7 mars 2017

De Shamoon à StoneDrill : découverte d’un nouveau malware avancé destructeur en circulation

Dans le sillage des attaques de Shamoon, un nouveau malware wiper (effaceur) vise le Moyen-Orient et s’intéresse à des cibles en Europe

L’équipe GReAT (Global Research & Analysis) de Kaspersky Lab a découvert un nouveau malware wiper avancé, nommé StoneDrill. À l’image de son prédécesseur Shamoon, celui-ci détruit toutes les données présentes sur l’ordinateur infecté. StoneDrill compte également dans son arsenal des techniques d’antidétection évoluées et des outils d’espionnage. En dehors des cibles situées au Moyen-Orient, une autre a également été découverte en Europe. C’est la première fois que les versions moyen-orientales de cette menace sont observées dans cette région.

From-Shamoon-to-StoneDrill

En 2012, le malware wiper Shamoon (alias Disttrack) a fait beaucoup parler de lui en paralysant quelque 35 000 ordinateurs dans une compagnie pétrolière et gazière au Moyen-Orient. Cette attaque dévastatrice a mis potentiellement en danger 10 % de l’approvisionnement mondial en pétrole. Il s’agissait cependant d’un incident isolé, après lequel la menace a essentiellement disparu. Vers la fin de 2016, celle-ci est revenue sous la forme Shamoon 2.0, une campagne malveillante bien plus vaste exploitant une version largement revue du malware de 2012.

En étudiant ces attaques, les chercheurs de Kaspersky Lab ont eu la surprise de trouver un malware d’un « style » similaire à Shamoon 2.0, mais à la fois très différent et plus élaboré que Shamoon, auquel ils ont donné le nom StoneDrill.

From-Shamoon-to-StoneDrill2

StoneDrill, un wiper avec des liens

Le mode de propagation de StoneDrill n’est pas encore connu mais, une fois le malware installé sur la machine attaquée, il s’implante dans la mémoire du navigateur préféré de l’utilisateur. Au cours de ce processus, il fait appel à deux techniques anti-émulation pointues visant à leurrer les solutions de sécurité présentes sur l’ordinateur. Le malware commence alors à détruire les fichiers sur le disque dur.

À ce jour, au moins deux cibles du wiper StoneDrill ont été identifiées, l’une au Moyen-Orient et l’autre en Europe.

En dehors du module d’effacement, les chercheurs de Kaspersky Lab ont également découvert un backdoor StoneDrill, dont le code est apparemment l’œuvre des mêmes développeurs et qui est utilisé à des fins d’espionnage. Ces experts ont décelé quatre panneaux de commande et de contrôle employés par les auteurs des attaques pour mener des activités d’espionnage avec l’aide du backdoor StoneDrill contre un nombre inconnu de cibles.

L’aspect sans doute le plus intéressant de StoneDrill réside dans ses liens apparents avec plusieurs autres wiper et logiciels d’espionnage observés précédemment. En découvrant StoneDrill grâce à des règles Yara destinées à identifier des échantillons inconnus de Shamoon, les chercheurs de Kaspersky Lab ont pris conscience qu’ils avaient affaire à un code malveillant spécifique qui semble avoir créé séparément de ce dernier. Bien que les deux familles de malware – Shamoon et StoneDrill – ne présentent pas exactement la même base de code, la mentalité et le « style » de programmation de leurs auteurs paraissent similaires. C’est pourquoi il a été possible d’identifier StoneDrill avec les règles Yara développées pour Shamoon.

Des similitudes de code avec des malwares connus plus anciens ont également été constatés mais cette fois pas entre Shamoon et StoneDrill. En fait, StoneDrill exploite certaines parties du code précédemment détecté dans la menace persistante avancée (APT) NewsBeef (alias Charming Kitten), une autre campagne malveillante active ces dernières années.

« Nous avons été très intrigués par les similitudes et les comparaisons entre ces trois opérations malveillantes. StoneDrill était-il un autre avatar de l’effaceur Shamoon ? Ou bien StoneDrill et Shamoon sont-ils le fait de deux groupes différents et sans liens dont ils se trouvent qu’ils ont ciblé des entreprises saoudiennes au même moment ? Ou encore deux groupes distincts mais poursuivant les mêmes objectifs ? La dernière hypothèse est la plus probable : des éléments nous permettent de dire que Shamoon contient des ressources linguistiques en arabe yéménite et StoneDrill principalement en persan. Des géopolitologues seraient sans doute prompts à souligner que l’Iran comme le Yémen sont deux acteurs du conflit par procuration irano-saoudien et que l’Arabie saoudite est le pays où se trouvent la plupart des victimes de ces opérations. Mais, bien entendu, nous n’écartons pas la possibilité que ces éléments soient des fausses pistes », commente Mohamad Amin Hasbini, chercheur senior en sécurité au sein de l’équipe GReAT de Kaspersky Lab.

From-Shamoon-to-StoneDrill3

Les produits de Kaspersky Lab détectent et bloquent avec succès les malwares liés à Shamoon, StoneDrill et NewsBeef.

Afin de protéger les entreprises contre ce type d’attaques, les experts en sécurité Kaspersky Lab préconisent les mesures suivantes :

  • Procédez à une évaluation de sécurité du réseau de contrôle (audit de sécurité, test de pénétration, analyse des lacunes) afin d’identifier et d’éliminer toute faille de sécurité. Passez en revue les règles de sécurité des fournisseurs et prestataires externes dans l’éventualité où ceux-ci ont un accès direct au réseau de contrôle.
  • Sollicitez des informations de veille auprès d’acteurs réputés qui aident les entreprises à anticiper de futures attaques contre leurs infrastructures industrielles. Des équipes de réponse d’urgence, telles que l’ICS CERT de Kaspersky Lab, fournissent gratuitement des informations multisectorielles.
  • Formez votre personnel, en particulier dans le domaine opérationnel et technique, afin de le sensibiliser aux menaces et attaques récentes.
  • Assurez une protection à l’intérieur et à l’extérieur du périmètre. Une stratégie de sécurité appropriée doit consacrer d’importantes ressources à la détection et au traitement des attaques afin de les bloquer avant qu’elles n’atteignent des systèmes critiques.
  • Etudiez des méthodes avancées de protection, notamment des vérifications régulières d’intégrité des contrôleurs ou encore une surveillance spécialisée du réseau afin de renforcer la sécurité globale de l’entreprise et de réduire les chances de succès d’un piratage, même s’il n’est pas possible de corriger ou d’éliminer certaines vulnérabilités.

Pour en savoir plus sur Shamoon 2.0 et StoneDrill, voir le blog disponible sur le site Securelist.com. Concernant les attaques Shamoon découvertes précédemment, voir ici.

Plusieurs rapports de veille privée sur Shamoon, StoneDrill et NewsBeef sont mis à la disposition des abonnés du service Kaspersky Lab Private Intelligence Reports. Pour plus d’informations, contactez intelreports@kaspersky.com

Articles related to Actualités Virus