Uzņēmumiem Tuvajos Austrumos un Eiropā ir uzbrukusi jauna sarežģītā ļaunprogrammatūra, kas inficētajā datorā iznīcina visus datus. Kaspersky Lab ir konstatējis dzēšanas programmu StoneDrill, kas ne vien neatgriezeniski izdzēš ierīcē saglabātos datus, bet arī izspiego upurus un centīgi izvairās nokļūt drošības programmatūru uzmanības lokā.
StoneDrill uzvedība ļoti atgādina pirms pieciem gadiem sensāciju izraisījušo līdzīgo programmu Shamoon
(kas ir pazīstama arī ar nosaukumu Disttrack) — 2012. gadā šī ļaunprogrammatūra paralizēja 35 tūkstošu datoru darbību naftas un gāzes uzņēmumā Tuvajos Austrumos, tādā veidā apdraudot ievērojamu daļu pasaules naftas rūpniecības. Pēc šī skandalozā notikuma Shamoon izmantojusī grupa norima. Taču šķiet, ka 2016. gada nogalē tā ir atgriezusies, un, izmeklējot šo atgriešanos, Kaspersky Lab eksperti ir atraduši jaunu uzbrucēju ar jaunu sarežģīto ļaunprogrammatūru un plašākiem mērķiem.
StoneDrill izdevās pamanīt, izmantojot mērķuzbrukumu atklāšanas noteikumus (Yara noteikumus), ko Kaspersky Lab eksperti ir izstrādājuši nepazīstamu Shamoon eksemplāru identificēšanai. Lai gan StoneDrill ir veidota Shamoon stilā, starp abām programmām ir liela atšķirība.
Pētnieki joprojām nezina, kā jaunā ļaunprogrammatūra tiek izplatīta, taču, lai paliktu nepamanīta inficētajā ierīcē, tā izmanto divas sarežģītas pretemulācijas metodes, kas neļauj to konstatēt pēc uzvedības. Tiklīdz programma StoneDrill nonāk datorā, tā integrējas ierīcē visbiežāk izmantotā pārlūka atmiņas procesā.
Uzreiz pēc instalēšanās ļaunprogrammatūra sāk iznīcināt datnes cietajā diskā.
Līdztekus informācijas dzēšanas modulim StoneDrill ietver arī sāndurvis upuru izspiegošanai — eksperti ir konstatējuši četrus komandvadības serverus, ko uzbrucēji izmantoja inficēto ierīču novērošanai.
«Mūs ir ļoti ieinteresējusi līdzība, ko mēs konstatējām starp vairākām kaitīgajām operācijām. Izanalizējuši abu ļaunprogrammatūru kodu, mēs redzam arābu valodas Jemenas varianta klātbūtni Shamoon, bet StoneDrill dominē persiešu valoda. Ģeopolitikas analītiķi varētu pieņemt, ka šīs operācijas sarīkojuši Irānas un Jemenas pārstāvji, kas ir ieinteresēti nodarīt kaitējumu uzņēmumiem Saūda Arābijā, kur arī tika konstatēta lielākā daļa StoneDrill un Shamoon uzbrukumos cietušo. Bet, protams, nedrīkst izslēgt iespēju, ka uzbrucēji ir apzināti atstājuši kodā visus valodu marķierus, lai novirzītu pētniekus pa nepareizu ceļu. Turklāt StoneDrill ir konstatēta Eiropā, kas liecina, ka grupējumam ir intereses arī ārpus Tuvo Austrumu reģiona. Un, lai gan uzbrukumam pakļautais Eiropas uzņēmums strādā naftas ķīmijas nozarē, tam nav nekāda sakara ar naftas uzņēmumiem Tuvajos Austrumos,» stāsta Kaspersky Lab pētniecības centra vecākais drošības pētnieks Muhameds Amins Hasbini.
