Саудовскую Аравию атакуют новым зловредом StoneDrill
Сегодня специалисты «Лаборатории Касперского» сообщили про обнаружение нового сложного зловреда, который уничтожает все данные на компьютере жертвы. Зловредное программное обеспечение получило название StoneDrill, и оно не только удаляет информацию с жестких дисков, но и шпионит за жертвами. Также эта программа умеет скрываться от инструментов обнаружения, которыми оснащены антивирусные продукты.
По мнению экспертов «Лаборатории Касперского», StoneDrill очень похож на еще один вирус, который нанес много вреда пользовательским и корпоративным компьютерам в 2012 году. Речь идет о программе Shamoon (также известной, как Disttrack). Этому вирусу удалось нарушить работу около 35 тысяч компьютеров только в нефтегазовой компании Saudi Aramco, работающей на Ближнем Востоке. Восстановить нормальную работу этой организации удалось только через 10 дней после заражения. Сколько компьютеров зловред поразил в других компаниях и регионах, точно неизвестно.
Из-за столь массированного удара деятельности компании был нанесен значительный ущерб, что повлияло на работу всей нефтегазовой промышленности не только Саудовской Аравии, но и мира. Почти сразу после этого случая разработчики Shamoon прекратили свою деятельность, распространение вируса тоже сошло на нет. Сейчас, как считают специалисты из «Лаборатории Касперского», появился схожий вирус, который оснащен рядом дополнительных модулей, расширяющих функциональность ПО.
Правда, считать Shamoon и StoneDrill разными версиями одного и того же вируса не стоит. Дело в том, что принцип их работы все же отличается. Общая черта у этого ПО — умение скрываться от антивирусов. Самой «Лаборатории Касперского» вирус удалось обнаружить благодаря использованию нескольких правил детектирования целевых атак, которые были созданы для обнаружения Shamoon, причем уже второй версии. Дело в том, что Shamoon в прошлом году вернулся, и снова начал атаковать компьютеры компаний в Саудовской Аравии. Для обнаружения Shamoon 2.0 были разработаны конкретные инструменты детектирования, при помощи которых эксперты по информационной безопасности нашли еще один зловред, доселе неизвестный. Это и есть StoneDrill.
Сам вирус удалось выявить, но вот многие детали его работы остаются пока неизвестными. Это, к примеру, способ распространения зловреда. Тем не менее, экспертам удалось узнать, как StoneDrill остается незамеченным антивирусным ПО. Для этого используются две антиэмуляционных технологии, которые позволяют вирусу избегать обнаружения по поведению. При попадании на ПК жертвы StoneDrill сразу же встраивается в процесс памяти основного для этого конкретного компьютера браузера. После этого вирус начинает уничтожать файлы на жестком диске и шпионить за жертвами. Сотрудникам «Лаборатории Касперского» удалось обнаружить четыре сервера, при помощи которых злоумышленники ведут наблюдение.
Небольшой участок кода зловреда в анализируемом файле
Что касается сходства Shamoon и StoneDrill, то сходных черт у зловредов достаточно много, хотя делали их, насколько можно судить, разные команды. Отличие в том, что в коде Shamoon есть йеменский вариант арабского языка, а в StoneDrill обнаружился персидский язык. Из этого специалисты по кибербезопасности делают предположение, что за разработкой зловредов стоят иранские и йеменские разработчики, которые могут быть заинтересованы в том, чтобы причинить максимальный ущерб компаниям из Саудовской Аравии. Дело в том, что именно в этом регионе наблюдается максимальное количество жертв атак Stone Drill и Shamoon. Но это лишь предположение, которое может и не иметь под собой реальных оснований. В то же время, саудовские власти обвиняют в проведении атаки Иран.
Сотрудники «Лаборатории Касперского» после детального анализа смогли выяснить некоторые важные детали атак с использованием Shamoon и StoneDrill:
- В состав Shamoon 2.0 был добавлен модуль программы-вымогателя. Модуль пока неактивен, но злоумышленники в состоянии активировать его в любой момент;
- У Shamoon, новой его версии, нет модуля коммуникации с командным сервером, а вот предыдущие версии зловреда включали этот модуль;
- StoneDrill использует для получения доступа к компьютере жертвы память браузера, о чем говорилось выше. А вот Shamoon работает с драйверами.
Существенное отличие StoneDrill еще в том, что этот вирус был замечен в ходе атаки на компьютерные сети неназванной европейской организации. Таким образом, этот зловред может быть разработан командой, зоны интереса которой не только Саудовская Аравия, но и Европа.
В «Лаборатории Касперского» отмечают схожесть активности StoneDrill с работой еще одного зловреда, NewsBeef. Этот вирус уже долгое время атакует компьютеры и компьютерные сети организаций в Саудовской Аравиии. Эксперты компании считают, что Shamoon может быть эффективным инструментом кратковременного применения, в то время, как NewsBeef и StoneDrill — инструменты долгосрочного воздействия.
Подробнее о новой угрозе «Лаборатория Касперского» планирует рассказать на конференции Kaspersky Security Analyst Summit 2–6 апреля 2017 года.