יום שני , יולי 24 2017
מבזקים
דף הבית > נושאים בכותרות > אבטחה ו-Cyber > על גלי ההגירה – מעבדת קספרסקי חושפת קוד זדוני חדש והרסני בשם StoneDrill מסוג wiper, שהתחיל את דרכו במזרח התיכון ומתקדם לאירופה

על גלי ההגירה – מעבדת קספרסקי חושפת קוד זדוני חדש והרסני בשם StoneDrill מסוג wiper, שהתחיל את דרכו במזרח התיכון ומתקדם לאירופה

Shamoon_ig_3צוות המחקר והניתוח הגלובלי של מעבדת קספרסקי חשף קוד זדוני חדש ומתוחכם מסוג wiper הנקרא StoneDrill. בדיוק כמו אחיו הגדול  והידוע לשמצה Shamoon ממשפחת ה-Wiper, גם הוא מוחק כל דבר הנמצא על המחשב הנגוע, כשבנוסף מכיל StoneDrill גם יכולות מתקדמות נגד זיהוי וכלי ריגול מתוחכמים. מטרה אחת של StoneDrill זוהתה במזרח התיכון ומטרה אחת זוהתה באירופה – כשזו הפעם הראשונה שה- Wiper מבצע הגירה מהמזרח התיכון לאירופה.

ב-2012, גרם Shamoon (המוכר גם כ-Disttrack) לנזקים עצומים כאשר הפיל 35,000 מחשבים בחברות נפט וגז במזרח התיכון, התקפה הרסנית שסיכנה 10% מאספקת הנפט העולמית. מאז נעלם Shamoon  וחזר רק לקראת סוף 2016 כ-Shamoon 2.0, קמפיין זדוני נרחב בהרבה שהשתמש בגרסה מעודכנת של הקוד הזדוני מ-2012. במהלך חקירת התקפות Shamoon, חשפו חוקרי מעבדת קספרסקי קוד זדוני שנבנה בסגנון דומה ל-Shamoon 2.0, אך גם שונה ממנו מאוד ומתוחכם יותר. הקוד החדש זכה לשם StroneDrill.

Strone-DrillWiper עם קשרים

עדיין לא ידוע כיצד StoneDrill מופץ, אבל ברגע שהוא מופיע במכונה פגועה הוא מזריק את עצמו לתהליך בזיכרון של הדפדפן המועדף על המשתמש. במשך תהליך זה הוא משתמש בשתי טכניקות מתוחכמות כנגד אמולציה, אשר נועדה להטעות פתרונות אבטחה המותקנים על המכונה הפגועה. אחרי שהוא מתבסס,  הקוד הזדוני מתחיל להרוס את הקבצים בדיסקים Shamoon_ig_2של המחשב. מעבר למודול האחראי למחיקה, חוקרי מעבדת קספרסקי מצאו גם דלת אחורית של StoneDrill, שכנראה פותחה על ידי אותם כותבי קוד ומשמשת למטרות ריגול. החוקרים גילו 4 פקודות ולוחות בקרה שמשמשים את התוקפים כדי לבצע פעולות ריגול באמצעות דלת אחורית כנגד מספר בלתי ידוע של מטרות. הדבר המעניין ביותר לגבי StoneDrill הוא הקשרים שכנראה יש לו למספר קמפיינים קודמים של ריגול ומחיקת קבצים שנצפו בעבר. חוקרי מעבדת קספרסקי חשפו את StoneDrill באופן מקרי באמצעות Yara-rules שנוצרו כדי לזהות דוגמיות בלתי מוכרות של Shamoon. כאשר הדוגמיות נלכדו הם הבינו כי למעשה הם בוחנים קוד זדוני שונה שכנראה נוצר באופן נפרד מ-Shamoon. למרות ששתי המשפחות – Shamoon ו-StoneDrill – אינן חולקות את אותו קוד בסיס, דרך החשיבה של הכותבים וסגנון התכנות שלהם נראה דומה. זו הסיבה שאפשר לזהות את StoneDrill באמצעות חוקי Yara שנכתבו עבור Shamoon.

בקוד הזדוני קיימים גם קווי דמיון אל קוד זדוני אחר שזוהה בעבר. למעשה, StoneDrill עושה שימוש בחלקים מקוד שבעבר נצפה ב-NewsBeef APT, המוכר גם כ-Charming Kitten, קמפיין זדוני שהיה פעיל בשנים האחרונות. "סיקרנו אותנו מאוד קווי הדימיון וההשוואה בין שלושת הקמפיינים הזדוניים האלה. האם StoneDrill הוא wiper נוסף המופעל על ידי מפעילי Shamoon? האם StoneDrill ו-Shamoon הן שתי קבוצות שונות ונפרדות שבמקרה ממוקדות במקביל בארגונים בערב הסעודית? או שמדובר בשתי קבוצות שהן נפרדות אבל פועלות במשותף? אנו מעריכים כי האפשרות האחרונה היא הסבירה ביותר: על פי הממצאים אנו יכולים לומר כי בעוד Shamoon משלב מרכיבי שפה בערבית-תימנית, StoneDrill משלב בעיקר פרסית. ניתוח גיאופוליטי יראה כי גם אירן וגם תימן לוקחות חלק במשבר האזורי בין אירן לסעודיה, בעוד שבערב הסעודית נמצאים רוב הקורבנות של פעילות זו. אבל כמובן שאנו לא יכולים לשלול את האפשרות כי ממצאים אלה נשתלו במכוון כדי להטעות", אמר מוחמד אמין חסביני, חוקר אבטחה בכיר, צוות מחקר וניתוח גלובלי, מעבדת קספרסקי. מוצרי מעבדת קספרסקי מזהים בהצלחה וחוסמים קוד זדוני הקשור ל- Shamoon, StoneDrill ו- NewsBeef.

כדי להגן על ארגונים מפני התקפות שכאלה, מומחי מעבדת קספרסקי ממליצים על הצעדים הבאים:

  • ביצוע סקר אבטחה של רשת הבקרה (לדוגמא, ביקורת רשת, מבחני חדירה, ניתוח פערי אבטחה), כדי לזהות ולהסיר כל חור באבטחה. בנוסף, יש לבצע סקירה של מדיניות אבטחה של ספקים חיצוניים ושותפים במקרה שיש להם גישה ישירה לרשת הבקרה.
  • בקשת מודיעין חיצוני: מודיעין מספקים מובילים מסייע לארגונים לחזות התקפות עתידיות על התשתית התעשייתית של החברה. צוותים לתגובת חירום, כגון ICS CERT של מעבדת קספרסקי, מספקים מודיעין ללא עלות.
  • אמון ותדרוך העובדים, תוך מתן תשומת לב מיוחדת לצוות תפעול והנדסה ולמודעות שלהם להתקפות ואיומים עדכניים.
  • אספקת הגנה בתוך היקף הרשת ומחוצה לה. אסטרטגיית אבטחה מתאימה חייבת להקדיש משאבים מספיקים לזיהוי התקפות ולתגובה, במטרה לחסום התקפה לפני שהיא מגיעה לאזורים קריטיים.
  • בחינת הפעלה של שיטות הגנה מתקדמות: כולל בחינות שלמות קבועות של בקרים וניטור רשת ייחודי, להגברת רמת האבטחה הכוללת של החברה ולהפחתת הסיכון לפריצה מוצלחת, אפילו במקרה שלא ניתן לתקן או להסיר נקודות פגיעות ברשת.

מידע נוסף על Shamoon 2.0 ו- StoneDrill אפשר לקרוא ב-Securelist.com. למידע נוסף על התקפות עבר של  Shamoon ראו כאן.

 

אודות מערכת ITNEWS מאיר עשת

מנהל/עורך אתר ITNEWS. בוגר כלכלה ומנה"ס באונ' בן גוריון ו- MBA בירושליים. בעבר: כהן כיועץ כלכלי מטעם המדינה בהולנד ובהודו. היה סמנכ"ל שיווק בברדר, משנה למנכ"ל בסטארטאפ TVNGO, מנהל IT מגזין של גלובס בשנתיים האחרונות.