Kaspersky, Orta Doğu’yu hedef alan ve yeni bir silici olan StoneDrill ile ilgili uyarılarda bulundu.
Shamoon zararlı yazılımı saldırılarının ardından şimdi de Orta Doğu’yu hedef alan yeni bir silici (wiper) Avrupa hedeflerine ilgi göstermeye başladı. StoneDrill adlı bu gelişmiş ve yıkıcı yazılım, tespit edilmeyi önleyici teknikler kullanıyor ve casusluk araçları barındırıyor.
Kaspersky Lab’ın Küresel Araştırma ve Analiz Ekibi, StoneDrill adında yeni ve sofistike bir silici yazılımı keşfetti. Yeni zararlı yazılım, aynı bir diğer tanınmış silici olan Shamoon gibi, bulaştığı bilgisayardaki bütün verileri siliyor. StoneDrill aynı zamanda tespit edilmeyi önleyici gelişmiş teknikler kullanıyor ve casusluk araçları barındırıyor. Orta Doğu’daki hedeflerin yanı sıra şimdi de Avrupa’da bir hedef keşfedildi. Orta Doğu’da kullanılan silicilere daha önce Avrupa’da rastlanmamıştı.
2012 yılında Shamoon (diğer adıyla Disttrack) adlı silici Orta Doğu’daki bir petrol ve gaz şirketindeki 35.000 bilgisayarı saf dışı bırakarak oldukça ses getirmişti. Bu yıkıcı saldırıcı dünyanın petrol tedariğinin %10’unu potansiyel olarak risk altında bırakmıştı. Benzeri olmayan bu olayın ardından, saldırının sorumlusu adeta kayıplara karışmıştı. 2016’nın sonlarına doğru Shamoon 2.0 şeklinde geri gelen yazılım, bu sefer 2012’deki zararlı yazılımın ciddi ölçüde güncellenmiş ve çok daha geniş çaplı bir sürümü olarak gün yüzüne çıktı.
Söz konusu saldırıları inceleyen Kaspersky Lab araştırmacıları, tarzı açısından beklenmedik bir şekilde Shamoon 2.0’a benzeyen bir zararlı yazılım buldu. Aynı zamanda çok farklı ve Shamoon’a göre çok daha karmaşıktı. Ona StoneDrill (taş delici) adını verdiler.
StoneDrill – iyi bağlantıları olan bir silici
StoneDrill’in yayıldığı henüz bilinmiyor fakat bulaştığı cihaza girdiği anda kendisini kullanıcının tercih ettiği tarayıcının bellek işlemlerine yerleştiriyor. Bu süreçte, kurbanın bilgisayarında yüklü olan güvenlik çözümlerini kandırmayı hedefleyen iki adet karmaşık anti-emülasyon tekniği kullanıyor. Zararlı yazılım sonra da bilgisayarın disk dosyalarını yok etmeye başlıyor.
Şimdiye kadar StoneDrill silicisinin en az iki hedefi tespit edildi. Biri Orta Doğu’da, diğeri ise Avrupa’da.
Silici olarak çalışan modülün yanı sıra, Kaspersky Lab araştırmacıları, görünüşe göre aynı yazılımcılar tarafından geliştirilmiş ve casusluk amacıyla kullanılan bir de StoneDrill arka kapısı buldular. Uzmanlar, saldırganlar tarafından StoneDrill yardımıyla sayısı bilinmeyen hedeflere yönelik olarak casusluk operasyonlarında kullanılan dört adet komuta kontrol paneli de keşfetti.
StoneDrill hakkındaki belki de en ilginç şey, görünüşe göre daha önce karşılaşılan bir çok başka silici ve casusluk operasyonları ile bağlantılarının olması. Kaspersky Lab araştırmacıları, Shamoon’un bilinmeyen örneklerini tespit etmek için yaratılmış Yara kurallarının yardımıyla StoneDrill’i keşfettiklerinde, benzeri olmayan ve Shamoon’dan ayrı olarak yaratılmış bir zararlı kodla karşı karşıya olduklarını anladılar. Her iki aile de (Shamoon ve StoneDrill) tamamen aynı kod temeline dayanmasalar da, yazılımcılarının zihniyetlerinin ve programlama tarzlarının benzer olduğu görülüyor. Bu sebeple, Shamoon yardımıyla geliştirilen Yara kurallarıyla StoneDrill’in tespit edilmesi mümkün oldu.
Kodlardaki benzerlikler, bilinen daha eski zararlı yazılımlar özelinde de görülüyor fakat benzerlikler bu sefer Shamoon ve StoneDrill arasında değil. Görülüyor ki StoneDrill, son birkaç yıldır aktif olan bir diğer zararlı yazılım olan NewsBeef APT’de (diğer adıyla Charming Kitten’da) görülen kodun bazı parçalarını da kullanıyor.
Küresel Araştırma ve Analiz Ekibi Kıdemli Güvenlik Araştırmacısı Mohamad Amin Hasbini, “Bu üç kötü amaçlı operasyon arasındaki benzerlikler ve karşılaştırmalar çok ilgimizi çekmişti. StoneDrill, Shamoon’un sorumlusu tarafından yayılan başka bir silici miydi? Yoksa StoneDrill ve Shamoon, aynı anda Suudi kuruluşlarını hedef alan iki farklı ve birbirine bağlı olmayan gruplar mı? Veya ayrı fakat ortak amaca sahip iki grup mu? Sonuncusu en muhtemel teori: arkalarında bıraktıkları izlere bakacak olursak, Shamoon Arapça-Yemen kaynak dil bölümlerini içerirken, StoneDrill’in çoğunlukla Farsça kaynak dil bölümlerini barındırdığını söyleyebiliriz. Jeopolitik analistler muhtemelen İran ve Yemen’in İran-Suudi Arabistan arasındaki vekil sunucu çatışmasında yer alan oyuncular olduklarına dikkat çekecektir ve Suudi Arabistan bu operasyonların kurbanlarının çoğunun bulunduğu ülkedir. Fakat elbette, bu arkada bırakılan izlerin birer yanıltma hamlesi olma ihtimalini göz ardı edemeyiz” dedi.
Kaspersky Lab ürünleri, Shamoon, StoneDrill ve NewsBeef ile ilgili kötü amaçlı yazılımları başarılı bir şekilde algılar ve engeller.
Kaspersky Lab güvenlik uzmanları, kuruluşları bu tür saldırılardan korumak için aşağıdakileri tavsiye ediyor:
- Herhangi bir güvenlik açığını tespit etmek ve ortadan kaldırmak için kontrol ağını bir güvenlik değerlendirmesinden geçirin (örneğin: güvenlik denetimi, penetrasyon testi, boşluk analizi). Kontrol ağına doğrudan erişebilecek durumda olmaları ihtimaline karşı dış tedarikçi ve 3. parti güvenlik politikalarını gözden geçirin.
- Harici istihbarat talep edin: Saygın sağlayıcılardan edinilen istihbarat, şirketlerin altyapılarına yapılabilecek saldırıları öngörebilmesine yardımcı olur. Kaspersky Lab’ın ICS CERT gibi acil durum müdahale ekipleri, sektörler arası istihbaratı ücretsiz olarak sağlar.
- Çalışanlarınızı eğitin, operasyonel ve mühendislik personeliyle, son tehditler ve saldırılara karşı olan farkındalıklarını artırmak için özel olarak ilgilenin.
- Çevrenin içinde ve dışında koruma sağlayın. Düzgün bir güvenlik stratejisi, bir saldırıyı kritik önem taşıyan nesnelere ulaşmadan engellemek adına, saldırı tespit ve müdahale konularına kayda değer miktarda kaynak ayırmalıdır.
- Doğal olarak savunmasız olan bazı düğüm noktaları yamalanamasa veya kaldırılamasa bile, bir şirketin genel güvenliğini artırmak ve başarılı bir ihlal şansını azaltmak amacıyla, kontrol birimleri için düzenli bütünlük denetimleri yapın ve özelleşmiş ağ gözlemleme gibi gelişmiş koruma yöntemlerini değerlendirin.