Jen krátce po doznění malwarových útoků Shamoon se objevila nová hrozba. V současnosti cílí na Blízký východ, ale v hledáčku má i evropské cíle. (TZ)
Global Research and Analyst Team společnosti Kaspersky Lab objevil nový sofistikovaný wiper malware, označovaný jako StoneDrill. Stejně jako Shamoon, jiný nechvalně známý wiper, ničí v infikovaných počítačích veškeré složky. Ve svém arzenálu má navíc pokročilé technologie, které znesnadňují jeho detekci, a nástroje umožňující špionáž. Doposud StoneDrill útočil na cíle na Blízkém východě, ale jeden útok už byl detekován i v Evropě.
V roce 2012 wiper Shamoon (známý také jako Disttrack) způsobil velký poprask tím, že vyřadil z provozu okolo 35 000 počítačů jedné ropné a plynařské společnosti na Blízkém východě. Tento rozsáhlý útok ochromil a ohrozil 10 % světových ropných dodávek. Jednalo se nicméně o ojedinělý útok, po kterém se pachatel v podstatě vytratil. Vynořil se znovu až na konci loňského roku s novou hrozbou Shamoon 2.0. Tato daleko rozsáhlejší zákeřná kampaň využívá notně vylepšenou verzi malwaru z roku 2012.
Experti Kaspersky Lab během prozkoumávání těchto útoků neočekávaně nalezli malware, který byl vytvořen v podobném „stylu“ jako Shamoon 2.0. Zároveň ale šlo o podstatně odlišnější a daleko sofistikovanější verzi než byl Shamoon. Proto tento nový malware nazvali StoneDrill.
StoneDrill – wiper s mnohými vazbami
Doposud není jasné, jak se StoneDrill šíří, ale jakmile se do napadeného zařízení dostane, ihned pronikne do paměti uživatelova oblíbeného prohlížeče. V průběhu tohoto procesu využívá dvě propracované anti-emulační techniky s cílem obejít bezpečnostní řešení nainstalovaná na zařízení oběti. Malware následně začne ničit složky na pevném disku počítače.
Prozatím byly detekovány minimálně dva cíle StoneDrillu – jeden na Blízkém východě a druhý v Evropě.
Kromě mazání obsahu pevného disku objevili experti Kaspersky Lab další funkci StoneDrillu – backdoor. S největší pravděpodobností byla vyvinuta stejnými programátory s cílem špionážního využití. Experti přišli na čtyři příkazové a kontrolní panely, které útočníci využili k neznámému počtu špionážních operací za pomoci StoneDrill backdoor.
To co je na StoneDrillu možná nejzajímavější, je fakt, že by mohla existovat spojitost mezi ním a dalšími wipery a špionážními operacemi, které byly pozorovány již dříve. Když totiž analytici Kaspersky Lab objevili StoneDrill prostřednictvím pravidel Yara vytvořených pro zjištění neznámých prvků Shamoonu, uvědomili si, že před sebou mají unikátní část škodlivého kódu, který byl vytvořen odděleně od Shamoonu. Ačkoliv se tyto dvě rodiny – Shamoon a StoneDrill – nezakládají na zcela shodném kódu, způsob uvažování jejich autorů a programátorský „styl“ se zdají být velmi podobné. Díky tomu tak mohl být StoneDrill identifikován na základě pravidel Yara vyvinutých pro Shamoon.
Kód se také shodoval s již dříve známým malwarem, nejednalo se ale o podobnosti mezi Shamoonem a StoneDrillem. Ve skutečnosti StoneDrill používá některé části kódu, které byly dříve zaznamenány i u NewsBeef APT, známého také jako Charming Kitten. Tato zákeřná kampaň je aktivní několik posledních let.
„Podobnosti a provázanost těchto tří zákeřných operací nás velmi zajímá. Je StoneDrill dalším wiperem nasazeným stejným aktérem jako Shamoon? Nebo jsou StoneDrill a Shamoon dvě odlišné a nepropojené skupiny, které pouze shodou náhod cílily ve stejnou chvíli na Saudské organizace? Nebo představují dvě samostatné skupiny sledující jeden cíl? Tato poslední teorie se zdá být nejpravděpodobnější. Pokud jde o lidské stopy v kódu, můžeme říct, že Shamoon vykazuje arabsko-jemenské jazykové prostředky a StoneDrill převážně perské. Geopolitičtí analytici by pravděpodobně ihned poukázali na fakt, že Írán s Jemenem jsou významnými hráči v konfliktu mezi Íránem a Saudskou Arábií, přičemž právě v Saudské Arábii se nachází nejvíce obětí těchto operací. My ovšem nemůžeme vyloučit, že se v případě těchto lidských stop nejedná o podvrhy,“ říká David Emm, Senior Security Researcher, Global Research and Analysis Team, Kaspersky Lab.
Produkty společnosti Kaspersky Lab úspěšně detekují a blokují malware spojený se Shamoon, StoneDrill a NewsBeef.
Pro co největší ochranu organizací doporučují experti Kaspersky Lab následující opatření:
- Provést bezpečnostní zkoušku kontrolní sítě (například bezpečnostní audit, penetrační testy, analýzu trhlin) s cílem identifikovat a odstranit jakékoliv bezpečnostní trhliny. Prověření externích dodavatelů a bezpečnostních řešení třetích stran v případě, že mají přímý přístup do kontrolní sítě.
- Vyžádat si externí poradenství – poradenství osvědčených společností pomáhá organizacím předpovídat budoucí útoky na průmyslovou infrastrukturu firmy. Týmy reagující na mimořádné situace, jako je například ICS CERT společnosti Kaspersky Lab, nabízí zdarma poradenství pro firmy z jakéhokoliv sektoru.
- Proškolte své zaměstnance, především pak obeznamte provozní a technický personál se současnými hrozbami a útoky.
- Zaveďte ochranu uvnitř i vně firemního ochranného pásma. Patřičná bezpečnostní strategie vyžaduje značné náklady na detekci útoků a vypořádání se s nimi. Jedině tak ale může být útok zastaven ještě před tím, než zasáhne kriticky důležité objekty.
- Zvažte pokročilé metody zabezpečení, které zahrnují pravidelné kontroly řídících pracovníků nebo speciální síťový monitoring. Zvýší se tím celková bezpečnost firmy a minimalizuje šance úspěšného narušení i v případě, že se objeví nějaká zranitelnost, která nemůže být okamžitě zazáplatována.
Více informací o Shamoon 2.0 a StoneDrill se dočtete v příspěvku na blogu Securelist.com. Doplňující informace o již dříve objevených útocích Shamoon jsou dostupné zde.
Zpravodajské reporty o Shamoon, StoneDrill a NewsBeef soukromého charakteru jsou dostupné odběratelům „Private Intelligence Reports“ společnosti Kaspersky Lab. Pro více informací prosím kontaktujte: intelreports@kaspersky.com.
O společnosti Kaspersky Lab
Kaspersky Lab je mezinárodní společností, která se zabývá kybernetickou bezpečností a funguje již od roku 1997. Své rozsáhlé odborné znalosti kybernetických hrozeb využívá Kaspersky Lab při vytváření bezpečnostních řešení a služeb k ochraně podniků, kritické infrastruktury, vládních organizací a uživatelů po celém světě. Portfolio společnosti zahrnuje špičkové zabezpečení koncových bodů a specializovaná bezpečnostní řešení a služby sloužící k ochraně proti sofistikovaným a neustále se vyvíjejícím digitálním hrozbám. Technologie Kaspersky Lab chrání celosvětově více než 400 milionů uživatelů a 270 tisíc korporátních klientů. Více se dozvíte na www.kaspersky.cz.