Από το Shamoon στο StoneDrill: Νέο, προηγμένο και καταστροφικό κακόβουλο λογισμικό
08:43 8/3/2017
- Πηγή: PC Nea
Η Παγκόσμια Ομάδα Έρευνας και Ανάλυσης της Kaspersky Lab έχει ανακαλύψει ένα νέο, εξελιγμένο wiper (κακόβουλο λογισμικό που διαγράφει αρχεία), με το όνομα StoneDrill. Ακριβώς όπως ένα άλλο διαβόητο wiper, το Shamoon, καταστρέφει ό,τι υπάρχει σε έναν «μολυσμένο» υπολογιστή.
Το StoneDrill διαθέτει επίσης προηγμένες τεχνικές αντι-ανίχνευσης και εργαλεία κατασκοπείας στο οπλοστάσιό του. Εκτός από τους στόχους στη Μέση Ανατολή, ένας στόχος του StoneDrill
έχει επίσης ανακαλυφθεί και στην Ευρώπη, όπου τα wipers που χρησιμοποιούνται στη Μέση Ανατολή δεν είχαν προηγουμένως εντοπιστεί σε ελεύθερη κατάσταση.
Το 2012, το wiper Shamoon (επίσης γνωστό και ως Disttrack) τράβηξε την προσοχή καταστρέφοντας περίπου 35.000 υπολογιστές σε μια εταιρεία πετρελαίου και φυσικού αερίου στη Μέση Ανατολή. Αυτή η καταστροφική επίθεση άφησε το 10% των προμηθειών πετρελαίου παγκοσμίως σε δυνητικό κίνδυνο. Ωστόσο, το περιστατικό ήταν μοναδικό στο είδος του, και μετά από αυτό ο φορέας έπαψε τη λειτουργία του. Στα τέλη του 2016, επέστρεψε με τη μορφή Shamoon 2.0 - μια αρκετά πιο εκτεταμένη κακόβουλη εκστρατεία που χρησιμοποιεί μια «βαρέως» ενημερωμένη έκδοση του κακόβουλου λογισμικού από το 2012.
Διερευνώντας αυτές τις επιθέσεις, οι ερευνητές της Kaspersky Lab εντόπισαν απρόσμενα ένα κακόβουλο λογισμικό που διαμορφώθηκε σε ένα παρόμοιο ύφος με το Shamoon 2.0. Ταυτόχρονα, ήταν πολύ διαφορετικό και πιο εξελιγμένο από το Shamoon. Το ονόμασαν StoneDrill.
StoneDrill – ένα wiper με διασυνδέσεις
Δεν είναι ακόμη γνωστό πώς διαδίδεται το StoneDrill, αλλά μόλις επιτεθεί στην συσκευή-στόχο, το ίδιο εγχέεται στο σύστημα καταγραφής της μνήμης του επιλεγμένου προγράμματος περιήγησης του χρήστη. Κατά τη διάρκεια αυτής της διαδικασίας, χρησιμοποιεί δύο εξελιγμένες τεχνικές αντί-εξομοίωσης με στόχο να ξεγελάσει τις λύσεις ασφάλειας που είναι εγκατεστημένες στον υπολογιστή του θύματος. Το κακόβουλο λογισμικό στη συνέχεια ξεκινά την καταστροφή των αρχείων του δίσκου του υπολογιστή.
Μέχρι στιγμής, τουλάχιστον δύο στόχοι του wiper StoneDrill έχουν ταυτοποιηθεί, ένα με έδρα στη Μέση Ανατολή και το άλλο στην Ευρώπη.
Εκτός από τη λειτουργία διαγραφής αρχείων, οι ερευνητές της Kaspersky Lab έχουν εντοπίσει επίσης ένα backdoor του StoneDrill, το οποίο φαίνεται να έχει αναπτυχθεί από τους ίδιους τους δημιουργούς του κώδικα και χρησιμοποιείται για λόγους κατασκοπείας. Οι ειδικοί ανακάλυψαν τέσσερις πίνακες εντολών και ελέγχου που χρησιμοποιήθηκαν από επιτιθέμενους για να διευθύνουν επιχειρήσεις κατασκοπείας με τη βοήθεια του backdoor του StoneDrill εναντίον ενός άγνωστου αριθμόυ στόχων.
Ίσως το πιο ενδιαφέρον γεγονός αναφορικά με το StoneDrill είναι ότι φαίνεται να συνδέεται με πολλά άλλα wipers και ενέργειες κατασκοπείας που παρατηρήθηκαν στο παρελθόν. Όταν οι ερευνητές της Kaspersky Lab ανακάλυψαν το StoneDrill με τη βοήθεια των κανόνων Yara που δημιουργήθηκαν για τον εντοπισμό αγνώστων δειγμάτων του Shamoon, συνειδητοποίησαν ότι έψαχναν ένα μοναδικό κομμάτι του κακόβουλου κώδικα που φαίνεται να έχει δημιουργηθεί χωριστά από το Shamoon. Ακόμα κι αν οι δύο οικογένειες - Shamoon και StoneDrill - δεν μοιράζονται την ίδια ακριβώς βάση κώδικα, η νοοτροπία των δημιουργών τους και το ύφος προγραμματισμού τους φαίνεται να είναι παρόμοια. Για τον λόγο αυτό ήταν και δυνατόν να εντοπιστεί το StoneDrill με τους κανόνες Yara που είχαν αναπτυχθεί για το Shamoon.
Παρατηρήθηκαν επίσης ομοιότητες στον κώδικα με παλαιότερα γνωστά κακόβουλα λογισμικά αλλά αυτή τη φορά όχι μεταξύ Shamoon και StoneDrill. Στην πραγματικότητα, το StoneDrill χρησιμοποιεί ορισμένα τμήματα κώδικα που έχουν εντοπιστεί προηγουμένως στο NewsBeef APT, γνωστό επίσης και ως Charming Kitten, άλλη μία εκστρατεία κακόβουλου λογισμικού με έντονη δράση τα τελευταία χρόνια.
«Το ενδιαφέρον μας για τις ομοιότητες και τις συγκρίσεις μεταξύ αυτών των τριών κακόβουλων δραστηριοτήτων ήταν πολύ μεγάλο. Ήταν το StoneDrill ακόμα ένα κακόβουλο πρόγραμμα που διαγράφει αρχεία ανεπτυγμένο από τον παράγοντα Shamoon; Ή οι StoneDrill και Shamoon είναι δύο διαφορετικές και ασύνδετες ομάδες που απλά έτυχε να στοχεύουν οργανισμούς στη Σαουδική Αραβία την ίδια στιγμή; Ή, δύο ομάδες οι οποίες είναι ξεχωριστές αλλά ευθυγραμμίζονται όσον αφορά στους στόχους τους; Η τελευταία θεωρία είναι η πιο πιθανή: αναφορικά με τα ευρήματα μπορούμε να πούμε ότι, ενώ το Shamoon ενσωματώνει γλωσσικά τμήματα από Αραβικούς πόρους, καθώς και πόρους από την Υεμένη, το StoneDrill ενσωματώνει κυρίως γλωσσικά τμήματα πόρων Περσικής προέλευσης. Οι γεωπολιτικοί αναλυτές πιθανότατα θα επισήμαναν γρήγορα ότι τόσο το Ιράν όσο και η Υεμένη είναι παίκτες στον « πόλεμο μέσω αντιπροσώπων» ανάμεσα στο Ιράν και τη Σαουδική Αραβία, και η Σαουδική Αραβία είναι η χώρα όπου βρέθηκαν τα περισσότερα θύματα των πράξεων αυτών. Αλλά φυσικά, δεν αποκλείουμε την πιθανότητα αυτά τα ευρήματα να είναι “false flags”», δήλωσε ο David Emm, Senior Security Researcher της Kaspersky Lab.
Τα προϊόντα της Kaspersky Lab εντοπίζουν και εμποδίζουν το κακόβουλο λογισμικό που σχετίζεται με τα Shamoon, StoneDrill και NewsBeef.
Για την προστασία των οργανισμών από τέτοιου είδους επιθέσεις, οι ειδικοί σε θέματα ασφάλειας της Kaspersky Lab συμβουλεύουν τα εξής:
Να πραγματοποιούν αξιολόγηση ασφάλειας του δικτύου ελέγχου (δηλαδή, έναν έλεγχο ασφάλειας, δοκιμές διείσδυσης, ανάλυση κενού) για τον εντοπισμό και την απομάκρυνση τυχόν κενών ασφαλείας. Επίσης, συνίσταται η επανεξέταση των εξωτερικών προμηθευτών και των πολιτικών ασφαλείας τρίτων σε περίπτωση που έχουν άμεση πρόσβαση στο δίκτυο ελέγχου.Να ζητάνε εξωτερική Πληροφόρηση: η πληροφόρηση από αξιόπιστους προμηθευτές βοηθά τους οργανισμούς να προβλέψουν τις μελλοντικές επιθέσεις στη βιομηχανική υποδομή της εταιρείας. Οι ομάδες αντιμετώπισης καταστάσεων έκτακτης ανάγκης, όπως η ομάδα ICS CERT της Kaspersky Lab, παρέχουν διεπαγγελματική Πληροφόρηση δωρεάν.Εκπαιδεύστε τους υπαλλήλους σας, δίνοντας ιδιαίτερη προσοχή στο λειτουργικό και τεχνικό προσωπικό και στην ευαισθητοποίηση του γύρω από τις πρόσφατες απειλές και επιθέσεις.Παροχή προστασίας μέσα και έξω από την περίμετρο. Μια σωστή στρατηγική ασφάλειας πρέπει να διαθέτει σημαντικούς πόρους για την ανίχνευση επίθεσης και αντίδραση προκειμένου να εμποδίσει μια επίθεση πριν φτάσει σε ιδιαιτέρως σημαντικά και κρίσιμα αντικείμενα.Να αξιολογείτε προηγμένες μεθόδους προστασίας: συμπεριλαμβανομένων των τακτικών ελέγχων ακεραιότητας για τους ελεγκτές, καθώς και εξειδικευμένη παρακολούθηση του δικτύου για την αύξηση της συνολικής ασφάλειας της εταιρείας και μείωση των πιθανοτήτων μιας επιτυχούς παραβίασης, ακόμα και αν κάποιοι εγγενώς ευάλωτοι κόμβοι δεν μπορούν να επιδιορθωθούν ή να αφαιρεθούν.
Για περισσότερες πληροφορίες σχετικά με τα Shamoon 2.0 και StoneDrill, μπορείτε να διαβάσετε το blogpost διαθέσιμο στον ειδικό ιστότοπο Securelist.com.
Αρκετές ιδιωτικές εκθέσεις Πληροφόρησης σχετικά με τα Shamoon, StoneDrill και NewsBeef είναι διαθέσιμες στους συνδρομητές της υπηρεσίας «Private Intelligence Reports» της Kaspersky Lab. Για περισσότερες πληροφορίες, οι ενδιαφερόμενοι μπορούν να επικοινωνήσουν στο: intelreports@kaspersky.com.
Το StoneDrill διαθέτει επίσης προηγμένες τεχνικές αντι-ανίχνευσης και εργαλεία κατασκοπείας στο οπλοστάσιό του. Εκτός από τους στόχους στη Μέση Ανατολή, ένας στόχος του StoneDrill
Το 2012, το wiper Shamoon (επίσης γνωστό και ως Disttrack) τράβηξε την προσοχή καταστρέφοντας περίπου 35.000 υπολογιστές σε μια εταιρεία πετρελαίου και φυσικού αερίου στη Μέση Ανατολή. Αυτή η καταστροφική επίθεση άφησε το 10% των προμηθειών πετρελαίου παγκοσμίως σε δυνητικό κίνδυνο. Ωστόσο, το περιστατικό ήταν μοναδικό στο είδος του, και μετά από αυτό ο φορέας έπαψε τη λειτουργία του. Στα τέλη του 2016, επέστρεψε με τη μορφή Shamoon 2.0 - μια αρκετά πιο εκτεταμένη κακόβουλη εκστρατεία που χρησιμοποιεί μια «βαρέως» ενημερωμένη έκδοση του κακόβουλου λογισμικού από το 2012.
Διερευνώντας αυτές τις επιθέσεις, οι ερευνητές της Kaspersky Lab εντόπισαν απρόσμενα ένα κακόβουλο λογισμικό που διαμορφώθηκε σε ένα παρόμοιο ύφος με το Shamoon 2.0. Ταυτόχρονα, ήταν πολύ διαφορετικό και πιο εξελιγμένο από το Shamoon. Το ονόμασαν StoneDrill.
StoneDrill – ένα wiper με διασυνδέσεις
Δεν είναι ακόμη γνωστό πώς διαδίδεται το StoneDrill, αλλά μόλις επιτεθεί στην συσκευή-στόχο, το ίδιο εγχέεται στο σύστημα καταγραφής της μνήμης του επιλεγμένου προγράμματος περιήγησης του χρήστη. Κατά τη διάρκεια αυτής της διαδικασίας, χρησιμοποιεί δύο εξελιγμένες τεχνικές αντί-εξομοίωσης με στόχο να ξεγελάσει τις λύσεις ασφάλειας που είναι εγκατεστημένες στον υπολογιστή του θύματος. Το κακόβουλο λογισμικό στη συνέχεια ξεκινά την καταστροφή των αρχείων του δίσκου του υπολογιστή.
Μέχρι στιγμής, τουλάχιστον δύο στόχοι του wiper StoneDrill έχουν ταυτοποιηθεί, ένα με έδρα στη Μέση Ανατολή και το άλλο στην Ευρώπη.
Εκτός από τη λειτουργία διαγραφής αρχείων, οι ερευνητές της Kaspersky Lab έχουν εντοπίσει επίσης ένα backdoor του StoneDrill, το οποίο φαίνεται να έχει αναπτυχθεί από τους ίδιους τους δημιουργούς του κώδικα και χρησιμοποιείται για λόγους κατασκοπείας. Οι ειδικοί ανακάλυψαν τέσσερις πίνακες εντολών και ελέγχου που χρησιμοποιήθηκαν από επιτιθέμενους για να διευθύνουν επιχειρήσεις κατασκοπείας με τη βοήθεια του backdoor του StoneDrill εναντίον ενός άγνωστου αριθμόυ στόχων.
Ίσως το πιο ενδιαφέρον γεγονός αναφορικά με το StoneDrill είναι ότι φαίνεται να συνδέεται με πολλά άλλα wipers και ενέργειες κατασκοπείας που παρατηρήθηκαν στο παρελθόν. Όταν οι ερευνητές της Kaspersky Lab ανακάλυψαν το StoneDrill με τη βοήθεια των κανόνων Yara που δημιουργήθηκαν για τον εντοπισμό αγνώστων δειγμάτων του Shamoon, συνειδητοποίησαν ότι έψαχναν ένα μοναδικό κομμάτι του κακόβουλου κώδικα που φαίνεται να έχει δημιουργηθεί χωριστά από το Shamoon. Ακόμα κι αν οι δύο οικογένειες - Shamoon και StoneDrill - δεν μοιράζονται την ίδια ακριβώς βάση κώδικα, η νοοτροπία των δημιουργών τους και το ύφος προγραμματισμού τους φαίνεται να είναι παρόμοια. Για τον λόγο αυτό ήταν και δυνατόν να εντοπιστεί το StoneDrill με τους κανόνες Yara που είχαν αναπτυχθεί για το Shamoon.
Παρατηρήθηκαν επίσης ομοιότητες στον κώδικα με παλαιότερα γνωστά κακόβουλα λογισμικά αλλά αυτή τη φορά όχι μεταξύ Shamoon και StoneDrill. Στην πραγματικότητα, το StoneDrill χρησιμοποιεί ορισμένα τμήματα κώδικα που έχουν εντοπιστεί προηγουμένως στο NewsBeef APT, γνωστό επίσης και ως Charming Kitten, άλλη μία εκστρατεία κακόβουλου λογισμικού με έντονη δράση τα τελευταία χρόνια.
«Το ενδιαφέρον μας για τις ομοιότητες και τις συγκρίσεις μεταξύ αυτών των τριών κακόβουλων δραστηριοτήτων ήταν πολύ μεγάλο. Ήταν το StoneDrill ακόμα ένα κακόβουλο πρόγραμμα που διαγράφει αρχεία ανεπτυγμένο από τον παράγοντα Shamoon; Ή οι StoneDrill και Shamoon είναι δύο διαφορετικές και ασύνδετες ομάδες που απλά έτυχε να στοχεύουν οργανισμούς στη Σαουδική Αραβία την ίδια στιγμή; Ή, δύο ομάδες οι οποίες είναι ξεχωριστές αλλά ευθυγραμμίζονται όσον αφορά στους στόχους τους; Η τελευταία θεωρία είναι η πιο πιθανή: αναφορικά με τα ευρήματα μπορούμε να πούμε ότι, ενώ το Shamoon ενσωματώνει γλωσσικά τμήματα από Αραβικούς πόρους, καθώς και πόρους από την Υεμένη, το StoneDrill ενσωματώνει κυρίως γλωσσικά τμήματα πόρων Περσικής προέλευσης. Οι γεωπολιτικοί αναλυτές πιθανότατα θα επισήμαναν γρήγορα ότι τόσο το Ιράν όσο και η Υεμένη είναι παίκτες στον « πόλεμο μέσω αντιπροσώπων» ανάμεσα στο Ιράν και τη Σαουδική Αραβία, και η Σαουδική Αραβία είναι η χώρα όπου βρέθηκαν τα περισσότερα θύματα των πράξεων αυτών. Αλλά φυσικά, δεν αποκλείουμε την πιθανότητα αυτά τα ευρήματα να είναι “false flags”», δήλωσε ο David Emm, Senior Security Researcher της Kaspersky Lab.
Τα προϊόντα της Kaspersky Lab εντοπίζουν και εμποδίζουν το κακόβουλο λογισμικό που σχετίζεται με τα Shamoon, StoneDrill και NewsBeef.
Για την προστασία των οργανισμών από τέτοιου είδους επιθέσεις, οι ειδικοί σε θέματα ασφάλειας της Kaspersky Lab συμβουλεύουν τα εξής:
Να πραγματοποιούν αξιολόγηση ασφάλειας του δικτύου ελέγχου (δηλαδή, έναν έλεγχο ασφάλειας, δοκιμές διείσδυσης, ανάλυση κενού) για τον εντοπισμό και την απομάκρυνση τυχόν κενών ασφαλείας. Επίσης, συνίσταται η επανεξέταση των εξωτερικών προμηθευτών και των πολιτικών ασφαλείας τρίτων σε περίπτωση που έχουν άμεση πρόσβαση στο δίκτυο ελέγχου.Να ζητάνε εξωτερική Πληροφόρηση: η πληροφόρηση από αξιόπιστους προμηθευτές βοηθά τους οργανισμούς να προβλέψουν τις μελλοντικές επιθέσεις στη βιομηχανική υποδομή της εταιρείας. Οι ομάδες αντιμετώπισης καταστάσεων έκτακτης ανάγκης, όπως η ομάδα ICS CERT της Kaspersky Lab, παρέχουν διεπαγγελματική Πληροφόρηση δωρεάν.Εκπαιδεύστε τους υπαλλήλους σας, δίνοντας ιδιαίτερη προσοχή στο λειτουργικό και τεχνικό προσωπικό και στην ευαισθητοποίηση του γύρω από τις πρόσφατες απειλές και επιθέσεις.Παροχή προστασίας μέσα και έξω από την περίμετρο. Μια σωστή στρατηγική ασφάλειας πρέπει να διαθέτει σημαντικούς πόρους για την ανίχνευση επίθεσης και αντίδραση προκειμένου να εμποδίσει μια επίθεση πριν φτάσει σε ιδιαιτέρως σημαντικά και κρίσιμα αντικείμενα.Να αξιολογείτε προηγμένες μεθόδους προστασίας: συμπεριλαμβανομένων των τακτικών ελέγχων ακεραιότητας για τους ελεγκτές, καθώς και εξειδικευμένη παρακολούθηση του δικτύου για την αύξηση της συνολικής ασφάλειας της εταιρείας και μείωση των πιθανοτήτων μιας επιτυχούς παραβίασης, ακόμα και αν κάποιοι εγγενώς ευάλωτοι κόμβοι δεν μπορούν να επιδιορθωθούν ή να αφαιρεθούν.
Για περισσότερες πληροφορίες σχετικά με τα Shamoon 2.0 και StoneDrill, μπορείτε να διαβάσετε το blogpost διαθέσιμο στον ειδικό ιστότοπο Securelist.com.
Αρκετές ιδιωτικές εκθέσεις Πληροφόρησης σχετικά με τα Shamoon, StoneDrill και NewsBeef είναι διαθέσιμες στους συνδρομητές της υπηρεσίας «Private Intelligence Reports» της Kaspersky Lab. Για περισσότερες πληροφορίες, οι ενδιαφερόμενοι μπορούν να επικοινωνήσουν στο: intelreports@kaspersky.com.
Keywords
kaspersky, εταιρεία, πετρελαιο, kitten, δραση, david, security, ics, Καλή Χρονιά, θεμα εκθεσης 2012, αξιολογηση, ητανε μια φορα, ics, δωρεαν, εδρα, εργαλεια, ιραν, προγραμμα, υεμενη, αυξηση, απλα, βοηθεια, γεγονος, δικτυο, υπαρχει, εκθεσεις, εκστρατεια, εταιρεία, ευρωπη, ιδια, ιδιο, ειδος, υπολογιστες, υφος, θεωρια, λειτουργια, λογο, μειωση, μορφη, μπορειτε, νοοτροπια, ομαδα, ονομα, πινακες, σαουδικη αραβια, συνεχεια, φυσικα, φορα, security, david, χωρα, kaspersky, kitten, κομματι, ομαδες, πληροφοριες, θεματα
Τυχαία Θέματα
- Δημοφιλέστερες Ειδήσεις Κατηγορίας Τεχνολογία
- Δημοφιλέστερες Ειδήσεις PC Nea
- Τελευταία Νέα PC Nea
- Από το Shamoon στο StoneDrill: Νέο, προηγμένο και καταστροφικό κακόβουλο λογισμικό
- Έρευνα της IDC για τα "digital-ready" δίκτυα
- Το EDUCATION FESTIVAL επιστρέφει
- Η Schneider Electric παρουσιάζει τη λύση Galaxy VX Power Protection
- Η Logicom Solutions βραβεύεται από την Cisco Hellas
- Ημερίδα για την Εθνική Ψηφιακή Στρατηγική
- Πρώτη η Canon/Intersys στα μερίδια ΜFPs το 2016
- Regate: Νέα υλοποίηση mobile λύσης στους Κυλινδρόμυλους Κρήτης Α.Ε.
- AOC: ιδού η νέα πιο γρήγορη gaming οθόνη της σειράς AGON
- Νέα σειρά AXIS CAMERA COMPANION LINE από τη CPI
- Τελευταία Νέα Κατηγορίας Τεχνολογία
- Η νέα McLaren στο Project Cars 2
- Ανακοινώθηκε το Variety Map Pack για το CoD: MW Remastered
- Δύο Nokia ναυαρχίδες με Snapdragon 835 αναμένονται μέσα στο 2017
- Nintendo: Χαρακτηριστικό των LCD τα dead pixels
- Το Huawei P10 είναι διαθέσιμο στην Γερμανία με τιμή 599 ευρώ
- Galaxy S8 και S8+ φωτογραφίζονται δίπλα δίπλα
- Η SEGA εξαγόρασε προγραμματιστική ομάδα της Crytek
- Σηκώνει το Dawn of War 3 ο υπολογιστής σας;
- Ο Κατάλογος Εφαρμογών 2017-2018 της NASA, εντελώς δωρεάν για όλους
- Νέο gameplay trailer για το εκρηκτικό Quake Champions!
