StoneDrill, virusul care îți infectează browserul și apoi îți șterge fișierele

de: Octavian Palade
06 03. 2017

Shamoon este unul dintre cei mai distrugători viruși, un malware de spionaj capabil să șteargă fișierele din orice computer infectat după ce le-a trimis către cei care se află în spatele atacului. StoneDrill a fost găsit întâmplător, în timp ce experții Kaspersky analizau mostre de Shamoon 2.0, și e un malware similar.

În 2012, programul malware Shamoon (cunoscut și ca Disttrack) a făcut mare vâlvă după distrugerea a aproximativ 35.000 de computere dintr-o companie de petrol și gaze din Orientul Mijlociu. Acest atac devastator a pus 10% din petrolul furnizat la nivel mondial în pericol. Incidentul a fost, însă, unic și după aceea nu s-a mai auzit nimic despre acest “actor” din zona amenințărilor. Totuși, la sfârșitul anului 2016, el a revenit sub forma Shamoon 2.0 – o campanie malware mult mai extinsă, care folosește o versiune actualizată a programului din 2012.

În timpul cercetării, experții Kaspersky Lab au descoperit, în mod neașteptat, un malware construit similar cu Shamoon 2.0. În același timp, era foarte diferit și mult mai sofisticat decât Shamoon. Pe acesta l-au denumit StoneDrill.

Înainte de a intra în detalii, merită menționat că atât Shamoon cât și StoneDrill fact parte dintr-o categorie denumită ”wiper”, fiind viruși care șterg fișierele odată ce termină cu ele. Pe parcursul timpului nu au fost descoperiți multe astfel de amenințări – majoritatea celor care folosesc malware pentru spionaj au tot interesul de a rămâne nedetectați pe când, în momentul în care victima observă că îi lipsesc fișiere se gândește că PC-ul a fost compromis.

Shamoon 2.0 a lovit industriile din Orientul Mijlociu și, în timp ce îi analizau codul, cei de la Kaspersky au descoperit virusul StoneDrill, cele două programe malițioase fiind similare în ceea ce privește construcția și modul de operare. Nu se știe, deocamdată, câte pagube a făcut StoneDrill, dar au fost identificate mai multe victime: pe lângă o serie de ținte din Arabia Saudită, a fost afectată și o entitate din Europa.

Cercetătorii Kaspersky nu au putut oferi mai multe informații privind victimele, însă au dat câteva detalii despre cum reușește acest virus să se infiltreze într-un calculator.

Aceștia au descoperit că, spre deosebire de Shamoon 2.0, care se injecta în drivere legitime pentru a infecta, StoneDrill infectează direct browserul victimei, după care începe să șteargă mai multe fișiere. StoneDrill are capacitatea de a se ascunde de limitele sandboxurilor. Nu se știe exact originea lui, însă cercetătorii au descoperit bucăți de cod în limba persană.

În afară de modulele care șterg fișiere, cercetătorii Kaspersky Lab au descoperit și un backdoor StoneDrill, dezvoltat, aparent, de aceiași autori și folosit pentru spionaj. Experții au descoperit patru panouri de comandă și control, folosite de atacatori pentru operațiuni de spionaj, cu ajutorul backdoor-ului StoneDrill, împotriva unui număr necunoscut de ținte.

Totuși, analizând modul în care StoneDrill reușește să se infiltreze, cei de la echipa GREAT au reușit să găsească o legătură cu gruparea iraniană NewsBeef care se ocupa cu adunarea de informații de la diverse persoane de interes, inclusiv istoricul browserului.

Revenind un pic la Shamoon 2.0, experții Kaspersky au descoperit că acesta integrează și o componentă ransomware care poate fi activată sau dezactivată în funcție de cum își doresc atacatorii.

Cert este că viruși precum Shamoon și StoneDrill sunt extrem de periculoși, deoarece nu numai că fură informații de interes, dar au și capacitatea de a bloca industrii întregi prin distrugerea întregii rețele de computere.

“Am fost intrigați de asemănările dintre acete trei operațiuni. A fost StoneDrill un alt program de tip wiper dezvoltat de cei din spatele Shamoon? Sau StoneDrill și Shamoon sunt două grupuri diferite, care nu au nicio legătură, și s-a întâmplat să vizeze organizații din Arabia Saudită în același timp? Sau cele două grupuri sunt diferite, dar unite prin aceleași obiective? Ultima teorie pare cea mai plauzibilă: când vine vorba de instrumentele folosite, putem spune că Shamoon folosește secțiuni în limba arabă yemenită, în timp ce StoneDrill are, majoritar, secțiuni în limba persană. Analiștii geopolitici ar sublinia, probabil, faptul că atât Iran, cât și Yemen sunt implicate în conflictul dintre Iran și Arabia Saudită, iar Arabia Saudită este țara unde au fost găsite cele mai multe victime ale acestor operațiuni. Dar, desigur, nu excludem posibilitatea ca aceste indicii să fie încercări de a ne induce în eroare”, a spus Mohamad Amin Hasbini, Senior Security Researcher, Global Research and Analysis Team, Kaspersky Lab.

Produsele Kaspersky Lab detectează și blochează programul malware care are legătură cu Shamoon, StoneDrill și NewsBeef.