Artimųjų Rytų ir Europos bendrovės buvo užpultos naujo sudėtingo viruso, naikinančio visus duomenis užkrėstame kompiuteryje. „Kaspersky Lab“ aptiko programą naikintoją „StoneDrill“, kuri ne tik neatkuriamai pašalina duomenis iš įrenginio, bet ir šnipinėja aukas bei apdairiai vengia pakliūti į programinės apsaugos įrangos radarus.
„StoneDrill“ labai primena prieš penkerius metus pagarsėjusią analogišką programą „Shamoon“ (taip pat žinomą kaip „Disttrack“) – 2012 m. šis virusas paralyžiavo Artimųjų Rytų naftos ir dujų bendrovių 35 tūkst. kompiuterių darbą ir smogė didelei pasaulio naftos gavybos pramonės daliai. Po šio garsaus atvejo gruoputė, sukūrusi „Shamoon“, pasitraukė į šešėlį.
Tačiau 2016 m. pabaigoje ji, panašu, grįžo, ir šį grįžimą tiriantys „Kaspersky Lab“ ekspertai rado naują žaidėją su nauju sudėtingu virusu ir gerokai didesniais tikslais.
Aptikti „StoneDrill“ pavyko taikant tikslinių išpuolių aptikimo taisykles („Yara“ taisykles), sukurtas „Kaspersky Lab“ ekspertų siekiant nustatyti „Shamoon“ nežinomus pavyzdžius. Ir nors „StoneDrill“ sukurtas „Shamoon“ stiliumi tarp abiejų programų yra didžiulis skirtumas.
Tyrėjai iki šiol nežino, kaip plinta šis virusas, bet tam, kad liktų nepastebėtas užkrėstame įrenginyje, jis taiko dvi sudėtingas antiemuliacines technikas, kurios neleidžia jo aptikti pagal elgesį. Kai tik „StoneDrill“ programa pakliūna į kompiuterį, ji įsidiegia į tos naršyklės, kuria įrenginyje naudojamasi dažniausiai, atmintį. Vos įsidiegęs virusas pradeda naikinti kietojo disko failus.
Be informaciją naikinančio modulio, „StoneDrill“ taip pat turi virusą šnipinėti aukas – „Kaspersky Lab“ ekspertai aptiko keturis valdymo serverius, su kuriais sukčiai sekė užkrėstuose įrenginiuose.
„Mes labai domimės tais panašumais, kuriuos aptikome tarp įvairių kenkėjiškų operacijų. Išnagrinėję dviejų programų kodus, matome, kad „Shamoon“ yra Jemeno arabų kalbos variantas, o „StoneDrill“ daugiau vartojama persų kalba. Geopolitikai galėtų įsivaizduoti, kad operacijas vykdo Irano ir Jemeno žaidėjai, siekiantys sukelti nuostolį Saudo Arabijos bendrovėms, kur ir buvo aptikta dauguma „StoneDrill“ ir „Shamoon“ išpuolių aukų.
Tačiau neverta atmesti galimybės, kad visi kalbos požymiai kode palikti tyčia – nukreipti ekspertus neteisingu keliu. Be to, aptiktas „StoneDrill“ Europoje liudija, kad grupuotė domisi ne tik Artimųjų Rytų regionu. Nors užpulta Europos bendrovė dirba naftos srityje, ji neturi jokių ryšių su naftos verslu Artimuosiuose Rytuose, – pasakoja Muchamadas Aminas Chasbini (Mohamad Amin Hasbini), „Kaspersky Lab“ tyrimo centro vyriausiasis antivirusų ekspertas.