Вайпер-пати на большой дороге. Ближневосточная версия.

Что общего между кибербезопасностью и палеонтологией?

Настолько много, что впору открывать новую науку «кибербез-палеонтологию». У нас даже есть отряд кибер-ниндзя (также известный как GReATGlobal Research and Analysis Team), который на ней специализируется. При этом анализ цифровых следов, останков и прочих костей невозможно переоценить. Наоборот — артефакты прошлого дают бесценные данные для изучения кибератак настоящего.

Об одном из таких случаев сейчас и пойдёт рассказ.

Не так давно в глобальном кибер-серпентарии буйным цветом расцвёл новый вид вредоносов под названием Wiper. Эта гадость действует довольно топорно – она полностью уничтожает данные на заражённых компьютерах, не оставляя шанса на их восстановление (если, конечно, нет резервной копии). Пожалуй, наиболее известным представителем этого вида является Shamoon, который в 2012г. уничтожил данные на 30+ тысяч девайсов в нефтяной компании Saudi Aramco. Только представьте себе тридцать тысяч неработающих компьютеров и разнообразных серверов в сети крупнейшего мирового производителя нефти.

Мы покопались в Shamoon и нашли StoneDrill. Покопались в StoneDrill и вышли на след серьёзной кибершпионской операции

С тех пор о Shamoon ничего не было слышно – казалось кибер-негодяи ушли в глубокое подполье. Новая инкарнация зловреда Shamoon 2.0 появилась только в конце 2016г. и всё там же – на Ближнем Востоке. Угрозу отловили, проанализировали, настроили защиту, начали изучать «останки и кости» вокруг и… немного прифигели. На поверхность всплыл принципиально новый «вайпер» — StoneDrill.

StoneDrill основан на своём оригинальном коде, отличном от Shamoon, и использует более продвинутые методы сокрытия в заражённой системе. Что самое неприятное в этой истории – StoneDrill целит за границы региона. На данный момент наши сенсоры нашли две жертвы, одна из которых находится в Европе. Это очень тревожный звонок, который свидетельствует о выходе серьёзного игрока кибервоенной сцены на глобальный уровень. К этому звонку необходимо прислушаться правительственным и коммерческим организациям во всём мире – мы видим, что ближневосточные «вайперы» расширяют свою географию.

Но вернёмся к киберпалеонтологии.

StoneDrill был обнаружен при изучении Shamoon 2.0. Это была неожиданность, но никак не случайность.

Немного технических подробностей.

Для поиска новых и похожих вредоносов мы используем различные технологии, в том числе YARA. YARA позволяет задавать правила поиска вредоносных объектов по базе данных. В переводе на более человеческий язык, этот процесс можно сравнить с обнаружением в толпе человека, лица которого мы не знаем. Например, вы долго, вслепую переписывались с кем-то по мессенджеру и вот теперь вам предстоит встретиться. Да, такая вот интрига – никаких фоток, только общие параметры вроде роста, веса, цвета волос и т.д. Но под эти параметры могут подходить сразу несколько человек из топлы, и вы не узнаете кто из них тот самый, пока не заговорите.

Примерно так мы и нашли StoneDrill.

Ребята из GReAT выделили уникальные признаки Shamoon 2.0, создали YARA правила для поиска и проанализировали улов. Несмотря на то, что улов имел общие черты с оригиналом, его более детальное изучение показало, что это нечто особенное – новое семейство «вайперов».

Возвращаясь к «человеческому» примеру: таким образом мы вышли на чужого «друга по переписке», которые оказался родственником нашего. Вот какие любопытные неожиданности случаются в киберпалеонтологии. И этот случай ещё раз подтверждает, что без знания монстров прошлого трудно найти монстров настоящего и тем более будущего.

Однако история на этом не заканчивается. Наоборот, мы только приближаемся к кульминации!

Обнаружение StoneDrill при помощи YARA правил, созданных по признакам Shamoon 2.0 свидетельствует, что у них всё же есть кое-что общее. Даже несмотря на то, что каждый зловред основан на оригинальном коде. У них есть общий «стиль» — подходы к реализации функциональности, жертвы, способы сокрытия в системе, другие косвенные признаки. Это не сходство между братьями, а, скорее, сходство между двумя студентами одного преподавателя. Или сходство между двумя членами клуба любителей «дружбы по переписке» :)

StoneDrill вызвал у нас дежа вю — где-то мы этот код уже видели! И точно!

К чему я веду?

Схожесть StoneDrill и Shamoon 2.0 вряд ли совпадение. Но значит ли это, что оба принадлежат «перу» одного автора? Является ли StoneDrill дополнительным инструментом в арсенале операторов Shamoon? Или просто их авторские коллективы учились в одином университете? Ответов на эти вопросы пока нет, но мы продолжаем расследование, о результатах которого сообщим дополнительно во время предстоящей конференции SAS в начале апреля.

А вот и кульминация.

В процессе анализа StoneDrill наших экспертов неожиданно посетило лёгкое чувство дежа вю. Где-то нам уже встречались куски кода этой малвары! Где? Напрягли мозги, пошелестели по клавиатурам – вот оно! В другой шпионской операции под названием Newsbeef! Так в уравнении появилась новая переменная.

В этот момент диванные эксперты и знатоки геополитики наверняка связали бы весь упомянутый зоопарк воедино и тут же привязали бы его к конкретной разведке. Как сказал бы Винни Пух «само дерево жужжать не может, значит, кто-то тут жужжит«.

К счастью, мы не диванные эксперты и тем более держимся подальше от геополитики. Мы просто спасаем мир от киберугрозы вне зависимости от её происхождения, национальности, авторских намерений и прочих атрибутов. У малвары нет запаха – гадость она и есть гадость. Сколько ни говори «шоколадка», соевый батончик так и останется соевым батончиком.

Этот конкретный случай наглядно показывает как профессиональная работа ведёт к раскрытию сложных кибервоенных операций, в результате чего пользователи по всему миру могут проактивно защититься от грозящей угрозы и вообще лучше понимать куда «ветер дует» в наше турбулентное время.

В общем, на этом история не окончена, следите за новыми анонсами. Всем заинтересованным юрлицам предлагаю подписаться на наши аналитические отчёты, где много другого интересного и полезного.

Подробный технический анализ StoneDrill доступен здесь.

P.S.:

А кто хочет прокачать свои навыки в анализе кибератак (в том числе по YARA) – записывайтесь на специальные тренинги во время конференции SAS, в исполнении лучших кибер-ниндзя. Будет круто, весело, тепло и очень полезно.

.@kaspersky_ru публикует расследование новой кибершпионской операции вайперовTweet
Прочитать комментарии 0
Оставить заметку