Kaspersky Lab’ın Küresel Araştırma ve Analiz Ekibi, StoneDrill adında yeni ve sofistike bir silici yazılımı keşfetti. Yeni zararlı yazılım, aynı bir diğer tanınmış silici olan Shamoon gibi, bulaştığı bilgisayardaki bütün verileri siliyor. StoneDrill aynı zamanda tespit edilmeyi önleyici gelişmiş teknikler kullanıyor ve casusluk araçları barındırıyor. Orta Doğu’daki hedeflerin yanı sıra şimdi de Avrupa’da bir hedef keşfedildi. Orta Doğu’da kullanılan silicilere daha önce Avrupa’da rastlanmamıştı.
2012 yılında Shamoon (diğer adıyla Disttrack) adlı silici Orta Doğu’daki bir petrol ve gaz şirketindeki 35.000 bilgisayarı saf dışı bırakarak oldukça ses getirmişti. Bu yıkıcı saldırıcı dünyanın petrol tedariğinin %10’unu potansiyel olarak risk altında bırakmıştı. Benzeri olmayan bu olayın ardından, saldırının sorumlusu adeta kayıplara karışmıştı. 2016’nın sonlarına doğru Shamoon 2.0 şeklinde geri gelen yazılım, bu sefer 2012’deki zararlı yazılımın ciddi ölçüde güncellenmiş ve çok daha geniş çaplı bir sürümü olarak gün yüzüne çıktı.
Söz konusu saldırıları inceleyen Kaspersky Lab araştırmacıları, tarzı açısından beklenmedik bir şekilde Shamoon 2.0’a benzeyen bir zararlı yazılım buldu. Aynı zamanda çok farklı ve Shamoon’a göre çok daha karmaşıktı. Ona StoneDrill (taş delici) adını verdiler.
StoneDrill’in yayıldığı henüz bilinmiyor fakat bulaştığı cihaza girdiği anda kendisini kullanıcının tercih ettiği tarayıcının bellek işlemlerine yerleştiriyor. Bu süreçte, kurbanın bilgisayarında yüklü olan güvenlik çözümlerini kandırmayı hedefleyen iki adet karmaşık anti-emülasyon tekniği kullanıyor. Zararlı yazılım sonra da bilgisayarın disk dosyalarını yok etmeye başlıyor.
Şimdiye kadar StoneDrill silicisinin en az iki hedefi tespit edildi. Biri Orta Doğu’da, diğeri ise Avrupa’da.
Silici olarak çalışan modülün yanı sıra, Kaspersky Lab araştırmacıları, görünüşe göre aynı yazılımcılar tarafından geliştirilmiş ve casusluk amacıyla kullanılan bir de StoneDrill arka kapısı buldular. Uzmanlar, saldırganlar tarafından StoneDrill yardımıyla sayısı bilinmeyen hedeflere yönelik olarak casusluk operasyonlarında kullanılan dört adet komuta kontrol paneli de keşfetti.
StoneDrill hakkındaki belki de en ilginç şey, görünüşe göre daha önce karşılaşılan bir çok başka silici ve casusluk operasyonları ile bağlantılarının olması. Kaspersky Lab araştırmacıları, Shamoon’un bilinmeyen örneklerini tespit etmek için yaratılmış Yara kurallarının yardımıyla StoneDrill’i keşfettiklerinde, benzeri olmayan ve Shamoon’dan ayrı olarak yaratılmış bir zararlı kodla karşı karşıya olduklarını anladılar. Her iki aile de (Shamoon ve StoneDrill) tamamen aynı kod temeline dayanmasalar da, yazılımcılarının zihniyetlerinin ve programlama tarzlarının benzer olduğu görülüyor. Bu sebeple, Shamoon yardımıyla geliştirilen Yara kurallarıyla StoneDrill’in tespit edilmesi mümkün oldu.
Kodlardaki benzerlikler, bilinen daha eski zararlı yazılımlar özelinde de görülüyor fakat benzerlikler bu sefer Shamoon ve StoneDrill arasında değil. Görülüyor ki StoneDrill, son birkaç yıldır aktif olan bir diğer zararlı yazılım olan NewsBeef APT’de (diğer adıyla Charming Kitten’da) görülen kodun bazı parçalarını da kullanıyor.
Kaspersky Lab güvenlik uzmanları, kuruluşları bu tür saldırılardan korumak için aşağıdakileri tavsiye ediyor: