πληροφόρηση: η πληροφόρηση από αξιόπιστους προμηθευτές βοηθά τους οργανισμούς να προβλέψουν τις μελλοντικές επιθέσεις στη βιομηχανική υποδομή της εταιρείας. Οι ομάδες αντιμετώπισης καταστάσεων έκτακτης ανάγκης, όπως η ομάδα ICS CERT της Kaspersky Lab, παρέχουν διεπαγγελματική Πληροφόρηση δωρεάν.
Εκπαιδεύστε τους υπαλλήλους σας, δίνοντας ιδιαίτερη προσοχή στο λειτουργικό και τεχνικό προσωπικό και στην ευαισθητοποίηση του γύρω από τις πρόσφατες απειλές και επιθέσεις.
Παροχή προστασίας μέσα και έξω από την περίμετρο. Μια σωστή στρατηγική ασφάλειας πρέπει να διαθέτει σημαντικούς πόρους για την ανίχνευση επίθεσης και αντίδραση προκειμένου να εμποδίσει μια επίθεση πριν φτάσει σε ιδιαιτέρως σημαντικά και κρίσιμα αντικείμενα.
Να αξιολογείτε προηγμένες μεθόδους προστασίας: συμπεριλαμβανομένων των τακτικών ελέγχων ακεραιότητας για τους ελεγκτές, καθώς και εξειδικευμένη παρακολούθηση του δικτύου για την αύξηση της συνολικής ασφάλειας της εταιρείας και μείωση των πιθανοτήτων μιας επιτυχούς παραβίασης, ακόμα και αν κάποιοι εγγενώς ευάλωτοι κόμβοι δεν μπορούν να επιδιορθωθούν ή να αφαιρεθούν.
Για περισσότερες πληροφορίες σχετικά με τα Shamoon 2.0 και StoneDrill, μπορείτε να διαβάσετε το blogpost διαθέσιμο στον ειδικό ιστότοπο Securelist.com. Περισσότερες πληροφορίες σχετικά με τις επιθέσεις του Shamoon μπορείτε να βρείτε εδώ.
Αρκετές ιδιωτικές εκθέσεις Πληροφόρησης σχετικά με τα Shamoon, StoneDrill και NewsBeef είναι διαθέσιμες στους συνδρομητές της υπηρεσίας «Private Intelligence Reports» της Kaspersky Lab. Για περισσότερες πληροφορίες, οι ενδιαφερόμενοι μπορούν να επικοινωνήσουν στο: intelreports@kaspersky.com.