Nový ničivý malware StoneDrill

Přestože se v souvislosti s kybernetickými útoky v poslední době mluví zejména o vyděračském ransomware, případně o DDoS útocích, z módy bohužel nevyšly ani ryze destruktivní viry, které v infikovaných počítačích ničí veškeré soubory a složky. Mezi takové typy malwaru patřil Shamoon, jehož první verze už v roce 2012 způsobila velký poprask tím, že vyřadila z provozu okolo 35 tisíc počítačů jedné ropné společnosti z Blízkého východu. Jeho nová verze Shamoon 2.0 byla zaznamenána na konci loňského roku. Nyní se navíc objevila velmi podobná hrozba v podobě malwaru StoneDrill, který v současnosti škodí především v zemích Blízkého východu, ale podle expertů Kaspersky Lab se už zatoulal i do Evropy.

StoneDrill patří mezi tzv. wiper malware a stejně jako Shamoon ničí v infikovaných počítačích veškeré složky. Využívá přitom pokročilé technologie, které znesnadňují jeho detekci, a nástroje umožňující špionáž. Doposud StoneDrill útočil na cíle na Blízkém východě, ale jeden útok už byl detekován i v Evropě.

Doposud není jasné, jak se StoneDrill šíří, ale jakmile se do napadeného zařízení dostane, ihned pronikne do paměti uživatelova oblíbeného internetového prohlížeče. V průběhu tohoto procesu využívá dvě propracované anti-emulační techniky s cílem obejít bezpečnostní řešení nainstalovaná na zařízení oběti. Malware následně začne ničit složky na pevném disku počítače. Kromě mazání obsahu pevného disku objevili experti Kaspersky Lab další funkci StoneDrillu - backdoor. S největší pravděpodobností byl vyvinut stejnými programátory s cílem špionážního využití.

To co je na StoneDrillu možná nejzajímavější, je fakt, že by mohla existovat spojitost mezi ním a dalšími wipery a špionážními operacemi, které byly pozorovány již dříve. Když totiž analytici Kaspersky Lab objevili StoneDrill uvědomili si, že před sebou mají unikátní část škodlivého kódu, který byl vytvořen odděleně od Shamoonu, ale programátorský "styl" je v obou případech velmi podobný. Díky tomu tak mohl být StoneDrill identifikován na základě bezpečnostních pravidel Yara vyvinutých pro Shamoon.

"Podobnosti a provázanost těchto zákeřných operací nás velmi zajímá. Je StoneDrill dalším wiperem nasazeným stejným aktérem jako Shamoon? Nebo jsou StoneDrill a Shamoon dvě odlišné a nepropojené skupiny, které pouze shodou náhod cílily ve stejnou chvíli na Saudské organizace? Nebo představují dvě samostatné skupiny sledující jeden cíl? Tato poslední teorie se zdá být nejpravděpodobnější. Pokud jde o lidské stopy v kódu, můžeme říct, že Shamoon vykazuje arabsko-jemenské jazykové prostředky a StoneDrill převážně perské. Geopolitičtí analytici by pravděpodobně ihned poukázali na fakt, že Írán s Jemenem jsou významnými hráči v konfliktu mezi Íránem a Saudskou Arábií, přičemž právě v Saudské Arábii se nachází nejvíce obětí těchto operací. My ovšem nemůžeme vyloučit, že se v případě těchto lidských stop nejedná o podvrhy," říká David Emm z Kaspersky Lab.