נוזקה חדשה והרסנית שזוהתה במזרח התיכון – התקדמה לאירופה
ה-StoneDrill הורס כל דבר הנמצא על המחשב הנגוע ● עוד הוא מכיל גם יכולות מתקדמות נגד זיהוי וכן כלי ריגול, כך על פי צוות המחקר והניתוח הגלובלי של קספרסקי
הגירה מהעולם הערבי לאירופה – גם בסייבר: נוזקה חדשה והרסנית זוהתה במזרח התיכון – והתקדמה לאירופה.
צוות המחקר והניתוח הגלובלי של קספרסקי (Kaspersky Lab) גילה את הנוזקה המתוחכמת, מסוג wiper ("מחקן"), הנקרא StoneDrill.
כמו אחיו הגדול והידוע לשמצה, Shamoon ממשפחת ה- Wiper, גם הוא הורס כל דבר הנמצא על המחשב הנגוע. StoneDrill מכיל גם יכולות מתקדמות נגד זיהוי וכן כלי ריגול. בנוסף למטרות במזרח התיכון, מטרה אחת של StoneDrill זוהתה כבר באירופה. יצויין כי עד היום לא נרשמה שם פגיעה של Wiper כלשהו שהגיע מהמזרח התיכון.
באוגוסט 2012 מחשבי סעודי ארמקו (Saudi Aramco), חברת הנפט הסעודית, נפגעו על ידי נוזקה. סעודי ארמקו הינה חברת הנפט הגדולה בעולם. החברה מסרה בתחילה כי אף שהווירוס השפיע על פעולת כמה מחשבים, הוא לא השפיע בצורה כלשהי על פעילות רשת תקשורת המחשבים בחברה. בחלוף ימים אחדים הוברר כי הנזק גדול בהרבה וכי יותר מ-30 אלף מחשבי החברה נפגעו במתקפה.
למחוק באופן שלא ניתן לשחזר
בספטמבר אותה שנה, דיווח תאגיד האנרגיה הקטארי RasGas שגם מחשבים בו נפגעו. RasGas מפעילה מתקני ייצור לטיפול, זיקוק וייצוא של גז טבעי נוזלי (LNG) למדינות ברחבי העולם, והיא מפעילה שבע רכבות של גז טבעי נוזלי. זוהי חברת ה-LNG השנייה בגודלה בעולם.
אז עלה כי שם הנוזקה הוא "Shamoon" או "Disstrack", שמכוון במיוחד לחברות הפועלות בתחומי הנפט והאנרגיה. בניגוד לווירוסים אחרים רבים, נוזקה מסוג זה לא מנסה לגנוב את הנתונים, אלא פועלת על מנת למחוק אותם באופן שלא ניתן לשחזרם לאחר מכן.
הנוזקה נעלמה עד שלקראת סוף 2016 חזרה בצורת Shamoon 2.0, קמפיין זדוני נרחב בהרבה, שהשתמש בגרסה מעודכנת של הנוזקה מ-2012. הנוזקה פגעה ברשתות תקשורת ונתונים בערב הסעודית, במתקפות שכונו "הרסניות". בין השאר, ההאקרים תקפו את מערכות ה-IT של הבנק המרכזי וכמה סוכנויות ממשל בממלכה, ביניהן רשות שדות התעופה. אלפי מחשבים נהרסו במשרד האוויריה הסעודי. המתקפה תוארה כ"פצצה דיגיטלית".
במהלך חקירת התקפות Shamoon, חוקרי קספרסקי חשפו באופן מפתיע נוזקה שנבנתה ב"סגנון" דומה ל-Shamoon 2.0 – אך גם הוא שונה מאוד ומתוחכם יותר מ-Shamoon. הוא זכה לשם StroneDrill.
לא ידוע עדיין כיצד StoneDrill מופץ, אבל ברגע שהוא מופיע במכונה פגועה, הוא מזריק את עצמו לתהליך בזיכרון של הדפדפן המועדף על המשתמש. במשך תהליך זה הוא משתמש בטכניקות מתוחכמות כדי לגבור על טכנולוגיה שנועדה להטעות פתרונות אבטחה המותקנים על המכונה הפגועה. לאחר מכן הקוד הזדוני מתחיל להרוס את הקבצים בדיסקים של המחשב.
עד עתה, זוהו לפחות שתי מטרות של StoneDrill, אחת מהן במזרח התיכון והשניה באירופה.
מסתכלים בנוזקה שונה
מעבר למודול האחראי למחיקה, חוקרי קספרסקי מצאו גם דלת אחורית של StoneDrill, שכנראה פותחה על ידי אותם כותבי קוד ומשמשת למטרות ריגול.
על פי החוקרים, הדבר המעניין ביותר ב-StoneDrill הוא הקשרים שכנראה יש לו לכמה קמפיינים קודמים של ריגול ומחיקה מהעבר. חוקרי קספרסקי חשפו את StoneDrill באופן מקרי, באמצעות Yara-rules שנוצרו כדי לזהות דוגמיות בלתי מוכרות של Shamoon. כשהדוגמיות נלכדו, הם הבינו כי הם מסתכלים בנוזקה שונה, שכנראה נוצרה באופן נפרד מ-Shamoon.
למרות ששתי המשפחות – Shamoon ו-StoneDrill – אינן חולקות את אותו קוד בסיס, דרך החשיבה של הכותבים וסגנון התכנות שלהם נראה דומה. זו הסיבה שאפשר לזהות את StoneDrill באמצעות חוקי Yara שנכתבו עבור Shamoon.
StoneDrill עושה שימוש בחלקים מקוד שבעבר נצפה ב-NewsBeef APT, המוכר גם כ- Charming Kitten – קמפיין זדוני אחר שהיה פעיל בשנים האחרונות.
מוחמד אמין חסביני, חוקר אבטחה בכיר בצוות מחקר וניתוח גלובלי של ענקית האבטחה הרוסית, אמר כי "קווי הדמיון וההשוואה בין שלושת הקמפיינים הזדוניים האלה סיקרנו אותנו מאד. האם StoneDrill הוא Wiper נוסף המופעל על ידי מפעילי Shamoon? האם StoneDrill ו-Shamoon הן שתי קבוצות שונות ונפרדות שבמקרה ממוקדות במקביל בארגונים בערב הסעודית? או שמדובר בשתי קבוצות שהן נפרדות – אבל פועלות במשותף"?
"האפשרות האחרונה היא הסבירה ביותר: בעוד Shamoon משלב מרכיבי שפה בערבית-תימנית, StoneDrill משלב בעיקר פרסית. גם איראן וגם תימן לוקחות חלק במשבר האזורי שבין איראן לסעודיה, בעוד בערב הסעודית נמצאים רוב הקורבנות של פעילות זו. אבל כמובן שאנו לא יכולים לשלול את האפשרות כי ממצאים אלה נשתלו במכוון כדי להטעות".
תגובות
(0)