Shamoon e StoneDrill, vecchie e nuove minacce informatiche che devastano l'hard disk

Era il mese di agosto del 2012 quando la società petrolifera araba Saudi Aramco si è vista mettere fuori uso circa 35 mila workstation a causa di un attacco informatico condotto con il virus Shamoon. Si è trattato di un attacco particolarmente grave che ha richiesto settimane prima che Saudi Aramco potesse tornare alla normale operatività: la caratteristica chiave di Shamoon, infatti, è l'eliminazione dei dati presenti sull'hard disk del sistema bersaglio e la sovrascrittura del master boot record, rendendo il sistema inutilizzabile. Apparso dal nulla, Shamoon è presto ritornato nell'oblio dopo aver portato a termine la sua missione distruttiva.

Fino ad ora: dallo scorso novembre i ricercatori di Kaspersy Lab hanno infatti rilevato tre attacchi portati con una nuova variante di Shamoon, che aggiunge nuovi strumenti e tecniche rispetto al suo predecessore come ad esempio una minore dipendenza da server command-and-control esterni, un ransomware pienamente operativo e nuovi componenti a 32-bit e 64-bit. Il principio di funzionamento è grossomodo lo stesso della versione del 2012: Shamoon 2.0 si annida silenziosamente in una rete bersaglio, così da permettere agli attaccanti di ottenere gli accessi di amministratore. A questo punto Shamoon costruisce il suo "wiper" (letteralmente è il tergicristallo: allegoricamente rende molto bene l'idea dell'azione di Shamoon sull'unità di storage) che usa le credenziali raccolte nella fase precedente per diffondersi ampiamente all'interno della rete della vittima. Ad una data stabilita il wiper si attiva e in poco tempo mette fuori gioco le macchine che ha infettato. La fase finale dell'attacco è automatizzata, caratteristica che elimina la necessità di dover instaurare comunicazioni con un server command-and-control.

Durante le indagini relative a Shamoon i ricercatori si sono però imbattuti in un'altra minaccia, che si comporta allo stesso modo, ovvero elimina i dati presenti sull'hard disk del bersaglio. La nuova minaccia mostra alcune somiglianze di codice con Shamoon, ma i ricercatori hanno concluso, dopo una analisi più approfondita, che si tratta di un malware distinto e inedito che hanno battezzato con il nome di "StoneDrill".

Oltre alle somiglianze con Shamoon, Stone Drill riutilizza elementi di codice impiegati in una campagna di spionaggio denominata "NewsBeef" che ha preso di mira varie realtà in tutto il mondo. Stone Drill contiene al suo interno funzioni di backdoor usate appositamente a scopi di spionaggio. I ricercatori Kaspersky hanno individuato quattro pannelli di command-and-control usati dagli attaccanti per sottrarre informazioni da un numero imprecisato di bersagli usando Stone Drill. Tra le altre sinistre capacità di questo malware vi è anche quella di riuscire ad evadere le misure di rilevamento grazie alla possibilità di evitare l'uso dei driver del disco durante l'installazione. Per riuscire a fare questo inietta un modulo di wiping nella memoria del sistema associata con il browser preferito dell'utente. StoneDrill è stato scoperto prendere di mira una compagnia petrolifera in Europa, dove i wiper usati in Medio Oriente non sono mai stati precedentemente riscontrati.

"La scoperta di StoneDrill in Europa è un segno importante del fatto che il gruppo sta espandendo suoi attacchi devastanti al di fuori del Medio Oriente. Il bersaglio dell'attacco sembra essere una grande azienda con estese attività nel settore petrolchimico, con nessuna apparente connessione o interesse in Arabia Saudita" hanno scritto i ricercatori di Kaspersky Lab in un report di 35 pagine pubblicato nel corso della giornata di ieri.

I ricercatori non sono ancora riusciti a ricostruire la strategia di diffusione di StoneDrill. E' possibile che si tratti di uno strumento utilizzato, per scopi più mirati, dallo stesso gruppo che usa Shamoon, così come è possibile che StoneDrill e Shamoon sia usati da due gruppi differenti che non hanno alcun legame tra loro e solo coincidentalmente abbiano preso di mira le stesse realtà nello stesso momento.