Novo malware recorre a técnicas anti-deteção e de espionagem

O StoneDrill foi detetado pela equipa de análise e investigação da Kaspersky Lab (GREAT) e dispõe de avançadas técnicas anti deteção e espionagem. Para além dos seus objetivos no Médio Oriente, StoneDrill já foi identificado também na Europa, onde os wipers ainda não tinham surgido.

Em 2012, o wiper Shamoon (conhecido também como Disttrack) tornou-se famoso ao infetar cerca de 35 mil computadoras de uma empresa petrolífera do Médio Oriente. O ataque colocou em perigo cerca de 10% do fornecimento mundial de petróleo. No entanto, o incidente ocorreu apenas uma vez, e no final do ano passado foi detetada uma variante muito mais extensa que utiliza uma versão atualizada do malware de 2012 - Shamoon 2.0. Precisamente quando estavam a analisar estes ataques, os investigadores da Kaspersky Lab encontraram outro malware semelhante ao Shamoon 2.0 que, no entanto, era muito diferente e mais sofisticado, ao qual foi dado o nome de StoneDrill.

A Kaspersky ainda não detetou de que forma se propaga o StoneDrill, mas verificou que este, após entrar no equipamento infetado, se aloja no processador de memória do motor de busca preferido do utilizador. O StoneDrill utiliza duas técnicas sofisticadas de anti emulação com o objetivo de despistar as soluções de segurança instaladas no sistema da vítima, procedendo à destruição dos arquivos dos discos do equipamento. Até agora foram identificados dois casos do wiper StoneDrill, um no Médio Oriente e outro na Europa.

Juntamente com o módulo de eliminação, os analistas da Kaspersky Lab encontraram uma backdoor do StoneDrill que terá sido desenvolvida pelos mesmos programadores e utilizado para espiar. Os especialistas descobriram quatro painéis de comando e controlo utilizados pelos atacantes para realizar operações de espionagem com a ajuda da backdoor contra um número desconhecido de alvos.

Quando os investigadores da Kaspersky Lab descobriram o StoneDrill, deram-se conta de que estavam perante um objeto malicioso que parecia ter sido criado sem relação com o Shamoon. E, apesar de ambas as famílias, Shamoon e StoneDrill não partilharem o mesmo código base, o estilo de programação e os alvos dos autores são muito semelhantes.

Também foi possível observar semelhanças com outros malwares anteriores, no entanto não entre o Shamoon e StoneDrill. Aliás, o StoneDrill utilizava alguns fragmentos do código encontrado na NewsBeef APT, também conhecido como Charming Kitten, outra campanha maliciosa muito ativa nos últimos anos.

 “Estamos muito intrigados pelas parecenças e comparações entre estas três operações. Será que o StoneDrill é fruto do mesmo sujeito por trás de Shamoon? Ou, quem sabe StoneDrill e Shamoon têm por trás dois grupos distintos e nenhuma conexão em comum mas pretendem ambos atacar entidades sauditas? Ou pertencem a dois grupos distintos perfeitamente alinhados nos seus objetivos? Provavelmente esta última possibilidade será a mais plausível uma vez que, enquanto o Shamoon inclui secções escritas em árabe, StoneDrill tem-nas em persa. Os analistas geopolíticos rapidamente comentariam que tanto o Irão como o Iémen são atores no conflito entre Irão e Arabia Saudita, e a Arabia Saudita é o país onde mais vítimas deste malware foram identificadas. No entanto, isto não exclui a possibilidade de que estes alvos sejam simplesmente iscos”, comenta Mohamad Amin Hasbini, analista sénior de segurança da equipa mundial de análise e investigação da Kaspersky Lab.

O fabricante de soluções de segurança aconselha os utilizadores a realizarem um teste de segurança à rede de controlo, de forma a identificar e eliminar quaisquer falhas de segurança. Será necessário rever as políticas de segurança de terceiros e fornecedores externos que tenham acesso direto à rede de controlo. De acordo com a Kaspersky é também fundamental apostar na formação dos colaboradores, dedicando especial atenção aos equipamentos de engenharia e operações e ao conhecimento dos mais recentes ataques e ameaças, e dispor de protção adequada.