Riprendono gli attacchi del malware Shamoon: il nuovo wiper prende di mira il Medio Oriente e mostra interesse per obiettivi europei
Il Global Research and Analysis Team di Kaspersky Lab ha scoperto un nuovo sofisticato malware wiper, chiamato StoneDrill. Proprio come il famigerato wiper Shamoon, distrugge tutto ciò che è presente sul computer infettato. StoneDrill presenta inoltre tecniche anti-rilevamento e tool di spionaggio avanzati. In aggiunta agli obiettivi situati in Medio Oriente, è stata scoperta una vittima di StoneDrill anche in Europa, dove non erano mai stati rilevati in the wild wiper utilizzati in Medio Oriente.
Nel 2012, il wiper Shamoon (anche conosciuto come Disttrack) creò molta confusione bloccando quasi 35.000 computer in un’azienda del settore petrolifero e del gas in Medio Oriente. Questo devastante attacco ha messo potenzialmente a rischio il 10% dell’approvvigionamento petrolifero mondiale. Tuttavia, si trattò di un singolo episodio e, successivamente, il gruppo criminale si fermò. Verso la fine del 2016 è però tornato sotto forma di Shamoon 2.0, una campagna nociva molto più estesa che sfrutta una versione aggiornata del malware del 2012.
Analizzando questi attacchi, i ricercatori di Kaspersky Lab hanno inaspettatamente scoperto un malware dallo “stile” simile a Shamoon 2.0 ma, al contempo, molto diverso e più sofisticato di Shamoon. Lo hanno chiamato StoneDrill.
StoneDrill – un wiper con legami
Non si sa ancora come venga diffuso StoneDrill, ma una volta sulla macchina attaccata si inserisce nel processo di memoria del browser preferito dall’utente. Durante questo processo usa due tecniche anti-emulazione sofisticate che mirano a ingannare le soluzioni di sicurezza installate sulla macchina colpita. Il malware inizia quindi a eliminare i file sul disco del computer.
Fino ad ora, sono stati identificati almeno due obiettivi del wiper StoneDrill, uno situato in Medio Oriente e uno in Europa.
Oltre al modulo di rimozione, i ricercatori di Kaspersky Lab hanno scoperto anche una backdoor StoneDrill, che sembra essere stata sviluppata dagli stessi programmatori e usata a scopo di spionaggio. Gli esperti hanno scoperto quattro pannelli di comando e controllo utilizzati dai criminali per condurre operazioni di spionaggio contro un numero sconosciuto di obiettivi con il supporto della backdoor StoneDrill.
La caratteristica forse più interessanti di StoneDrill è che sembra avere legami con numerosi altri wiper e operazioni di spionaggio precedentemente osservati. Quando i ricercatori di Kaspersky Lab hanno scoperto StoneDrill con l’aiuto delle Yara-rule create per identificare campioni sconosciuti di Shamoon, hanno realizzato che si trattava di un codice nocivo unico che sembra essere stato creato separatamente da Shamoon. Anche se le due famiglie – Shamoon e StoneDrill – non condividono lo stesso codice di base, la mentalità degli autori e lo “stile” di programmazione sembrano simili. Ecco perché è stato possibile identificare StoneDrill con le Yara-rule sviluppate per Shamoon.
Sono state inoltre osservate somiglianze di codice con malware meno recenti, ma in questo caso non tra Shamoon e StoneDrill. Infatti, StoneDrill usa alcune parti di codice precedentemente rilevate nell’APT NewsBeef, anche conosciuta come Charming Kitten, un’altra campagna nociva che è stata attiva negli ultimi anni.
“Eravamo molto incuriositi dalle somiglianze tra queste tre operazioni nocive. Si tratta di un altro wiper sfruttato dal gruppo criminale Shamoon? O StoneDrill e Shamoon sono due gruppi diversi e non connessi a cui è semplicemente capitato di prendere di mira organizzazioni saudite nello stesso momento? Oppure si tratta di due gruppi separati ma allineati sugli obiettivi? L’ultima teoria è la più probabile: per quanto riguarda gli artefatti, possiamo dire che, mentre Shamoon integra sezioni linguistiche tipiche dell’Arabia e dello Yemen, StoneDrill comprende principalmente sezioni di lingua iraniana. Un’analisi geopolitica evidenzierebbe rapidamente che l’Iran e lo Yemen sono entrambi coinvolti nel conflitto per procura tra Iran e Arabia Saudita e quest’ultimo Paese è quello col maggior numero di vittime rilevate. Tuttavia, non escludiamo sicuramente la possibilità che questi artefatti siano delle false flag”, ha commentato Mohamad Amin Hasbini, Senior Security Researcher del Global Research and Analysis Team di Kaspersky Lab.
Le soluzioni Kaspersky Lab rilevano e bloccano con successo il malware legato a Shamoon, StoneDrill e NewsBeef.
Per proteggere le aziende da questo tipo di attacchi, gli esperti di sicurezza di Kaspersky Lab consigliano di:
Condurre una valutazione di sicurezza della rete di controllo (ad esempio un audit di sicurezza, un test di penetrazione o una gap analysis) per identificare e rimuovere ogni lacuna di sicurezza. È inoltre necessario rivedere le policy di sicurezza dei vendor esterni e delle terze parti in caso abbiano accesso diretto alla rete di controllo.
· Richiedere un’intelligence esterna: l’intelligence di vendor affidabili aiuta le aziende a prevedere gli attacchi futuri all’infrastruttura industriale. I team di risposta in caso di emergenza, come l’ICS CERT di Kaspersky Lab, offrono gratuitamente intelligence multisettoriale.
· Educare i dipendenti facendo particolare attenzione allo staff operativo e ingegneristico e alla loro conoscenza di minacce e attacchi recenti.
· Offrire sicurezza all’interno e all’esterno del perimetro. Una strategia di sicurezza appropriata deve dedicare molte risorse al rilevamento e alla risposta agli attacchi per bloccarli prima che raggiungano obiettivi d’importanza cruciale.
· Valutare metodi avanzati di protezione, che includono regolari verifiche d’integrità per i controller e monitoraggio specializzato della rete per migliorare la sicurezza complessiva dell’azienda e ridurre le possibilità di intrusione, anche se alcuni nodi intrinsecamente vulnerabili non possono essere corretti o eliminati.
