Shamoon powraca, a wraz z nim pojawił się StoneDrill

| Bezpieczenstwo IT
swisscan(away), CC

Shamoon powrócił. Szkodliwy kod, który pojawił się nagle w 2012 roku i wyczyścił dyski twarde na 35 000 komputerów należących do Saudi Aramco – największego na świecie eksportera ropy naftowej – został udoskonalony i znowu atakuje. Przy okazji analizy ataków Shamoona odkryto nowy, podobny doń kod, który za cel obrał sobie przedsiębiorstwo naftowe z Europy.

O pojawieniu się wirusa poinformowali przedstawiciele Kaspersky Lab, którzy badają dwa ataki z listopada ubiegłego roku i jeden ze stycznia. StoneDrill – taką nazwę zyskał nowo odkryty złośliwy kod – jest nieco podobny do Shamoona, ale pojawiły się nowe narzędzia i techniki. Kod jest teraz mniej zależy od zewnętrznego serwara kontrolującego, zyskał funkcję ransomware oraz nowe 32- i 64-bitowe moduły.

Wirus potrafi się też lepiej ukrywać m.in. poprzez manipulowanie sterownikami dysku. Badacze znaleźli w nim też funkcję tylnych drzwi umożliwiającą prowadzenie operacji szpiegowskiej. W tym celu używa kodu, który wcześniej został wykorzystany przez cyberprzestępców podczas kampanii szpiegowskiej znanej jako „NewsBeef”.

Odkrycie StoneDrill w Europie to znak, że stojąca za nim grupa rozszerza swoją działalność poza Bliski Wschód. Celem nowego ataku wydaje się wielka korporacja działająca w sektorze petrochemicznym, która nie ma oczywistych związków czy interesów w Arabii Saudyjskiej - czytamy w raporcie Kaspersky Lab.

Shamoon StoneDrill przemysł petrochemiczny