بدافزار استون‌دریل: کشف جدید کسپرسکی

بدافزار استون‌دریل: کشف جدید کسپرسکی
تاریخ انتشار : ۲۶ اسفند ۱۳۹۵

کسپرسکی ادعا می کند وایپری مشابه اما پیچیده‌تر از شمعون 2 کشف کرده است که علاوه بر منطقه غرب آسیا، اروپا را نیز هدف گرفته است.

به گزارش گرداب، در پی حملات بدافزاری شمعون، یک وایپر جدید کشف شده است که خاورمیانه را هدف گرفته و به اهداف اروپایی هم علاقه نشان می‌دهد. شرکت کسپرسکی اعلام کرده است که نوعی وایپر جدید و پیچیده به نام استون‌دریل کشف کرده است. به گفته کسپرسکی، استون‌دریل نیز مانند وایپر شمعون، کل اطلاعات موجود بر روی رایانه قربانی را از بین می‌برد. استون‌دریل نیز از تکنیک‌های ضدشناسایی و ابزارهای جاسوسی بهره می‌برد. این بدافزار علاوه بر هدف گرفتن سامانه‌های خاورمیانه، رایانه‌های اروپایی را هم هدف گرفته است؛ جایی که پیش از این، وایپرهای مورد استفاده در خاورمیانه به‌طور طبیعی در آنجا دیده نمی‌شد.
 
در سال 2012، وایپر شمعون (معروف به Disttrack) با تخریب حدود سی و پنج هزار رایانه شرکت‌های نفت و گاز خاورمیانه سروصدای زیادی به پا کرد. این حمله ویرانگر، ده درصد از ذخایر نفت جهان را در معرض خطر قرار داد. درهرحال، آن حمله، منحصربه‌فرد بود و بعد از آن، عامل حمله اساسا ناپدید شد. در اواخر سال 2016، دوباره در قالب یک کارزار مخرب بسیار گسترده که نسخه به‌شدت به‌روز شده بدافزار 2012 بود و شمعون 2 نام گرفت، وارد صحنه شد.
 
محققان کسپرسکی ادعا کرده‌اند که در حین تحقیق بر روی شمعون 2، به‌طور ناگهانی با بدافزار دیگری روبرو شده‌اند که از نظر سبک و شیوه، شباهت فراوانی با شمعون 2 دارد ولی درعین‌حال، بسیار متفاوت‌تر و پیچیده‌تر از آن است. آنها بدافزار تازه کشف شده را استون‌دریل نامیده‌اند.
 
استون‌دریل- وایپری با ارتباطات خاص
 
هنوز مشخص نیست که استون‌دریل چگونه تکثیر می‌شود اما به محض ورود به رایانه هدف، خود را به درون فرآیند حافظه (memory process) مرورگر مورد علاقه کاربر تزریق می‌کند. استون‌دریل در جریان این فرآیند، از دو تکنیک پیچیده و ضدتقلید برای دور زدن راه‌حل‌های امنیتی مستقر در دستگاه قربانی استفاده می‌کند. بدافزار آن گاه شروع به تخریب فایل‌های موجود در دیسک رایانه می‌کند.
 
تاکنون، مشخص شده است که وایپر استون‌دریل حداقل دو منطقه را هدف گرفته است؛ یکی در خاورمیانه و دیگری در اروپا.
 
محققان کسپرسکی علاوه بر ماژول پاک‌کننده، یک درب پشتی استون‌دریل نیز کشف کرده‌اند که ظاهرا توسط همان کدنویسان نوشته شده است و برای مقاصد جاسوسی به کار گرفته می‌شود. متخصصان، چهار پانل فرمان و کنترل کشف کرده‌اند که مهاجمان از آنها برای انجام عملیات جاسوسی علیه تعداد نامشخصی از اهداف استفاده کرده‌اند و از درب پشتی تعبیه شده در بدافزار برای این کار کمک گرفته‌اند.
 
شاید جالب‌ترین نکته درباره استون‌دریل آن باشد که به نظر می‌رسد با سایر وایپرها و اقدامات جاسوسی که قبلا گزارش شده، ارتباطاتی دارد. زمانی که محققان کسپرسکی با کمک قوانین یارا که برای کشف نمونه‌های ناشناخته شمعون طراحی شده، موفق به کشف استون‌دریل شدند، دریافتند که استون‌دریل قطعه منحصربه‌فردی از یک کد مخرب است که ظاهرا مستقل از شمعون طراحی شده است. با وجود آن که مبنای کد این دو خانواده – شمعون و استون‌دریل- با هم تفاوت دارد، ظاهرا ذهنیت طراحان و سبک برنامه نویسان آنها مشابهت دارد. به همین دلیل با بهره‌گیری از قوانین یارا که از روی شمعون توسعه یافته بودند، امکان شناسایی استون‌دریل فراهم گردید.
 
همچنین مشابهت‌هایی هم با بدافزارهای قدیمی شناخته شده مشاهده شد اما این بار، مشابهت‌ها بین شمعون و استون‌دریل نبود. طبق اعلام کسپرسکی، برخی از کدهای به کار رفته در استون‌دریل، قبلا در کارزار NewsBeef APT معروف بهCharming Kitten  (بچه گربه جذاب) گزارش شده بود؛ کارزار مخربی که در چند سال گذشته فعال بوده است.
 
محمدامین حسبینی، از محققان امنیتی کسپرسکی می‌گوید: «تشابهات و تطابقاتی که بین این سه عملیات مخرب وجود داشت برای ما بسیار جالب بود. آیا استون دریل یک وایپر دیگر بوده که طراح شمعون وارد میدان کرده است؟ یا استون دریل و شمعون دو گروه متفاوتند که ربطی به هم ندارند و از سر اتفاق در یک زمان به سازمان‌های سعودی حمله‌ور شده‌اند؟ یا دو گروه متفاوت هستند که اهداف مشابهی دارند؟ این نظریه آخر، محتمل‌ترین گزینه است: زمانی که نوبت به مصنوعات دست بشر می‌رسد، می‌توانیم بگوییم که در حالی که در شمعون قطعاتی از منابع زبانی عربی- یمنی وجود دارد، در استون‌دریل عمدتا بخش‌هایی از منابع زبان فارسی دیده می‌شود. تحلیلگران ژئوپلتیک احتمالا بی‌درنگ خواهند گفت که هم ایران و هم یمن، از بازیگران جنگ‌های نیابتی بین ایران و عربستان سعودی هستند و عربستان سعودی کشوری است که اکثر قربانیان این عملیات در آنجا مستقر بوده‌اند. البته این احتمال را نمی‌توان رد کرد که ممکن است این قطعات زبانی، پرچم‌های دروغین بوده باشند و گنجاندن منابع مرتبط با ایران و یمن، به قصد فریب انجام شده باشد.»
 
طبق اعلام کسپرسکی، محصولات این شرکت به خوبی بدافزارهای مرتبط با شمعون، استون دریل و NewsBeef را شناسایی و مسدود می‌کنند.
 
توصیه‌های کارشناسان امنیتی کسپرسکی برای حفاظت از سازمان‌ها در برابر این‌گونه حملات عبارت است از:
 
ارزیابی امنیتی شبکه کنترل: حسابرسی امنیتی، تست نفوذ، تحلیل شکاف برای شناسایی و رفع هرگونه نقاط ضعف امنیتی. مرور سیاست‌های امنیتی  فروشندگان بیرونی و طرفین ثالث در مواقعی که به شبکه کنترل، دسترسی مستقیم دارند.
 
درخواست اطلاعات از بیرون: اطلاعات حاصل از فروشندگان معتبر به سازمان‌ها کمک می‌کند حملات آینده به زیرساخت‌های صنعتی شرکت را پیش‌بینی کنند. گروه‌های واکنش اضطراری نظیر سامانه‌های کنترل صنعتی- تیم‌های واکنش اضطراری رایانه‌ای کسپرسکی، اطلاعات رایگان در خصوص امنیت سامانه‌های صنعتی عرضه می‌کنند.
 
آموزش کارکنان: کارکنان خود را آموزش داده و به کارکنان عملیاتی و مهندسی و آگاهی آنها از تهدیدات و حملات اخیر، توجه نشان دهید.
 
برقراری حفاظت در داخل و خارج: حفاظت را در داخل و بیرون از محیط کار برقرار سازید. یک راهبرد امنیتی مناسب، باید منابع کافی برای شناسایی حمله و پاسخ به آن در نظر بگیرد تا بتواند حمله را قبل از دسترسی به اهداف بسیار مهم، متوقف کند.
 
ارزیابی روش‌های پیشرفته حفاظت: روش‌های پیشرفته حفاظت را مورد ارزیابی قرار دهید: از جمله بررسی منظم انسجام کنترل‌کننده‌ها، نظارت تخصصی بر شبکه به‌منظور افزایش امنیت کلی شرکت و کاهش احتمال موفقیت تخلفات، حتی اگر برخی از آسیب‌پذیری‌های ذاتی، قابل وصله شدن یا برطرف شدن نباشند.