נחשף קוד זדוני חדש והרסני StoneDrill מסוג Wiper המתקדם מהמזה"ת לאירופה
מאת:
מערכת Telecom News, 6.3.17, 20:35
זו הפעם הראשונה שה-Wiper מבצע הגירה מהמזרח התיכון לאירופה. מה מומלץ לארגונים לעשות כדי להגן מפני מתקפות חדשות אלו?
צוות המחקר והניתוח הגלובלי של מעבדת קספרסקי חשף קוד זדוני חדש ומתוחכם מסוג
wiper הנקרא
StoneDrill. בדיוק כמו אחיו הגדול והידוע לשמצה
Shamoon ממשפחת ה-
Wiper, גם הוא מוחק כל דבר הנמצא על המחשב הנגוע, כשבנוסף מכיל
StoneDrill גם יכולות מתקדמות נגד זיהוי וכלי ריגול מתוחכמים. מטרה אחת של
StoneDrill זוהתה במזרח התיכון ומטרה אחת זוהתה באירופה – כשזו הפעם הראשונה שה-
Wiperמבצע הגירה מהמזרח התיכון לאירופה.
ב-2012, גרם
Shamoon (המוכר גם כ-
Disttrack) לנזקים עצומים כאשר הפיל 35,000 מחשבים בחברות נפט וגז במזרח התיכון, התקפה הרסנית, שסיכנה 10% מאספקת הנפט העולמית. מאז נעלם
Shamoon וחזר רק לקראת סוף 2016 כ-
Shamoon 2.0, קמפיין זדוני נרחב בהרבה שהשתמש בגרסה מעודכנת של הקוד הזדוני מ-2012.
במהלך חקירת התקפות
Shamoon, חשפו חוקרי החברה קוד זדוני, שנבנה בסגנון דומה ל-
Shamoon 2.0, אך גם שונה ממנו מאוד ומתוחכם יותר. הקוד החדש זכה לשם
StroneDrill.
Strone-Drill –
Wiper עם קשרים
עדיין לא ידוע כיצד
StoneDrill מופץ, אבל ברגע שהוא מופיע במכונה פגועה הוא מזריק את עצמו לתהליך בזיכרון של הדפדפן המועדף על המשתמש. במשך תהליך זה הוא משתמש ב-2 טכניקות מתוחכמות כנגד אמולציה, שנועדה להטעות פתרונות אבטחה המותקנים על המכונה הפגועה. אחרי שהוא מתבסס, הקוד הזדוני מתחיל להרוס את הקבצים בדיסקים של המחשב.
מעבר למודול האחראי למחיקה, חוקרי החברה מצאו גם דלת אחורית של
StoneDrill, שכנראה פותחה ע"י אותם כותבי קוד ומשמשת למטרות ריגול. החוקרים גילו 4 פקודות ולוחות בקרה, שמשמשים את התוקפים כדי לבצע פעולות ריגול באמצעות דלת אחורית נגד מספר בלתי ידוע של מטרות.
הדבר המעניין ביותר לגבי
StoneDrill הוא הקשרים, שכנראה יש לו למספר קמפיינים קודמים של ריגול ומחיקת קבצים, שנצפו בעבר. חוקרי החברה חשפו את
StoneDrill באופן מקרי באמצעות
,Yara-rules שנוצרו כדי לזהות דוגמיות בלתי מוכרות של
Shamoon. כאשר הדוגמיות נלכדו הם הבינו, שלמעשה הם בוחנים קוד זדוני שונה, שכנראה נוצר באופן נפרד מ-
Shamoon. למרות ש-2 המשפחות –
Shamoon ו-
StoneDrill – אינן חולקות את אותו קוד בסיס, דרך החשיבה של הכותבים וסגנון התכנות שלהם נראה דומה. זו הסיבה, שאפשר לזהות את
StoneDrill באמצעות חוקי
,Yara שנכתבו עבור
Shamoon.
בקוד הזדוני קיימים גם קווי דמיון אל קוד זדוני אחר, שזוהה בעבר. למעשה,
StoneDrill עושה שימוש בחלקים מקוד, שבעבר נצפה ב-
NewsBeef APT, שמוכר גם כ-
Charming Kitten, קמפיין זדוני, שהיה פעיל בשנים האחרונות.
מוחמד אמין חסביני, חוקר אבטחה בכיר, צוות מחקר וניתוח גלובלי, מעבדת קספרסקי: "סיקרנו אותנו מאוד קווי הדמיון וההשוואה בין 3 הקמפיינים הזדוניים האלה. האם
StoneDrill הוא
wiper נוסף המופעל ע"י מפעילי
Shamoon? האם
StoneDrill ו-
Shamoon הן 2 קבוצות שונות ונפרדות, שבמקרה ממוקדות במקביל בארגונים בערב הסעודית? או שמדובר ב-2 קבוצות, שהן נפרדות אבל פועלות במשותף?
אנו מעריכים, שהאפשרות האחרונה היא הסבירה ביותר: עפ"י הממצאים אנו יכולים לומר, כשעוד
Shamoon משלב מרכיבי שפה בערבית-תימנית,
StoneDrill משלב בעיקר פרסית. ניתוח גיאופוליטי יראה, שגם אירן וגם תימן לוקחות חלק במשבר האזורי בין אירן לסעודיה, בעוד שבערב הסעודית נמצאים רוב הקורבנות של פעילות זו. אבל כמובן,שאנו לא יכולים לשלול את האפשרות, שממצאים אלה נשתלו במכוון כדי להטעות".
כדי להגן על ארגונים מפני התקפות שכאלה, מומחי מעבדת קספרסקי ממליצים על הצעדים הבאים:
- ביצוע סקר אבטחה של רשת הבקרה (לדוגמא, ביקורת רשת, מבחני חדירה, ניתוח פערי אבטחה), כדי לזהות ולהסיר כל חור באבטחה. בנוסף, יש לבצע סקירה של מדיניות אבטחה של ספקים חיצוניים ושותפים במקרה שיש להם גישה ישירה לרשת הבקרה.
- בקשת מודיעין חיצוני: מודיעין מספקים מובילים מסייע לארגונים לחזות התקפות עתידיות על התשתית התעשייתית של החברה.
- אמון ותדרוך העובדים, תוך מתן תשומת לב מיוחדת לצוות תפעול והנדסה ולמודעות שלהם להתקפות ואיומים עדכניים.
- אספקת הגנה בתוך היקף הרשת ומחוצה לה. אסטרטגיית אבטחה מתאימה חייבת להקדיש משאבים מספיקים לזיהוי התקפות ולתגובה, במטרה לחסום התקפה לפני שהיא מגיעה לאזורים קריטיים.
- בחינת הפעלה של שיטות הגנה מתקדמות: כולל בחינות שלמות קבועות של בקרים וניטור רשת ייחודי, להגברת רמת האבטחה הכוללת של החברה ולהפחתת הסיכון לפריצה מוצלחת, אפילו במקרה שלא ניתן לתקן או להסיר נקודות פגיעות ברשת.
מידע נוסף על
Shamoon 2.0 ו-
StoneDrill -כאן.