Apie programą naikintoją „StoneDrill“, kuri ne tik neatkuriamai pašalina duomenis iš įrenginio, bet ir šnipinėja aukas bei apdairiai vengia pakliūti į programinės apsaugos įrangos radarus, rašoma „Kaspersky Lab“ pranešime spaudai.

„StoneDrill“ labai primena prieš 5-erius metus pagarsėjusią analogišką programą „Shamoon“, taip pat žinomą kaip „Disttrack“, – 2012 m. šis virusas paralyžiavo Artimųjų Rytų naftos ir dujų bendrovių 35 tūkst. kompiuterių darbą ir smogė didelei pasaulio naftos gavybos pramonės daliai.

Po šio garsaus atvejo grupuotė, sukūrusi „Shamoon“, pasitraukė į šešėlį. Tačiau 2016 m. pabaigoje ji, panašu, grįžo, ir šį grįžimą tiriantys „Kaspersky Lab“ ekspertai rado naują žaidėją su nauju sudėtingu virusu ir gerokai didesniais tikslais.

Aptikti „StoneDrill“ pavyko taikant tikslinių išpuolių aptikimo taisykles, t.y. „Yara“ taisykles. Ir nors „StoneDrill“ sukurtas „Shamoon“ stiliumi tarp abiejų programų yra didžiulis skirtumas.

Tyrėjai iki šiol nežino, kaip plinta šis virusas, bet tam, kad liktų nepastebėtas užkrėstame įrenginyje, jis taiko dvi sudėtingas antiemuliacines technikas, kurios neleidžia jo aptikti pagal elgesį.

Kai tik „StoneDrill“ programa pakliūna į kompiuterį, ji įsidiegia į tos naršyklės, kuria įrenginyje naudojamasi dažniausiai, atmintį. Vos įsidiegęs virusas pradeda naikinti kietojo disko failus.

Be informaciją naikinančio modulio, „StoneDrill“ taip pat turi virusą šnipinėti aukas – ekspertai aptiko keturis valdymo serverius, su kuriais sukčiai sekė užkrėstuose įrenginiuose.

„Mes labai domimės tais panašumais, kuriuos aptikome tarp įvairių kenkėjiškų operacijų. Išnagrinėję dviejų programų kodus, matome, kad „Shamoon“ yra Jemeno arabų kalbos variantas, o „StoneDrill“ daugiau vartojama persų kalba. Geopolitikai galėtų įsivaizduoti, kad operacijas vykdo Irano ir Jemeno žaidėjai, siekiantys sukelti nuostolį Saudo Arabijos bendrovėms, kur ir buvo aptikta dauguma „StoneDrill“ ir „Shamoon“ išpuolių aukų", – pranešime cituojamas „Kaspersky Lab“ tyrimo centro vyriausiasis antivirusų ekspertas Mohamadas Aminas Hasbini.

Pasak jo, neverta atmesti galimybės, kad visi kalbos požymiai kode palikti tyčia – nukreipti ekspertus neteisingu keliu.

Bendrovės nuomone, aptiktas „StoneDrill“ Europoje liudija, kad grupuotė domisi ne tik Artimųjų Rytų regionu. Nors užpulta Europos bendrovė dirba naftos srityje, ji neturi jokių ryšių su naftos verslu Artimuosiuose Rytuose

Šaltinis
Temos
Griežtai draudžiama Delfi paskelbtą informaciją panaudoti kitose interneto svetainėse, žiniasklaidos priemonėse ar kitur arba platinti mūsų medžiagą kuriuo nors pavidalu be sutikimo, o jei sutikimas gautas, būtina nurodyti Delfi kaip šaltinį.
www.DELFI.lt
Prisijungti prie diskusijos Rodyti diskusiją