Kaspersky Lab ontdekt nieuwe wiper-malware StoneDrill

  1. 7 mrt 2017
  2. 0 reacties

Het Global Research & Analysis Team van Kaspersky Lab heeft nieuwe geavanceerde wiper-malware ontdekt, genaamd StoneDrill. Net als Shamoon, een andere beruchte wiper, vernietigt StoneDrill alles op de geïnfecteerde computer. Daarnaast heeft StoneDrill geavanceerde anti-detectietechnieken en spionagehulpmiddelen in zijn arsenaal. Naast doelen in het Midden-Oosten is nu ook een StoneDrill-doelwit ontdekt in Europa. Dit terwijl in het Midden-Oosten gebruikte wipers eerder niet in het wild werden ontdekt.

StoneDrill-615x333

In 2012 zorgde de Shamoon wiper (ook bekend als Disttrack) voor veel commotie door circa 35.000 computers in een olie- en gasbedrijf in het Midden-Oosten plat te leggen. Deze verwoestende aanval bracht 10% van de mondiale olieleveringen in potentieel gevaar. Het betrof hier echter een eenmalig incident, waarna de actor in feite van het toneel verdween. Eind 2016 keerde het terug in de vorm van Shamoon 2.0 – een veel uitgebreidere kwaadaardige campagne met een flink bijgewerkte versie van de 2012-malware. Tijdens het bestuderen van deze aanvallen troffen onderzoekers van Kaspersky Lab onverwacht een malware gemaakt in een soortgelijke "stijl" als Shamoon 2.0 aan. Tegelijkertijd was het echter heel anders en verfijnder dan Shamoon. Ze noemden het StoneDrill.

StoneDrill - een wiper met connecties

Het is nog niet bekend hoe StoneDrill wordt overgedragen, maar eenmaal aanwezig op de aangevallen machine injecteert het zichzelf in het geheugenproces van de voorkeursbrowser van de gebruiker. Tijdens dit proces gebruikt het twee geavanceerde anti-emulatietechnieken, gericht op het misleiden van beveiligingsoplossing die op de machine van het slachtoffer is geïnstalleerd. De malware begint vervolgens bestanden op de schijf van de computer te vernietigen. Tot dusverre werden ten minste twee doelwitten van de StoneDrill wiper geïdentificeerd, één in het Midden-Oosten en de andere in Europa.

Naast de wismodule vonden onderzoekers van Kaspersky Lab ook een StoneDrill-backdoor, blijkbaar ontwikkeld door dezelfde codeschrijvers en gebruikt voor spionagedoeleinden. Deskundigen ontdekten vier command & control-panelen die door aanvallers werden gebruikt om, met behulp van de StoneDrill-backdoor, bij een onbekend aantal doelwitten spionageactiviteiten uit te voeren.

Misschien nog wel het meest interessante aan StoneDrill is dat het connecties lijkt te hebben met diverse andere wipers en eerder waargenomen spionageactiviteiten. Toen onderzoekers van Kaspersky Lab met Yara-regels aan de slag gingen om onbekende samples van Shamoon te identificeren, ontdekten ze StoneDrill. Ze realiseerden zich dat ze te maken hadden met een uniek stukje kwaadaardige code die afzonderlijk van Shamoon lijkt te zijn gecreëerd. Hoewel de twee families – Shamoon en StoneDrill – niet exact dezelfde codebasis delen, lijken de denkwijze van de auteurs en hun programmeerstijl gelijk. Daarom werd StoneDrill geïdentificeerd met behulp van de voor Shamoon ontwikkelde Yara-regels. Ook werden overeenkomsten waargenomen met de code van oudere bekende malware. In feite maakt StoneDrill gebruik van sommige delen van de code die eerder werd waargenomen in de NewsBeef APT, ook bekend als Charming Kitten – een andere schadelijke campagne die de afgelopen jaren actief is geweest.

David Emm, Principal Security Researcher van het Global Research & Analysis Team van Kaspersky Lab zegt: "We waren bijzonder geïntrigeerd door de overeenkomsten en het vergelijksmateriaal tussen deze drie schadelijke activiteiten. Is StoneDrill een andere door de Shamoon-actor ingezette wiper? Of zijn StoneDrill en Shamoon twee verschillende en niet met elkaar verbonden groepen die zich toevallig allebei op hetzelfde moment op Saoedische organisaties richtten? Of zijn het twee gescheiden groepen die op één lijn zitten wat betreft hun doelstellingen? De laatste theorie is de meest waarschijnlijke: als het gaat om artefacten kunnen we stellen dat Shamoon Arabisch-Jemenitische taalsecties inzet, terwijl StoneDrill meestal taalsecties verwerkt uit de Perzische brontaalsecties. Geopolitieke analisten zullen waarschijnlijk snel wijzen op het feit dat zowel Iran en Jemen spelers zijn in het Iraans-Saoedische proxy conflict, en dat Saoedi-Arabië het land is waar de meeste slachtoffers van deze activiteiten werden aangetroffen. Uiteraard sluiten we echter niet de mogelijkheid uit dat deze artefacten bedoeld zijn als afleidingsmanoeuvre.”

Om organisaties te beschermen tegen malware-aanvallen die verband houden met Shamoon, StoneDrill en NewsBeef, adviseren veiligheidsdeskundigen van Kaspersky Lab het volgende:

  • Voer een veiligheidsbeoordeling uit van het besturingsnetwerk (dat wil zeggen een beveiligingsaudit, penetratietesten, gapanalyse) om eventuele beveiligingslekken te identificeren en te verwijderen. Beoordeel het beveiligingsbeleid van externe leveranciers en derden, voor het geval dat zij rechtstreeks toegang hebben tot het besturingsnetwerk.
  • Verzoek om externe inlichtingen: informatie van gerenommeerde leveranciers helpt organisaties toekomstige aanvallen op de industriële infrastructuur van het bedrijf te voorspellen. Rampenbestrijdingsteams, zoals ICS-CERT van Kaspersky Lab, bieden kosteloos de nodige bedrijfstak overkoepelende inlichtingen.
  • Train medewerkers en besteed daarbij speciale aandacht aan operationeel en technisch personeel en hun bewustzijn over recente dreigingen en aanvallen.
  • Bied bescherming binnen en buiten de perimeter. Een goede beveiligingsstrategie moet aanzienlijke middelen vrijmaken voor de detectie van en reactie op aanvallen, zodat een aanval geblokkeerd kan worden voordat deze kritisch belangrijke objecten bereikt.
  • Evalueer geavanceerde beveiligingsmethoden: inclusief regelmatige integriteitscontroles voor controllers, en gespecialiseerde netwerkbewaking om de algehele beveiliging van een bedrijf te verhogen en de kans op een succesvolle inbreuk te verkleinen.
Dossiers