Malver koji briše podatke napada Evropu i Bliski Istok

Wiper malveri Shamoon i StoneDrill, nakon što sakupe informacije koje ih interesuju, uništavaju podatke žrtava sa hard diska.

Malver koji briše podatke napada Evropu i Bliski Istok

Otkrivena je nova varijanta ’wiper’ malvera (malvera koji briše podatke) koji napada organizacije na Srednjem Istoku i u Evropi. Novi malver je otkriven u toku istrage oko ponovne pojave Shamoon malvera koji je izbrisao podatke sa 35.000 računara naftne i gasne kompanije iz Saudijske Arabije u 2012. godini. Nakon tog događaja, Shamoon se pritajio, ali se ponovo pojavio krajem 2016. godine.

StoneDrill

Tokom istrage o Shamoonu 2.0, otkriven je drugačiji i sofisticiraniji malver koji briše podatke pod nazivom StoneDrill. Kada se instalira, StoneDrill se ubacuje u memorijski proces korisnikovog browsera. Zatim pomoću nekoliko anti-emulacionih tehnika izbegava detekciju i počinje da uništava fajlove sa hard diska. Ovde ima i elemenata sajber-špijunaže. Otkrivena su četiri C&C panela koja napadači koriste za špijuniranje nepoznatih meta. Za sada su poznate dve žrtve malvera StoneDrill – jedna je sa Srednjeg Istoka, a druga iz Evrope. Napad na metu iz Evrope je posebno interesantan jer upućuje na to da napadači šire svoje operacije i na područja van Srednjeg Istoka.

Više o malveru Shamoon

Symantec je otkrio da su skorašnji napadi koji uključuju destruktivni malver Shamoon (W32.Disttrack.B) bili usmereni na tačno određene mete sa Srednjeg Istoka, a oni koji se sumnjiče da stoje iza napada su najverovatnije deo mnogo sveobuhvatnije kampanje. Istraživanje Symanteca je pokazalo da su napadači uspeli da kompromituju veći broj žrtava u tom delu sveta, ali da je malver koji briše podatke pušten samo u organizacije iz Saudijske Arabije i one povezane sa njima. Symantec smatra da je kampanju izvela grupa pod imenom Timberworm i da je odgovorna za treći talas napada pomoću Shamoon malvera u januaru 2017., a da je sve to deo mnogo veće operacije koja uključuje napade na veliki broj organizacija.

Dokazi upućuju na to da je Timberworm grupa ušla u sistem saudijskih organizacija nedeljama (u nekim slučajevima i mesecima) pre Shamoon napada. Kada uđu u sistem, primarni cilj napadača je da detaljno snime situaciju, sakupe kredencijale i obezbede sebi trajni pristup sa udaljene lokacije. Shamoon malver je unapred programiran da određenog datuma krene sa brisanjem, a dobija i potrebne kredencijale kako bi efekti koordinisanog napada naneli maksimalnu štetu.

Timberworm grupa je u okviru ove kampanje targetirala pojedince u određenim kompanijama preko Spear phishing napada. Neki od tih Spear phishing mejlova su sadržali Word ili Excel dokument u atačmentu, dok su drugi sadržali maliciozne linkove ka sličnim fajlovima. Otvaranjem dokumenta poziva se PowerShell iz malicioznog macroa koji napadaču daje pristup računaru sa udaljene lokacije. Ako Timberworm grupa odluči da im je meta atraktivna, kreće standardni proces ubacivanja kastomizovanog malvera, alata i softvera za hakovanje u sistem, odnosno mrežu organizacije. Zatim, napadači konfigurišu Shamoon i koordinišu napade za unapred određeni datum.

Sličnosti i razlike

Ima nekoliko sličnosti između Shamoon 2.0 malvera i StoneDrill malvera, prvenstveno u pogledu vremena i meta napada. Ima i nekoliko razlika. StoneDrill koristi napredne tehnike izbegavanja detekcije, eksterne skripte i ubacuje se direktno u browser žrtve, a Shamoon 2.0 funkcioniše drugačije. Zbog ovih razlika veruje se da su u pitanju dve različite grupe sajber-kriminalaca koje imaju slične interese, ali koje nisu direktno povezane. S druge strane, ima zanimljivih slilčnosti između StoneDrill i NewsBeef APT u tome što StoneDrill koristi delove koda NewsBeefa, koji je takođe targetirao kompanije u Saudijskoj Arabiji.

Shamoon koristi varijantu arapskog jezika koja se koristi u Jemenu i jugozapadnom delu Saudijske Arabije, dok StoneDrill koristi uglavnom persijski (farsi) karakterističan za zemlje poput Irana, iraka, Avganistana itd. Geopolitički posmatrano, Iran i Jemen su igrači u konfliktu između Irana i Saudijske Arabije, a Saudijska Arabija je zemlja odakle dolazi najveći broj žrtava ovih malvera. Naravno, to može biti i slučajnost.

Zaključak

Ovi napadi pokazuju kako hakerske grupe sve više koriste uobičajene, legitimne alate za kompromitovanje sistema. Napadači u slučaju Shamoon napada su dobili pristup sistemu pomoću tehnike socijalnog inženjeringa (Spear phishing) i zloupotrebom Office macroa i PowerShella. Očigledno je da napadači veruju da će ih odbrambeni sistemi teže detektovati ukoliko koriste legitimne alate uz minimalno korišćenje malvera.