«Лаборатория Касперского» обнаружила новую сложную вредоносную программу StoneDrill. Как и другая печально известная программа для стирания следов работы с приложениями и доступа к файлам Shamoon, она уничтожает все на зараженном компьютере. Также в арсенале StoneDrill — передовые техники против обнаружения и шпионские средства. Помимо мишеней на Ближнем Востоке, одна цель StoneDrill обнаружена в Европе, где программы-стиратели, использовавшиеся на Ближнем Востоке, ранее не встречались на практике.
В 2012 году Shamoon (также известный как Disttrack) наделал много шума, выведя из строя около 35 000 компьютеров в нефтегазовой компании на Ближнем Востоке. Эта разрушительная атака подвергла потенциальному риску 10% мирового запаса нефти. Однако этот инцидент был единственным в своем роде, и после него злоумышленник фактически залег на дно. В конце 2016 года он вернулся в виде Shamoon 2.0 — гораздо более обширной вредоносной кампании, использующей сильно обновленную версию вредоносного кода 2012 года.
При изучении этих атак исследователи «Лаборатории Касперского» неожиданно обнаружили вредоносное ПО, составленное в подобном Shamoon 2.0 «стиле». В то же время оно было совсем другим и более сложным, чем Shamoon. Они назвали его StoneDrill. Пока неизвестно, как распространяется StoneDrill, но, попав на атакованную машину, программа внедряется в процесс памяти любимого браузера пользователя. В ходе этого процесса используются два сложных метода борьбы с эмуляцией, предназначенные для обмана защитных решений, установленных на компьютере-жертве. Затем вредоносное ПО начинает уничтожать файлы на диске компьютера.
До настоящего времени были идентифицированы, как минимум, две мишени стирателя StoneDrill, одна из которых находится на Ближнем Востоке, другая — в Европе.
Помимо модуля очистки, «Лаборатория Касперского» также обнаружила лазейку StoneDrill, которая, по-видимому, была разработана теми же авторами кода и использовалась в шпионских целях. Специалисты обнаружили четыре панели управления и контроля, которые использовались атакующими для выполнения шпионских операций с помощью лазейки StoneDrill против нескольких целей.
Самое интересное в StoneDrill — то, что она, похоже, связана с несколькими другими программами-стирателями и шпионскими операциями, которые наблюдались ранее. Когда исследователи «Лаборатории Касперского» обнаружили StoneDrill с помощью показателей компрометации Yara-rules, созданных для идентификации неизвестных образцов Shamoon, они поняли, что изучают уникальный фрагмент вредоносного кода, который, по-видимому, был создан отдельно от Shamoon. Несмотря на то, что два семейства — Shamoon и StoneDrill — имеют разные базы кода, cклад ума авторов и их стиль программирования кажутся похожими. Сходство кода наблюдалось и с более ранними известными вредоносными программами. Фактически, StoneDrill использует некоторые части кода, ранее отмеченные в APT NewsBeef, также известном как Charming Kitten — еще одна вредоносная кампания, действующая последние несколько лет.