Вайпер-пати на большой дороге. Ближневосточная версия.

Previous Entry Поделиться Next Entry
6 марта, 18:59
e_kaspersky
Что общего между кибербезопасностью и палеонтологией?

Настолько много, что впору открывать новую науку "кибербез-палеонтологию". У нас даже есть отряд кибер-ниндзя (также известный как GReAT - Global Research and Analysis Team), который на ней специализируется. При этом анализ цифровых следов, останков и прочих костей невозможно переоценить. Наоборот - артефакты прошлого дают бесценные данные для изучения кибератак настоящего.

Об одном из таких случаев сейчас и пойдёт рассказ.

Не так давно в глобальном кибер-серпентарии буйным цветом расцвёл новый вид вредоносов под названием Wiper. Эта гадость действует довольно топорно – она полностью уничтожает данные на заражённых компьютерах, не оставляя шанса на их восстановление (если, конечно, нет резервной копии). Пожалуй, наиболее известным представителем этого вида является Shamoon, который в 2012г. уничтожил данные на 30+ тысяч девайсов в нефтяной компании Saudi Aramco. Только представьте себе тридцать тысяч неработающих компьютеров и разнообразных серверов в сети крупнейшего мирового производителя нефти.

С тех пор о Shamoon ничего не было слышно – казалось кибер-негодяи ушли в глубокое подполье. Новая инкарнация зловреда Shamoon 2.0 появилась только в конце 2016г. и всё там же – на Ближнем Востоке. Угрозу отловили, проанализировали, настроили защиту, начали изучать "останки и кости" вокруг и… немного прифигели. На поверхность всплыл принципиально новый "вайпер" - StoneDrill.

Shamoon_ig_3

StoneDrill основан на своём оригинальном коде, отличном от Shamoon, и использует более продвинутые методы сокрытия в заражённой системе. Что самое неприятное в этой истории – StoneDrill целит за границы региона. На данный момент наши сенсоры нашли две жертвы, одна из которых находится в Европе. Это очень тревожный звонок, который свидетельствует о выходе серьёзного игрока кибервоенной сцены на глобальный уровень. К этому звонку необходимо прислушаться правительственным и коммерческим организациям во всём мире – мы видим, что ближневосточные "вайперы" расширяют свою географию.

Но вернёмся к киберпалеонтологии.

StoneDrill был обнаружен при изучении Shamoon 2.0. Это была неожиданность, но никак не случайность.

Немного технических подробностей.

Для поиска новых и похожих вредоносов мы используем различные технологии, в том числе YARA. YARA позволяет задавать правила поиска вредоносных объектов по базе данных. В переводе на более человеческий язык, этот процесс можно сравнить с обнаружением в толпе человека, лица которого мы не знаем. Например, вы долго, вслепую переписывались с кем-то по мессенджеру и вот теперь вам предстоит встретиться. Да, такая вот интрига – никаких фоток, только общие параметры вроде роста, веса, цвета волос и т.д. Но под эти параметры могут подходить сразу несколько человек из топлы, и вы не узнаете кто из них тот самый, пока не заговорите.

Примерно так мы и нашли StoneDrill.

Ребята из GReAT выделили уникальные признаки Shamoon 2.0, создали YARA правила для поиска и проанализировали улов. Несмотря на то, что улов имел общие черты с оригиналом, его более детальное изучение показало, что это нечто особенное – новое семейство "вайперов".

Возвращаясь к "человеческому" примеру: таким образом мы вышли на чужого "друга по переписке", которые оказался родственником нашего. Вот какие любопытные неожиданности случаются в киберпалеонтологии. И этот случай ещё раз подтверждает, что без знания монстров прошлого трудно найти монстров настоящего и тем более будущего.

Однако история на этом не заканчивается. Наоборот, мы только приближаемся к кульминации!

Обнаружение StoneDrill при помощи YARA правил, созданных по признакам Shamoon 2.0 свидетельствует, что у них всё же есть кое-что общее. Даже несмотря на то, что каждый зловред основан на оригинальном коде. У них есть общий "стиль" - подходы к реализации функциональности, жертвы, способы сокрытия в системе, другие косвенные признаки. Это не сходство между братьями, а, скорее, сходство между двумя студентами одного преподавателя. Или сходство между двумя членами клуба любителей "дружбы по переписке" :)

К чему я веду?

Схожесть StoneDrill и Shamoon 2.0 вряд ли совпадение. Но значит ли это, что оба принадлежат "перу" одного автора? Является ли StoneDrill дополнительным инструментом в арсенале операторов Shamoon? Или просто их авторские коллективы учились в одином университете? Ответов на эти вопросы пока нет, но мы продолжаем расследование, о результатах которого сообщим дополнительно во время предстоящей конференции SAS в начале апреля.

А вот и кульминация.

В процессе анализа StoneDrill наших экспертов неожиданно посетило лёгкое чувство дежа вю. Где-то нам уже встречались куски кода этой малвары! Где? Напрягли мозги, пошелестели по клавиатурам – вот оно! В другой шпионской операции под названием Newsbeef! Так в уравнении появилась новая переменная.

Shamoon_ig_2

В этот момент диванные эксперты и знатоки геополитики наверняка связали бы весь упомянутый зоопарк воедино и тут же привязали бы его к конкретной разведке. Как сказал бы Винни Пух "само дерево жужжать не может, значит, кто-то тут жужжит".

К счастью, мы не диванные эксперты и тем более держимся подальше от геополитики. Мы просто спасаем мир от киберугрозы вне зависимости от её происхождения, национальности, авторских намерений и прочих атрибутов. У малвары нет запаха – гадость она и есть гадость. Сколько ни говори "шоколадка", соевый батончик так и останется соевым батончиком.

Этот конкретный случай наглядно показывает как профессиональная работа ведёт к раскрытию сложных кибервоенных операций, в результате чего пользователи по всему миру могут проактивно защититься от грозящей угрозы и вообще лучше понимать куда "ветер дует" в наше турбулентное время.

В общем, на этом история не окончена, следите за новыми анонсами. Всем заинтересованным юрлицам предлагаю подписаться на наши аналитические отчёты, где много другого интересного и полезного.

Подробный технический анализ StoneDrill доступен здесь.

P.S.:

А кто хочет прокачать свои навыки в анализе кибератак (в том числе по YARA) – записывайтесь на специальные тренинги во время конференции SAS, в исполнении лучших кибер-ниндзя. Будет круто, весело, тепло и очень полезно.



Метки: ,
Previous Entry Поделиться Next Entry

Записи из этого журнала по тегу «cyber warfare»

  • За агрессивный детект зловредов!

    За последние несколько лет я много всякого разного начитался в американской прессе и вышедшая в прошлый четверг статья Wall Street Journal поначалу…

  • Ай-да новости: кибер гоп-стоп.

    Сегодняшний новостной выпуск в этой традиционной рубрике посвящен одной особенно противной и неприятной проблеме в киберпростанстве. Проблеме…

  • Ай-да новости: о патчах, громе и мужиках.

    "Тятя, тятя, наши сети притащили..." Да, уж, действительно, регулярно наши сети "притаскивают" на берег какие-нибудь непростые новости, от которых…


а чтисто гипотетически, в линуксе такой вирус возможен?

Почему "гипотетически"? Бывало уже. Корейский DarkSeoul (2013) https://securelist.com/blog/incidents/65106/south-korean-whois-team-attacks/ - у него был линуксовый компонент. Но ничего громкого линуксового по теме "вайпер" с тех пор не припоминается.

Это все происки иллюминатов массонов-мормонов..

?

Log in

No account? Create an account