De Shamoon à StoneDrill

Des nettoyeurs de disque dur à l'assaut d'organisations en Arabie saoudite et ailleurs

Contenu

 Download full report

En novembre 2016, Kaspersky Lab a remarqué une nouvelle vague d’attaques de nettoyeurs de disque dur contre plusieurs cibles au Moyen-Orient. Le malware utilisé dans ces attaques était une version du tristement célèbre ver Shamoon dont Saudi Aramco et Rasgas avaient été victimes en 2012.

Après quatre années d’hibernation, l’un des nettoyeurs de disque dur les plus mystérieux de l’Histoire est de retour.

A ce jour, nous avons observé trois vagues d’attaques du malware Shamoon 2.0 aux dates suivantes : le 17 novembre 2016, le 29 novembre 2016 et le 23 janvier 2017.

Connu également sous le nom de Disttrack, Shamoon est une famille de malware très destructrice qui nettoie les données sur l’ordinateur des victimes. Un groupe qui se fait connaître sous le nom de Cutting Sword of Justice (Le glaive tranchant de la Justice) a revendiqué l’attaque organisée contre Saudi Aramco en publiant un message Pastebin le jour de l’attaque (en 2012). Cette attaque était un geste posé contre la monarchie saoudienne.

Les attaques Shamoon 2.0 observées en novembre 2016 ciblaient des organisations actives dans différents secteurs d’activités critiques de l’économie d’Arabie saoudite. A l’instar de la version antérieure, le nettoyeur de disque Shamoon 2.0 est adapte de la destruction en masse des systèmes au sein des organisations compromises.

Ces nouvelles attaques ont de nombreux points en commun avec la vague d’attaques de 2012, mais elles introduisent également de nouveaux outils et techniques. Au cours de la première phase, les auteurs de l’attaque obtiennent les identifiants d’administrateur pour le réseau de la victime. Ensuite, ils développent un nettoyeur de disque personnalisé (Shamoon 2.0) qui exploite ces identifiant pour se répandre largement dans l’organisation. Enfin, à une date définie, le nettoyeur de disque s’active et rend les machines infectées complètement inutiles. Il convient de noter que les dernières phases des attaques sont entièrement automatisées et se passent de toute communication avec le centre de commande.

Dans le cadre de son enquête sur les attaques Shamoon 2.0, Kaspersky Lab a découvert un nouveau malware nettoyeur de disque dur qui semble cibler des organisations en Arabie saoudite. Nous l’avons baptisé StoneDrill. StoneDrill partage plusieurs caractéristiques avec Shamoon au niveau du « style ». Il est doté de nombreux facteurs et techniques intéressants qui lui permettent de mieux échapper à la détection. Outre les victimes présumées en Arabie Saoudite, une victime de StoneDrill a été recensée dans le Kaspersky Security Network (KSN) en Europe. Ce détail nous amène à penser que l’auteur à l’origine de la menace StoneDrill étend ses opérations du Moyen-Orient à l’Europe.

En guise de synthèse, voici quelques-unes des caractéristiques de ces nouvelles attaques de nettoyeur de disques, pour Shamoon et StoneDrill :

  • Shamoon 2.0 inclut un module de ransomware totalement opérationnel en plus de sa fonction traditionnelle de nettoyage de disque.
  • Shamoon 2.0 est doté de composants 32 et 64 bits.
  • Les échantillons de Shamoon que nous avons analysés en janvier 2017 n’ont aucune communication avec un centre de commande ; les versions antérieures possédait une fonction de centre de commande de base qui faisait référence aux serveurs locaux dans le réseau de la victime.
  • StoneDrill exploite abondamment des techniques d’évasion pour ne pas être exécuté dans un bac à sable.
  • Alors que Shamoon intègre des sections en arabe (Yémen), StoneDrill intègre principalement des ressources en persan. Bien entendu, nous ne pouvons exclure la possibilité d’une diversion.
  • StoneDrill n’utilise pas de pilotes pendant son déploiement (à la différence de Shamoon). Il compte sur l’injection en mémoire du module de nettoyage dans le navigateur favori de la victime.
  • Il existe plusieurs similitudes entre Shamoon et StoneDrill.
  • Nous avons identifié de nombreuses similitudes entre les attaques de StoneDrill et celles deNewsBeef analysées antérieurement.

Nous allons publier un rapport technique complet qui fournit de nouvelles explications sur les attaques de Shamoon 2.0 et StoneDrill, dont :

  1. Les techniques et les stratégies que nous avons adoptées pour découvrir Shamoon et StoneDrill.
  2. Les détails de la fonction de ransomware présente dans Shamoon 2.0. Actuellement, cette fonction n’est pas activée, mais elle pourrait être utilisée dans des attaques à venir.
  3. Des détails sur les nouvelles fonctions de StoneDrill, dont ses capacités de destruction (même avec des autorisations restreintes).
  4. Des détails sur les similitudes entre les styles et le code source des composants des malwares dans Shamoon, StoneDrill et NewsBeef.

La découverte de StoneDrill introduit une nouvelle dimension dans la vague actuelle d’attaques de nettoyeurs de disque contre des organisations saoudiennes qui a débuté avec Shamoon 2.0 en novembre 2016. Par rapport aux nouvelles versions de Shamoon 2.0, la différence la plus flagrante est l’absence d’un pilote de disque pour obtenir un accès direct lors de la phase de destruction. Ceci étant dit, il n’est pas nécessaire de bénéficier d’un accès au disque brut pour réaliser des activités destructrices au niveau du fichier, comme le démontre très bien le malware.

Une des questions les plus importantes qui se pose est le lien qui existe entre Shamoon et StoneDrill. Ces deux nettoyeurs de disque ont été utilisés contre des organisations saoudiennes au cours d’une même période entre octobre et novembre 2016. Plusieurs théories existent :

  • StoneDrill est un nettoyeur de disque moins utilisé, mais déployé dans certaines situations par le même groupe que Shamoon.
  • StoneDrill et Shamoon sont utilisés par deux groupes différents qui partagent les mêmes intérêts.
  • StoneDrill et Shamoon sont utilisés par deux groupes différents qui n’ont aucun rapport entre eux et qui ont attaqué les mêmes organisations saoudiennes au même moment par pure coïncidence.

Sur la base de l’ensemble des facteurs dont nous disposons, nous pensons que la deuxième théorie est la plus probable.

Qui plus est, StoneDrill semble être lié à l’activité de NewsBeef qui avait déjà été signalée (LIEN VERS https://securelist.com/blog/software/74503/freezer-paper-around-free-meat/) et qui continue de cibler des organisations saoudiennes. A ce niveau, NewsBeef et StoneDrill semblent se concentrer en permanence sur des intérêts saoudiens tandis que Shamoon est un outil à fort impact occasionnel mais qui fait parler de lui.

S’agissant des auteurs, Shamoon contient des sections en arabe (Yémen) tandis que StoneDrill renferme principalement des sections en persan. Les experts en géopolitiques n’hésiteraient pas à attirer l’attention sur le fait que l’Iran et le Yémen sont deux acteurs du conflit par procuration entre l’Iran et l’Arabie saoudite. Bien entendu, nous ne pouvons exclure la possibilité d’une diversion.

Enfin, il reste de nombreuses questions sans réponses au sujet de StoneDrill et NewsBeef. La détection du nettoyeur de disque StoneDrill en Europe est un indice évocateur qui montre que le groupe étend ses attaques destructrices au-delà du Moyen-Orient. Les attaques ciblent de grandes entreprises du secteur pétrochimique sans connexion apparente avec l’Arabe saoudie ni intérêt dans ce pays.

Comme d’habitude, nous allons continuer à surveiller les attaques de Shamoon, StoneDrill et NewsBeef.

Une présentation relative à StoneDrill sera proposée dans le cadre de la conférence Kaspersky Security Analyst Summit qui se tiendra du 2 au 6 avril 2017.

Les produits de Kaspersky Lab détectent les échantillons de Shamoon et de StoneDrill sous les noms suivants :

Trojan.Win32.EraseMBR.a
Trojan.Win32.Shamoon.a
Trojan.Win64.Shamoon.a
Trojan.Win64.Shamoon.b
Backdoor.Win32.RemoteConnection.d
Trojan.Win32.Inject.wmyv
Trojan.Win32.Inject.wmyt
HEUR:Trojan.Win32.Generic

Indicateurs de compromission

MD5 de Shamoon

00c417425a73db5a315d23fac8cb353f
271554cff73c3843b9282951f2ea7509
2cd0a5f1e9bcce6807e57ec8477d222a
33a63f09e0962313285c0f0fb654ae11
38f3bed2635857dc385c5d569bbc88ac
41f8cd9ac3fb6b1771177e5770537518
5446f46d89124462ae7aca4fce420423
548f6b23799f9265c01feefc6d86a5d3
63443027d7b30ef0582778f1c11f36f3
6a7bff614a1c2fd2901a5bd1d878be59
6bebb161bc45080200a204f0a1d6fc08
7772ce23c23f28596145656855fd02fc
7946788b175e299415ad9059da03b1b2
7edd88dd4511a7d5bcb91f2ff177d29d
7f399a3362c4a33b5a58e94b8631a3d5
8405aa3d86a22301ae62057d818b6b68
8712cea8b5e3ce0073330fd425d34416
8fbe990c2d493f58a2afa2b746e49c86
940cee0d5985960b4ed265a859a7c169
9d40d04d64f26a30da893b7a30da04eb
aae531a922d9cca9ddca3d98be09f9df
ac8636b6ad8f946e1d756cd4b1ed866d
af053352fe1a02ba8010ec7524670ed9
b4ddab362a20578dc6ca0bc8cc8ab986
baa9862b027abd61b3e19941e40b1b2d
c843046e54b755ec63ccb09d0a689674
d30cfa003ebfcd4d7c659a73a8dce11e
da3d900f8b090c705e8256e1193a18ec
dc79867623b7929fd055d94456be8ba0
ec010868e3e4c47239bf720738e058e3
efab909e4d089b8f5a73e0b363f471c1

MD5 de StoneDrill

ac3c25534c076623192b9381f926ba0d
0ccc9ec82f1d44c243329014b82d3125
8e67f4c98754a2373a49eaf53425d79a
fb21f3cea1aa051ba2a45e75d46b98b8

Serveurs de commande de StoneDrill

www.eservic[.]com
www.securityupdated[.]com
www.actdire[.]com
www.chromup[.]com

Serveurs de commande de NewsBeef

www.chrome-up[.]date
service1.chrome-up[.]date
service.chrome-up[.]date
webmaster.serveirc[.]com

 Download full report

Posts similaires

Il y a 1 commentaire
  1. GOUTAS

    Merci Kaspersky Davoir exporter votres efforts pour ce Monde .Je vous souhaitent Le Bonheur et la réussite

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *