StoneDrill : Découverte d’un nouveau malware puissant nettoyeur de disque dur, et c’est du sérieux.

Certains d’entre vous sauront ce que sont les soi-disant nettoyeurs de disque dur, un type de malware qui, une fois installé sur un PC infecté, efface complétement toutes les données.

Si vous êtes un lecteur régulier de mon blog, vous connaîtrez sûrement notre Équipe internationale de recherche et d’analyse (GReAT), 40 excellents experts éparpillés à travers le monde, spécialisés dans la protection de nos clients contre les cybermenaces les plus sophistiquées. Ces experts aiment comparer leur travail à de la paléontologie : en explorant le web dans ses moindres recoins, à l’affût des « os  » des « cybermonstres ». Certains pourraient considérer cela comme une approche désuète : qui y’a-t-il d’aussi spécial à propos de l’analyse des os des « créatures » découlant d’un passé lointain lorsque la protection de vos réseaux contre les monstres qui sont vivants s’avère être une clé ? Eh bien, voici une récente histoire qui prouve que parfois vous ne trouverez pas les monstres vivants d’aujourd’hui sans vous pencher sur les anciens….

Certains d’entre vous sauront ce que sont les soi-disant nettoyeurs de disque dur, un type de malware qui, une fois installé sur un PC infecté, efface complétement toutes les données, nettoyant entièrement les données de l’ordinateur de l’utilisateur, en n’épargnant aucune pièce du hardware. Le nettoyeur de disque dur le plus connu (et horrible) est Shamoon, un malware qui a beaucoup fait parler de lui au Moyen Orient en détruisant des données sur plus de 30 000 appareils de la plus grande compagnie pétrolière au monde, Saudi Aramco, et en frappant également un autre géant énergétique, Rasgas. Imaginez : + de 30 000 pièces d’hardware inexploitables dans la plus grande compagnie pétrolière au monde…

Shamoon, Shamoon 2.0, StoneDrill, Newsbeef. Ces nettoyeurs de disque dur se répandent à travers le monde.

Curieusement, depuis sa campagne dévastatrice contre l’entreprise saoudienne, en 2012, on a peu entendu parler de Shamoon, jusqu’à qu’il fasse son retour en 2016 comme étant Shamoon 2.0, avec plusieurs nouvelles vagues d’attaques, une fois de plus au Moyen-Orient.

Depuis que les nouvelles vagues des attaques de Shamoon ont commencé, nous avons réglé nos capteurs afin de découvrir le plus de versions de malwares possibles (parce que, soyons réalistes, nous voulons qu’AUCUN de nos clients ne soit victime d’un malware tel que Shamoon, jamais). Et nous avons réussi à trouver plusieurs versions, hourra ! Mais ensemble et contre toute attente, nous avons pris dans nos filets un type de malware nettoyeur de disque dur complètement nouveau, que nous avons appelé StoneDrill.

La base du code de StoneDrill est différente de celle de Shamoon, et c’est la raison pour laquelle nous pensons qu’il s’agit d’une famille de malware complétement différente, elle utilise aussi certaines techniques de prévention et de détection avancées, ce que Shamoon ne fait pas. Il s’agit donc d’un nouvel acteur, cela ne fait aucun doute. Et un des éléments les plus inhabituels (et inquiétants) que nous avons appris au sujet de ce malware est qu’à la différence de Shamoon, StoneDrill ne limite pas le champ de ses victimes à l’Arabie Saoudite ou à d’autres pays voisins. Jusqu’à présent, nous n’avons trouvé deux cibles de ce malware, dont l’une d’entre elles est basée en Europe.

Pourquoi cela est-il préoccupant ? Parce que cette découverte indique que certains acteurs malveillants armés de cyber outils dévastateurs tâtent le terrain dans des régions où auparavant des acteurs de ce type étaient rarement intéressés.

Nous cherchions Shamoon et nous avons trouvé StoneDrill. Nous cherchions StoneDrill et nous avons découvert une opération de cyberguerre connectée.

Donc mon conseil aux entreprises en Europe, qui pourraient intéresser les opérateurs à l’origine de StoneDrill, ou peut-être même de Shamoon : préparez vos défenses pour ce type de menace contre votre réseau. Ce ne sont pas uniquement les compagnies pétrolières et de gaz du Moyen Orient qui peuvent être affectées. Il semblerait que ce soit global.

Retour à la cyberpaléontologie…

J’ai mentionné un peu plus tôt que nous avions découvert de manière inattendue StoneDrill alors qu’on cherchait des échantillons de Shamoon. Il est certain que c’était inattendu, mais pas accidentel…

Afin de découvrir des variantes nouvelles ou similaires de malwares connus, nos chercheurs (parmi d’autres outils) utilisent les règles YARA. Celles-ci constituent un outil spécifique qui permet d’établir de multiples paramètres de recherche différents et de filtrer nos bases de données de malwares à travers ces règles.

Traduire en langage humain le processus de chasse aux malwares à l’aide des règles YARA est comme chercher un visage en particulier dans une foule sans connaître ce visage. Imaginez que vous ayez un correspondant. Après des années à échanger des letttres e-mails, vous décidez de vous rencontrer, dans une gare bondée. Mais comme vous avez décidé tous les deux de ne jamais envoyer une photo de vous à l’autre personne (n’envoyez pas de photos de vous-même, maintenez le mystère !), vous ne savez pas à quoi ressemble votre correspondant, les seules choses que vous savez ce sont quelques détails comme l’âge, la taille, la constitution corporelle, la couleur des cheveux, et sans doute le type de vêtements qu’il porte normalement. Donc, dans cette gare bondée, vous essayez de trouver quelqu’un qui corresponde aux traits physiques de votre correspondant, mais vous saurez vraiment qui c’est lorsque vous parlerez avec lui.

Eh bien, la même chose est arrivée avec StoneDrill.

Nos chercheurs ont identifié certains paramètres uniques des dernières versions de Shamoon. En se basant sur ces critères, nos experts ont créé certaines règles YARA, cliqué sur le bouton de recherche et commencé à analyser la capture. Ils ont ensuite trouvé un échantillon qui correspondait aux paramètres de Shamoon. Cependant, après un examen plus approfondi, il s’est avéré clairement que le malware nouvellement trouvé n’était pas du tout Shamoon, mais provenant d’une famille complètement nouvelle du malware nettoyeur de disque dur.

Retour à notre exemple avec les correspondants, cela signifierait que vous identifierez quelqu’un d’autre qui a des paramètres semblables à votre correspondant, mais qui ne l’est pas. Peut-être que c’est un proche de votre correspondant, qui sait ?

Pourquoi suis-je en train de l’expliquer ici ?

Vous vous souvenez de la métaphore de la paléontologie au début de l’article ? C’est ce que je voulais dire quand j’ai écrit que parfois il est impossible d’attraper de nouveaux monstres sans connaître les anciens. Vous voyez, ça en vaut la peine :).

Mais il y a une autre raison pour laquelle je veux parler de la façon dont nous avons réussi à attraper StoneDrill.

Le fait qu’on ait identifié StoneDrill alors qu’on cherchait Shamoon signifie que les deux sont conçus et opèrent dans un « style » plutôt similaire, même si leur code est complètement différent. Quand je parle de « style », je me réfère à certaines approches de comment le malware opérerait, se cahcerait à la fois des logiciels de sécurité et des chercheurs, etc. Ce n’est pas le genre de similarité que vous trouverez entre, dirons-nous, deux frères, mais une que vous trouverez entre deux élèves ayant le même professeur. Ou entre deux membres du même club de correspondants, si vous préférez.

En d’autres termes, les points communs entre Shamoon et StoneDrill ne sont probablement pas une coïncidence. Shamoon et StoneDrill ont-ils été écrits par un seul et même auteur ? StoneDrill est-il un outil spécifique des opérateurs de Shamoon ? Ou s’agit de deux monstres distincts de deux acteurs complétement différents qui auraient assisté aux mêmes écoles de développement de malwares ? On l’ignore. Rien n’est impossible, nous continuons d’enquêter et présenterons nos recherches lors de la prochaine conférence SAS.

Mais attendez ! Ce n’est pas fini !…

Lorsque nos experts du GReAT ont creusé plus loin dans le code de StoneDrill, nous avons fait face à comme une sensation forte de déjà vu : ils avaient vu ces lignes de code auparavant ! Où ? Sur une autre opération de cyberespionnage appelée Newsbeef, où nous avions publié un article de blog l’année dernière. Par conséquent, il existe une autre variable dans cette équation : Newsbeef. Est-ce que StoneDrill est un outil utilisé par les opérateurs de Newsbeef dans le but d’effacer des données ? Encore une fois, il s’agit d’une question à laquelle on ne peut pas répondre.

Maintenant, si on était experts en géopolitique ou philosophes, on ferait sûrement certaines hypothèses concernant ces connections. Comme l’a dit un jour Winnie l’ourson : « Ce bourdonnement veut dire quelque chose ».

Mais (heureusement), nous ne sommes pas experts en géopolitique ou philosophes. Nous accomplissons la tâche difficile de sauver le monde de toutes les cybermenaces peu importe leurs origines et objectifs. La seule raison pour laquelle j’ai indiqué des connexions entre Shamoon, StoneDrill et Newsbeef ici est parce que nous les avons trouvées. Et selon moi, il s’agit d’un bon exemple de l’utilité de l’intelligence de la menace professionnelle pour votre entreprise ou une organisation gouvernementale en quête d’une meilleure compréhension de ce qui se passe autour d’elle. Cela aide à comprendre les choses. Et lorsqu’on les comprend, on peut être mieux préparé face aux risques qu’elles comportent.

Donc restez à l’écoute, découvrez les résultats en détails de nos chercheurs de Securelist, et si vous souhaitez en savoir plus sur l’intelligence de la menace professionnelle, n’hésitez pas à vous inscrire à notre service de rapports de surveillance des menaces APT.

A présent, je passe le flambeau aux auteurs de la découverte de StoneDrill : une analyse technique détaillée est disponible ici.

PS : Si vous souhaitez que votre équipe de sécurité soit en mesure d’analyser les malwares aussi profondément et professionnellement que l’Équipe internationale de recherche et d’analyse GReAT, envoyez-la à nos sessions de formation. La première aura lieu à la conférence SAS 2017 début avril ; cette année elle se déroulera à Saint-Martin, parce que nous avons appris il y a longtemps que les Caraïbes est l’endroit idéal pour les discussions sur la cybersécurité pure et dure et la formation. Réservez ici et faites votre valise (n’oubliez pas votre maillot de bain !)

.@kaspersky révèle une opération de #cyberguerre massive qui implique au moins trois types de malwares nettoyeurs de disque dur Tweet

Conseils