StoneDrill : un nouveau malware destructeur et sophistiqué a été découvert
Il se distingue par son arsenal de techniques d’antidétection évoluées

StoneDrill, un nouveau malware ciblant des objectifs au Moyen-Orient et en Europe a été découvert. Il s’agit d’une nouvelle variante de malware appartenant à la catégorie des “wipers”, des malwares disposant de fonctionnalités visant à supprimer les données présentes sur le disque dur.

En 2012, le malware Shamoon a mené la célèbre attaque contre la société saoudienne Aramco causant la destruction de plus de 35 000 ordinateurs de la firme avant de disparaitre. Cette attaque dévastatrice a mis potentiellement en danger 10 % de l’approvisionnement mondial en pétrole. Il apparait que ce malware est de retour sous une forme encore plus sophistiquée selon des chercheurs de sécurité. Depuis novembre jusqu’à janvier, ce malware a été mis en exercice trois fois. En dehors des cibles situées au Moyen-Orient, il a ciblé également une compagnie pétrolière en Europe. C’est la première fois que les versions moyen-orientales de cette menace sont observées dans cette région.

Les chercheurs de Kaspersky Lab ont découvert également un autre malware d’un style similaire à Shamoon 2.0, mais à la fois très différent et plus élaboré, auquel ils ont donné le nom StoneDrill. Ce malware dispose de nouveaux outils et techniques, notamment une dépendance moindre à des serveurs de commande et de contrôle externes. Il inclut également un nouveau module de ransomware fonctionnel et de nouveaux composants 32-bit et 64-bit.

StoneDrill a une capacité impressionnante d’échapper à la détection. En effet, il s’implante dans la mémoire du navigateur préféré de l’utilisateur. Kaspersky explique ainsi que le code malveillant s’emploie à infecter le navigateur de la cible et utilise de nombreuses techniques afin de rester indétectable par les outils de sécurité traditionnels. Cette technique permet à StoneDrill de disposer du temps nécessaire pour infecter les différents disques de la machine visée et de supprimer les données qu’ils contiennent. Le vecteur d’infection de StoneDrill n’a pas été identifié.

StoneDrill inclut aussi des fonctions de backdoor utilisés pour des buts d’espionnage. Les chercheurs ont décelé quatre panneaux de commande et de contrôle employés par les auteurs des attaques pour mener des activités d’espionnage avec l’aide du backdoor StoneDrill contre un nombre inconnu de cibles.

« La découverte de StoneDrill en Europe est un signe important qui signifie que le groupe est en train d’étendre ses attaques destructives en dehors du Moyen-Orient, » ont écrit les chercheurs de Kaspersky Lab. « La cible de l’attaque semble être une grande firme ayant large activité dans le secteur pétrochimique et sans lien ou intérêt en Arabie Saoudite. »

StoneDrill a intrigué les chercheurs par ses liens apparents avec plusieurs autres wipers et logiciels d’espionnage détectés auparavant. Ce malware a été observé par les chercheurs de Kaspersky alors qu’ils analysaient une vague d’attaques récentes de Shamoon. En découvrant StoneDrill grâce à des règles Yara destinées à identifier des échantillons inconnus de Shamoon, les chercheurs de Kaspersky Lab ont pris conscience qu’ils avaient affaire à un code malveillant spécifique qui semble avoir été créé séparément de ce dernier. Ils ont constaté qu’il s’agit bel et bien d’une nouvelle variante du malware malgré les similitudes et le même style de programmation.

Les chercheurs ne savent pas encore si StoneDrill est lié à Shamoon. L’hypothèse la plus plausible est que chaque malware appartient à un groupe de hackers différents qui ont des intérêts différents. Cette hypothèse parait logique si l’on apprend que StoneDrill supporte la langue arabe yéménite alors que Shamoon supporte la langue perse. À noter que l’Iran et le Yémen sont tous les deux impliqués dans la guerre proxy qui oppose l’Arabie Saoudite à l’Iran.

« Nous avons été très intrigués par les similitudes et les comparaisons entre ces trois opérations malveillantes. StoneDrill était-il un autre avatar de l’effaceur Shamoon ? Ou bien StoneDrill et Shamoon sont-ils le fait de deux groupes différents et sans liens dont ils se trouvent qu’ils ont ciblé des entreprises saoudiennes au même moment ? Ou encore deux groupes distincts, mais poursuivant les mêmes objectifs ? La dernière hypothèse est la plus probable : des éléments nous permettent de dire que Shamoon contient des ressources linguistiques en arabe yéménite et StoneDrill principalement en persan. Des géopolitologues seraient sans doute prompts à souligner que l’Iran comme le Yémen sont deux acteurs du conflit par procuration irano-saoudienne et que l’Arabie saoudite est le pays où se trouvent la plupart des victimes de ces opérations. Mais, bien entendu, nous n’écartons pas la possibilité que ces éléments soient des fausses pistes », commente Mohamad Amin Hasbini, chercheur senior en sécurité au sein de Kaspersky Lab.

Afin d'assurer la protection des entreprises contre ce type d'attaques, les mesures suivantes sont préconisées par les experts en sécurité de Kaspersky Lab :

• procéder à une évaluation de sécurité du réseau de contrôle (audit de sécurité, test de pénétration, analyse des lacunes) afin d’identifier et d’éliminer toute faille de sécurité. Passez en revue les règles de sécurité des fournisseurs et prestataires externes dans l’éventualité où ceux-ci ont un accès direct au réseau de contrôle ;

• solliciter des informations de veille auprès d’acteurs réputés qui aident les entreprises à anticiper de futures attaques contre leurs infrastructures industrielles. Des équipes de réponse d’urgence, telles que l’ICS CERT de Kaspersky Lab, fournissent gratuitement des informations multisectorielles ;

• former votre personnel, en particulier dans le domaine opérationnel et technique, afin de le sensibiliser aux menaces et attaques récentes ;

• assurer une protection à l’intérieur et à l’extérieur du périmètre. Une stratégie de sécurité appropriée doit consacrer d’importantes ressources à la détection et au traitement des attaques afin de les bloquer avant qu’elles n’atteignent des systèmes critiques ;

• étudier des méthodes avancées de protection, notamment des vérifications régulières d’intégrité des contrôleurs ou encore une surveillance spécialisée du réseau afin de renforcer la sécurité globale de l’entreprise et de réduire les chances de succès d’un piratage, même s’il n’est pas possible de corriger ou d’éliminer certaines vulnérabilités.

Source : Kaspersky Lab

Et vous ?

Pensez-vous que StoneDrill et Shamoon ont été développés par la même équipe ?