קוד זדוני שהגיע מהמזרח התיכון ומתקדם לאירופה התגלה על ידי מעבדות קספרסקי – שם הקוד StoneDrill.

קוד זדוני בשם StoneDrill מסוג wiper נחשף על ידי כח המחקר והניתוח הגלובאלי של קספרסקי. בדיוק כמו קרוב משפחתו הידוע לשמצה Shamoon מסוג Wiper, גם הוא מוחק כל מה שנמצא על המחשב הנגוע, כשבנוסף ל-StoneDrill גם יכולת מתקדמת נגד זיהוי וכלי ריגול ברמה גבוהה. מטרה אחת של StoneDrill זוהתה במזרח התיכון ומטרה נוספת סומנה באירופה – כשזו הפעם הראשונה שה-Wiper מדלג מהמזרח התיכון לאירופה.
ב-2012, גרם Shamoon (המוכר גם כ-Disttrack) לנזקים עצומים כאשר גרם לקריסת 35,000 מחשבים בחברות גז ונפט במזרח התיכון, התקפה קטלנית שהעמידה בסכנה 10% מאספקת הנפט בעולם. מאז נעלם Shamoon וחזר רק לקראת סוף 2016 כ-Shamoon 2.0, קמפיין זדוני נרחב ומתקדם בהרבה שניצל גרסה מעודכנת של הקוד הזדוני מ-2012.

במהלך חקירת התקפות Shamoon, חשפו חוקרי מעבדת קספרסקי קוד זדוני שנבנה בסגנון דומה ל-Shamoon 2.0, אך גם שונה ממנו מאוד ומתוחכם יותר. הקוד החדש זכה לשם StroneDrill.

Strone-Drill – Wiper עם קשרים
עדיין לא ידוע כיצד StoneDrill מופץ, אבל ברגע שהוא מופיע במכונה פגועה הוא מזריק את עצמו לתהליך בזיכרון של הדפדפן המועדף על המשתמש. במשך תהליך זה הוא משתמש בשתי טכניקות מתוחכמות כנגד אמולציה, אשר נועדה להטעות פתרונות אבטחה המותקנים על המכונה הפגועה. אחרי שהוא מתבסס, הקוד הזדוני מתחיל להרוס את הקבצים בדיסקים של המחשב.

מעבר למודול האחראי למחיקה, חוקרי מעבדת קספרסקי מצאו גם דלת אחורית של StoneDrill, שכנראה פותחה על ידי אותם כותבי קוד ומשמשת למטרות ריגול. החוקרים גילו 4 פקודות ולוחות בקרה שמשמשים את התוקפים כדי לבצע פעולות ריגול באמצעות דלת אחורית כנגד מספר בלתי ידוע של מטרות.

הדבר המעניין ביותר לגבי StoneDrill הוא הקשרים שכנראה יש לו למספר קמפיינים קודמים של ריגול ומחיקת קבצים שנצפו בעבר. חוקרי מעבדת קספרסקי חשפו את StoneDrill באופן מקרי באמצעות Yara-rules שנוצרו כדי לזהות דוגמיות בלתי מוכרות של Shamoon. כאשר הדוגמיות נלכדו הם הבינו כי למעשה הם בוחנים קוד זדוני שונה שכנראה נוצר באופן נפרד מ-Shamoon. למרות ששתי המשפחות – Shamoon ו-StoneDrill – אינן חולקות את אותו קוד בסיס, דרך החשיבה של הכותבים וסגנון התכנות שלהם נראה דומה. זו הסיבה שאפשר לזהות את StoneDrill באמצעות חוקי Yara שנכתבו עבור Shamoon.

בקוד הזדוני קיימים גם קווי דמיון אל קוד זדוני אחר שזוהה בעבר. למעשה, StoneDrill עושה שימוש בחלקים מקוד שבעבר נצפה ב-NewsBeef APT, המוכר גם כ-Charming Kitten, קמפיין זדוני שהיה פעיל בשנים האחרונות.

"סיקרנו אותנו מאוד קווי הדימיון וההשוואה בין שלושת הקמפיינים הזדוניים האלה. האם StoneDrill הוא wiper נוסף המופעל על ידי מפעילי Shamoon? האם StoneDrill ו-Shamoon הן שתי קבוצות שונות ונפרדות שבמקרה ממוקדות במקביל בארגונים בערב הסעודית? או שמדובר בשתי קבוצות שהן נפרדות אבל פועלות במשותף? אנו מעריכים כי האפשרות האחרונה היא הסבירה ביותר: על פי הממצאים אנו יכולים לומר כי בעוד Shamoon משלב מרכיבי שפה בערבית-תימנית, StoneDrill משלב בעיקר פרסית. ניתוח גיאופוליטי יראה כי גם אירן וגם תימן לוקחות חלק במשבר האזורי בין אירן לסעודיה, בעוד שבערב הסעודית נמצאים רוב הקורבנות של פעילות זו. אבל כמובן שאנו לא יכולים לשלול את האפשרות כי ממצאים אלה נשתלו במכוון כדי להטעות", אמר מוחמד אמין חסביני, חוקר אבטחה בכיר, צוות מחקר וניתוח גלובלי, מעבדת קספרסקי.

מוצרי מעבדת קספרסקי מזהים בהצלחה וחוסמים קוד זדוני הקשור ל- Shamoon, StoneDrill ו- NewsBeef.

כדי להגן על ארגונים מפני התקפות שכאלה, מומחי מעבדת קספרסקי ממליצים על הצעדים הבאים:

• ביצוע סקר אבטחה של רשת הבקרה (לדוגמא, ביקורת רשת, מבחני חדירה, ניתוח פערי אבטחה), כדי לזהות ולהסיר כל חור באבטחה. בנוסף, יש לבצע סקירה של מדיניות אבטחה של ספקים חיצוניים ושותפים במקרה שיש להם גישה ישירה לרשת הבקרה.
• בקשת מודיעין חיצוני: מודיעין מספקים מובילים מסייע לארגונים לחזות התקפות עתידיות על התשתית התעשייתית של החברה. צוותים לתגובת חירום, כגון ICS CERT של מעבדת קספרסקי, מספקים מודיעין ללא עלות.
• אמון ותדרוך העובדים, תוך מתן תשומת לב מיוחדת לצוות תפעול והנדסה ולמודעות שלהם להתקפות ואיומים עדכניים.
• אספקת הגנה בתוך היקף הרשת ומחוצה לה. אסטרטגיית אבטחה מתאימה חייבת להקדיש משאבים מספיקים לזיהוי התקפות ולתגובה, במטרה לחסום התקפה לפני שהיא מגיעה לאזורים קריטיים.
• בחינת הפעלה של שיטות הגנה מתקדמות: כולל בחינות שלמות קבועות של בקרים וניטור רשת ייחודי, להגברת רמת האבטחה הכוללת של החברה ולהפחתת הסיכון לפריצה מוצלחת, אפילו במקרה שלא ניתן לתקן או להסיר נקודות פגיעות ברשת.

מידע נוסף על Shamoon 2.0 ו- StoneDrill אפשר לקרוא ב-Securelist.com.