StoneDrill: Encontramos um Malware como o Shamoon só que mais poderoso – bem mais poderoso.

Se você é um leitor regular do blog, você já deve saber do GReAT (sigla em inglês que significa em tradução livre, Equipe de Análise e Pesquisa Global) – são mais de quarenta especialistas em cibersegurança por todo o planeta especializados em proteger nossos clientes das ciberameaças mais sofisticadas. Os membros desse time gostam de comparar os trabalhos que desenvolvem com paleontologia: explorar as profundezas da internet a procura de “ossos” de “cibermonstros”, alguns podem considerar essa abordagem ultrapassada, porque você analisaria fósseis de criaturas do passado se são os monstros de hoje que ameaçam a rede? Bem, tem uma história bem legal que prova que não é possível encontrar os monstros do presente sem olhar o passado.

Alguns de vocês devem conhecer os wipers – tipo de malware que uma vez instalados em computadores, apagam todos os seus dados – deixando o dono do computador com um hardware limpo e não operacional. O mais famoso (e infame) desse tipo é o Shamoon – malware que fez bastante barulho no Oriente Médio em 2012 ao destruir dados de mais de 30.000 terminais na maior empresa de petróleo do mundo – Saudi Aramco, atingindo também outra gigante do setor energético – a Rasgas. Apenas imagine: 30.000 computadores inoperáveis na maior empresa de petróleo do mundo.

Shamoon, Shamoon 2.0, Stone Drill, Newsbeef. Os wipers estão se espalhando pelo mundo. 

Curiosamente, desde sua campanha devastadora contra a empresa saudita, não se ouviu falar muito do Shamoon, até seu retorno em 2016 sob a alcunha de Shamoon 2.0, com diversas novas ondas de ataque – novamente no Oriente Médio.

Desde o começo das novas ondas de ataque do Shamoon, ajustamos nossos sensores em busca de tantas versões desse malware quanto possível (porque convenhamos, não queremos que nenhum dos nossos clientes seja atingido por um malware como o Shamoon). E de fato conseguimos encontrar diversas versões. Todavia, juntamente com o Shamoon, nossas redes pegaram um tipo completamente novo de wiper, que chamamos de StoneDrill.

O código base do StoneDrill é diferente do pertencente ao Shamoon, e por isso acreditamos se tratar de uma família completamente nova de malware. Esses também utilizam técnicas avançadas de detecção que o Shamoon não usava. Portanto, temos uma nova peça no tabuleiro. E uma bastante preocupante, diferentemente do Shamoon, o StoneDrill não se limita à Arábia Saudita e aos países vizinhos. Encontramos apenas dois alvos desse malware, um deles sediado na Europa.

Por que é preocupante? Porque essa descoberta indica que certos autores de malware, armados com ciberferramentas devastadoras estão testando as águas em regiões nas quais autores desses tipos de malwares não demonstravam interesse.

Procurando o Shamoon, encontramos o StoneDrill. Procurando pelo StoneDrill, encontramos uma operação de ciberguerra integrada. 

Então, meu conselho para empresas na Europa que podem ser de interesse dos operadores do StoneDrill ou até do Shamoon: preparem a defesa de suas redes contra esse tipo de ameaça. Não é algo que apenas empresas de petróleo e gás no Oriente Médio devem se preocupar. O problema parece estar se espalhando globalmente.

De volta a ciberpaleontologia…

Mencionei mais cedo que encontramos o StoneDrill procurando por amostras do Shamoon. Claro, foi inesperado, mas não acidental…

De modo a encontrar variantes novas ou similares de malwares conhecidos, nossos pesquisadores (além de outras ferramentas) usam regras YARA. Essas permitem que utilizemos uma ferramenta específica que nos permite definir diferentes parâmetros de pesquisa e filtrar nossa base de dados de malware.

Traduzindo para uma linguagem humana o processo de caçar malware com YARA é como procurar um rosto que você não conhece em uma multidão. Imagine que você tem um amigo a distância. Depois de anos trocando e-mails, vocês decidem se encontrar em uma estação de trem lotada. Mas já que vocês dois decidiram não enviar fotos um ao outro, você não conhece o rosto dele, mas sim alguns detalhes como idade, altura, biótipo, cor de cabelos e olhos, e talvez o tipo de roupa que ele usa normalmente. Você pode até encontrar alguém que tenha as características que você procura, mas não saberá se é de fato seu amigo até falar com ele.

Bem, foi bem isso que aconteceu com o StoneDrill.

Nossos pesquisadores identificaram alguns parâmetros únicos na última versão do Shamoon. Baseados nesses parâmetros criaram regras YARA, apertaram a tecla de busca e começaram a analisar os resultados. Subsequentemente, encontraram uma amostra que tinha os parâmetros do Shamoon. Entretanto, depois de olhar mais de perto ficou claro que o malware não era o Shamoon, mas um exemplar de uma família completamente nova de malware.

De volta ao exemplo do amigo a distância, isso quer dizer que você identificaria alguém com parâmetros similares ao do seu amigo que não fosse o próprio. Talvez um parente?

Por que estou explicando isso aqui?

Bem, lembre-se da metáfora da paleontologia no começo desse post? Isso que eu queria dizer sobre capturar monstros do passado sem saber tudo sobre os antigos. Ou seja, vale a pena. Mas há outra razão pela qual quero falar sobre como pegamos o StoneDrill.

O fato de que identificamos o StoneDrill ao procurar pelo Shamoon significa que os dois são construídos e operados no mesmo estilo, mesmo que seus códigos sejam completamente diferentes. Quando digo “estilo” refiro-me a certas abordagens a respeito de como o malware opera, se esconde de softwares e pesquisadores de segurança, e etc. Não é o tipo de similaridade que você encontra entre dois irmãos por exemplo, mas que se observa entre dois estudantes de um mesmo professor. Ou entre membros de um mesmo clube.

Em outras palavras, as similaridades entre o Shamoon e o StoneDrill muito provavelmente não são coincidência. Shamoon e StoneDrill foram programados pela mesma pessoa(s)?  Seria o StoneDrill uma ferramenta dos operadores do Shamoon? Ou esses dois são monstros diferentes criados por autores diferentes que talvez tenham sido colegas de classe na escola de programação de malware? Não sabemos. Tudo é possível; nesse meio tempo, ainda estamos investigando, e apresentaremos nossas descobertas na próxima conferência SAS.

Mas espera! Isso não é tudo…

Quando nosso pessoal do GReAT estava investigando os códigos do StoneDrill, a equipe sentiu um desses déjà vus: eles já tinham visto partes do código antes! Onde? Em outra operação de ciber-segurança chamadas Newsbeef -sobre a qual publicamos um artigo ano passado. O que adiciona outra variável a essa equação: Newsbeef. Seria o StoneDrill uma ferramenta usada pelos operadores do Newsbeef com propósitos voltados para a eliminação de dados? Outra pergunta sem resposta.

Se fossemos especialistas em geopolítica ou filósofos muito provavelmente teríamos suposições sobre essas conexões. Já dizia Ursinho Pooh: esse zumbido quer dizer alguma coisa.

Porém, (por sorte), não somos nenhuma dessas coisas. Estamos fazendo o trabalho duro de salvar o mundo de todas as ciberameaças independente de sua origem ou propósito. A única razão pela qual mencionei conexões entrega o Shampon, StoneDrill e Newsbeef aqui é porque fomos nós a encontrá-los. E da minha perspectiva trata-se de uma excelente ilustração da utilidade de inteligência profissional contra ameaças para sua empresa ou governo em busca de um governo ou organização do que está ocorrendo a sua volta. E quando você entende as coisas, você pode se preparar melhor contra o risco atrelado a essas coisas.

Então, fique ligado, leia as descobertas detalhadas dos nossos especialistas do Securelist, e se tiver interesse de obter mais inteligência profissional, não hesite em se inscrever no nosso serviço de denúncias de inteligência de APT. 

Agora, passo a palavra aos responsáveis pela descoberta: análise técnica detalhada pode ser encontrada aqui.

P.S.:

Se você quer que seu time de segurança seja capaz de analisar malware tão profundamente quanto os profissionais do GReAT, mande-os a nossas seções de treinamento. A próxima ocorrerá na conferência SAS de 2017 no começo de abril. Esse ano, estaremos em Sint-Marteen, porque aprendemos que o Caribe é o local perfeito para discussões de cibersegurança e treinamento. Reserve tudo aqui – e faça as malas (não esqueça a sunga)!

LEIA COMENTÁRIOS 1
Comentários 1 Deixe um comentário.

    BH Tech Informática

    Olá Eugene,

    Nós da BH Tech Informática gostariamos de agradecer o grande valor do seu conteúdo e principalmente a qualidade dos produtos Kaspersky!

    Trabalhamos com Suporte de TI e 99% dos equipamentos saem daqui com alguma versão do Kaspersky instalada, mesmo que seja a Trial para o cliente adquirir posteriormente.

    Um grande abraço!

    Att.

    BH Tech Informática
    https://bhtechinformatica.com.br/
    contato@bhtechinformatica.com.br

Deixe um comentário.