0

To zagrożenie wykrada dane, a następnie unieruchamia komputery w firmach

Wiele mówi się o zagrożeniach wycelowanych w zwykłych konsumentów, mniej natomiast o tych, których przeznaczeniem jest atakowanie wielkich firm. Do takich należy Shamoon (albo jak kto woli, StoneDrill) - już w wersji drugiej - który po latach nieobecności został mocno podrasowany przez cyberprzestępców, którym zależy na wykradaniu danych z komputerów, a następnie zacieraniu śladów za pomocą doszczętnego czyszczenia dysku.

Historia Shamoon / StoneDrill sięga roku 2012, kiedy to zainfekował ponad 35 tysięcy komputerów w firmie działającej w sektorze paliwowym, która należała do Arabii Saudyjskiej. Obecnie, złośliwe oprogramowanie może pochwalić się nowymi funkcjami i mechanizmami pozwalającymi na łatwe wdarcie się do infrastruktury firmowej. Jak podaje Kaspersky Lab, nowa wersja zagrożenia wycelowana została w inną firmę działającą w sektorze paliwowym – tym razem w Europie.

Odkrywcy zagrożenia wpadli na jego trop w trakcie analizy aktywności Shamoon, dlatego też okrzyknęli go kontynuacją zidentyfikowanego w 2012 roku złośliwego oprogramowania. Niemniej, należy wspomnieć, że StoneDrill oraz Shamoon to różne projekty, które dzielą między sobą mechanizmy ataków oraz fragmenty kodów. Jak podają badacze, bardzo możliwe, że obydwa zagrożenia są autorstwa dwóch różnych grup cyberprzestępców, którzy połączyli siły i postanowili razem stworzyć jeszcze niebezpieczniejsze oprogramowanie. Okazuje się, że StoneDrill jest w stanie doskonale maskować się na komputerach ofiar – moduł usuwający dane wszczepiany jest w część pamięci powiązanej z domyślną przeglądarką użytkownika. Dodatkowo, zagrożenie zawiera w sobie funkcje backdoora, który pozwala na wykradanie newralgicznych danych – zdalnie.

stonedrill

Badacze znaleźli w oprogramowaniu fragmenty, które mogłyby wskazywać, że StoneDrill pochodzi z Iraku lub Jemenu, jednak bierze się pod uwagę to, że cyberprzestępcy mogli je zostawić umyślnie, aby wprowadzić w błąd osoby analizujące zagrożenie. Niemniej, warto odnotować, że właśnie te kraje są zaangażowane w konflikty na Bliskim Wschodzie, których bardzo ważnym elementem jest produkcja oraz sprzedaż paliw.

StoneDrill, albo jak kto woli Shamoon 2.0 pozwala na stworzenie niestandardowych scenariuszy infekcji urządzenia. Pozyskane przez niego dane mogą posłużyć również do dalszego rozprzestrzeniania się oprogramowania w infrastrukturze sieciowej. Kluczowym elementem po pozyskaniu informacji jest ustawienie procedury „samozniszczenia”, razem z danymi znajdującymi się na twardych dyskach komputerów. Co ważne – aby doszło do uruchomienia operacji czyszczenia dysku, niepotrzebna jest łączność z serwerem wydającym komendy StoneDrillowi, wszystko odbywa się w pełni automatycznie.

Cyberzagrożenia w dalszym ciągu są ważnym elementem wojen internetowych między krajami

Firmy zajmujące się przemysłem paliwowym to łakomy kąsek dla państw, które prowadzą podobne interesy – dlatego też nie dziwi nas fakt, iż po raz kolejny pojawia się tego typu zagrożenie. W czasach ogromnych napięć politycznych trzeba liczyć się z tym, że takie przypadki będą się powtarzać coraz częściej. Martwi również fakt, iż StoneDrill został wycelowany w europejską firmę. Tego typu incydenty mogą być wektorem zmian politycznych, o których nie możemy mieć pojęcia – stanowi do kolejny dowód na to, że prowadzenie otwartej wojny w obecnych czasach nie jest konieczne. Wystarczy mieć odpowiednio dużo pieniędzy i… znakomicie wyszkolonych ludzi, którzy stworzą oprogramowanie zdolne do przechwytywania informacji i niszczenia wszelkich śladów.