За последние десять лет в дикой природе было зафиксировано несколько целевых атак с использованием программ-стирателей. Наибольшую известность из этих деструктивных зловредов приобрели червь Shamoon, повредивший свыше 35 тыс. рабочих станций Saudi Aramco в 2012 году, Dark Seoul, примененный в Южной Корее, и Destover, атаковавший Sony Pictures Entertainment.

Прошлой осенью Shamoon вернулся в новой версии на территорию Саудовской Аравии. Как оказалось, обновленный зловред в дополнение к функционалу стирателя (wiper) обрел модуль шифровальщика.

Исследуя атаки Shamoon 2.0, аналитики «Лаборатории Касперского» обнаружили itw новую программу-wiper, которой было присвоено имя StoneDrill. Этот стиратель тоже применяется против организаций в Саудовской Аравии, но был также найден на компьютерах европейской нефтехимической компании, что может говорить о расширении зоны интересов стоящих за StoneDrill злоумышленников.

Проведенный в «Лаборатории» анализ выявил сходство StoneDrill с инструментарием APT-группы NewsBeef, она же Charming Kitten. В частности, StoneDrill тоже использует специализированный фреймворк для эксплуатации браузера, известный как BeEF. Идентичными оказались сигнатуры кодов WinMain и OSU, команды обновления, имена C&C-серверов. Усмотрено также сходство StoneDrill с Shamoon, однако пока неизвестно, стоит ли за ними одна и та же группа или интересы атакующих просто пересеклись в одном и том же регионе.

StoneDrill v. Shamoon 2.0, NewsBeef

StoneDrill в сравнении с Shamoon 2.0 и NewsBeef (источник: «Лаборатория Касперского»)

«Программу-стиратель редко встретишь в атаках с целью кибершпионажа, — комментирует Хуан Герреро-Сааде (Juan Guerrero-Saade) из «Лаборатории Касперского». — Насколько известно, авторов APT-атак не интересует саботаж, и подобных действий от них вряд ли можно ожидать». Исследователь пояснил, что APT-группы обычно стремятся скрытно получить доступ к сети и закрепиться в ней, чтобы сохранить обзор, воровать данные или загрузить других зловредов на скомпрометированные машины.

Функционал стирателя StoneDrill, со слов Герреро-Сааде, пока не был пущен в ход itw. «Wiper-компонент в StoneDrill присутствует, мы просто не заметили, чтобы он надлежащим образом использовался, — говорит эксперт. — Что же касается редкости операций саботажа, они проводились менее десяти раз за последнее десятилетие, что говорит о том, что они [авторы APT-атак] избегают применять такие методы».

«Лаборантам» удалось обнаружить StoneDrill благодаря Yara-правилам, которые они создали ранее для отслеживания поведения, ассоциированного с Shamoon. Последний использует API-функции Windows для перечисления файлов, подлежащих уничтожению; таким же образом повел себя StoneDrill. В зависимости от настроек новый wiper-зловред способен уничтожать информацию, перезаписывая физические и логические диски случайными данными. После этого StoneDrill удаляет папки на логических дисках.

Анализ показал, что новоявленный стиратель «стилистически» схож с Shamoon, но использует и другие функции, чтобы избежать обнаружения. Попав на компьютер, StoneDrill встраивается в процесс памяти браузера, которым жертва пользуется чаще всего (Shamoon с той же целью использует драйверы). «Идея в том, чтобы таким образом обойти защитное ПО и выполнять операции стирания через доверенный процесс», — пояснил Герреро-Сааде.

Shamoon 2.0 также обладает разнообразными шпионскими функциями, среди которых была обнаружена неизвестная ранее способность похищать учетные данные администратора. Краденые идентификаторы затем зашиваются в код зловреда для облегчения дальнейшего продвижения по сети. Согласно статистике Саудовского национального центра кибербезопасности, Shamoon применялся в 11 атаках против местных организаций.

StoneDrill, Shamoon 2.0 in Middle East

Киберсаботаж на Ближнем Востоке: появление StoneDrill, возвращение Shamoon (источник: «Лаборатория Касперского»)

Компонент вымогателя Shamoon 2.0, по данным «Лаборатории», в дикой природе не проявлялся, поэтому пока неясно, каким образом злоумышленники собираются его использовать. Для шифрования файлов Shamoon 2.0 создает слабый ключ RC4, который затем шифрует открытым RSA и сохраняет на локальном диске.

Категории: Аналитика, Вредоносные программы