7 марта пресс-служба "Лаборатории Касперского" сообщила, что компьютеры ряда компаний на Ближнем Востоке и в Европе были атакованы новой сложной вредоносной программой, уничтожающей все данные на зараженном компьютере.
Речь идет о программе StoneDrill, которая не только безвозвратно удаляет данные с устройства, но также шпионит за жертвами и избегает попадания на радары защитного ПО.
"Своим поведением StoneDrill очень напоминает нашумевшую пять лет назад аналогичную программу Shamoon (также известную как Disttrack) – в 2012 году этот зловред парализовал работу 35 тысяч компьютеров в нефтегазовой компании на Ближнем Востоке и поставил таким образом под удар существенную долю мировой нефтепромышленности", – говорится в сообщении "Лаборатории Касперского".
Исследователям пока неизвестно, как распространяется новый вирус, но для того чтобы остаться незаметным на зараженном устройстве, он использует две сложных антиэмуляционных техники, которые не позволяют детектировать его по поведению.
"Как только программа StoneDrill попадает в компьютер, она встраивается в процесс памяти того браузера, который используется на устройстве чаще всего. Сразу же после установки зловред начинает уничтожать файлы на жестком диске", – поясняется в сообщении.
Кроме модуля, стирающего информацию, StoneDrill также содержит бэкдор для шпионажа за жертвами – эксперты "Лаборатории Касперского" обнаружили четыре сервера управления, с помощью которых злоумышленники вели слежку на зараженных устройствах.
"Мы крайне заинтригованы теми сходствами, которые мы обнаружили между различными вредоносными операциями. Проанализировав код двух программ, мы видим, что в Shamoon присутствует йеменский вариант арабского языка, а в StoneDrill превалирует персидский язык. Геополитики могли бы предположить, что за операциями стоят иранские и йеменские игроки, заинтересованные в причинении ущерба компаниям в Саудовской Аравии, где и было обнаружено большинство жертв атак StoneDrill и Shamoon. Но, разумеется, не стоит исключать возможность того, что все языковые метки в коде намеренно оставлены злоумышленниками, чтобы пустить исследователей по ложному следу. Кроме того, обнаружение StoneDrill в Европе говорит о том, что группировка имеет интересы и за пределами ближневосточного региона. И хотя атакованная европейская компания работает в нефтехимической сфере, она не имеет никаких связей с нефтяным бизнесом на Ближнем Востоке", – рассказывает Юрий Наместников, руководитель российского исследовательского центра "Лаборатории Касперского". |
