المملكة العربية السعودية تتعرض لهجوم من قبل برنامج ضار جديد StoneDrill

أبلغ خبراء كاسبرسكي لاب اليوم عن اكتشاف برنامج ضار معقد جديد يدمر جميع البيانات الموجودة على كمبيوتر الضحية. برامج ضارة تسمى StoneDrill ، ولا تقوم فقط بإزالة المعلومات من الأقراص الصلبة ، ولكن أيضًا تتجسس على الضحايا. أيضا ، يمكن لهذا البرنامج الاختباء من أدوات الكشف التي تم تجهيز منتجات مكافحة الفيروسات بها.

وفقًا لخبراء Kaspersky Lab ، فإن StoneDrill يشبه إلى حد كبير فيروسًا آخر تسبب في الكثير من الضرر لأجهزة الكمبيوتر الخاصة بالمستخدمين والشركات في عام 2012. هذا برنامج شمعون (المعروف أيضا باسم Disttrack). تمكن هذا الفيروس من تعطيل عمل حوالي 35 ألف كمبيوتر فقط في شركة النفط والغاز أرامكو السعودية العاملة في الشرق الأوسط. كان من الممكن استعادة التشغيل الطبيعي لهذه المنظمة بعد 10 أيام فقط من الإصابة. كم عدد أجهزة الكمبيوتر المصابة بالبرامج الضارة المصابة في شركات ومناطق أخرى غير معروف بالضبط.

بسبب هذه الضربة الهائلة التي لحقت بعمليات الشركة ، تسببت في أضرار كبيرة أثرت على عمل صناعة النفط والغاز بأكملها ، ليس فقط في المملكة العربية السعودية ، ولكن أيضًا في العالم. بعد هذا الحادث مباشرة تقريبا ، أوقف مطورو شامون أنشطتهم ، وانتشر الفيروس أيضا. الآن ، وفقًا لخبراء من Kaspersky Lab ، ظهر فيروس مماثل مجهز بعدد من الوحدات الإضافية التي تعمل على توسيع وظائف البرنامج.

صحيح ، خذ بعين الاعتبار Shamoon و StoneDrill إصدارات مختلفة من نفس الفيروس. الحقيقة هي أن مبدأ عملهم لا يزال مختلفًا. السمة المشتركة لهذا البرنامج هي القدرة على الاختباء من مضادات الفيروسات. تمكنت كاسبرسكي لاب نفسها من الكشف عن الفيروس من خلال استخدام عدة قواعد للكشف عن الهجمات المستهدفة التي تم إنشاؤها لاكتشاف شامون ، وهذه بالفعل النسخة الثانية. والحقيقة أن شمعون عاد العام الماضي وبدأ مرة أخرى في مهاجمة أجهزة كمبيوتر الشركات في المملكة العربية السعودية. للكشف عن شامون 2.0 ، تم تطوير أدوات كشف محددة ، بمساعدة خبراء أمن المعلومات وجدوا برامج ضارة أخرى غير معروفة حتى الآن. هذا هو StoneDrill.

تم الكشف عن الفيروس نفسه ، ولكن العديد من تفاصيل عمله لا تزال مجهولة. هذه ، على سبيل المثال ، هي طريقة لنشر البرامج الضارة. ومع ذلك ، تمكن الخبراء من معرفة كيف لا يلاحظ أحد برامج مكافحة الفيروسات برنامج StoneDrill. للقيام بذلك ، يتم استخدام تقنيتين مضادتين للمضاهاة تسمح للفيروس بتجنب الكشف عن طريق السلوك. عندما تدخل الضحية جهاز الكمبيوتر الخاص بالضحية ، يتم دمج StoneDrill على الفور في عملية ذاكرة المتصفح التي تعتبر أساسية لهذا الكمبيوتر بعينه. بعد ذلك ، يبدأ الفيروس في تدمير الملفات الموجودة على القرص الصلب والتجسس على الضحايا. تمكن موظفو كاسبرسكي لاب من اكتشاف أربعة خوادم يقوم المهاجمون من خلالها بالمراقبة.


جزء صغير من كود البرامج الضارة في الملف الذي تم تحليله

أما بالنسبة لأوجه التشابه بين Shamoon و StoneDrill ، فإن البرامج الضارة لديها الكثير من أوجه التشابه ، على الرغم من أنه ، كما يمكن للمرء أن يحكم ، قامت بها فرق مختلفة. الفرق هو أن هناك نسخة يمنية من اللغة العربية في كود الشامون ، واللغة الفارسية موجودة في StoneDrill. من هذا ، يشير خبراء الأمن السيبراني إلى أن المطورين الإيرانيين واليمنيين ، الذين قد يكونون مهتمين بإحداث أكبر قدر من الضرر للشركات من المملكة العربية السعودية ، هم وراء تطوير البرمجيات الخبيثة. والحقيقة هي أنه في هذه المنطقة لوحظ العدد الأقصى من ضحايا هجمات حفر الحجر وشامون. لكن هذا مجرد افتراض قد لا يكون له أي أساس حقيقي. في الوقت نفسه ، تتهم السلطات السعودية إيران بشن هجوم.

بعد تحليل مفصل ، تمكن موظفو كاسبرسكي لاب من معرفة بعض التفاصيل المهمة للهجمات باستخدام Shamoon و StoneDrill:

• تمت إضافة وحدة برامج الفدية إلى Shamoon 2.0. لا تزال الوحدة غير نشطة ، ولكن المهاجمين قادرون على تنشيطها في أي وقت ؛
• Shamoon ، الإصدار الجديد ، ليس لديه وحدة للتواصل مع خادم الأوامر ، ولكن الإصدارات السابقة من البرامج الضارة تتضمن هذه الوحدة ؛
• يستخدم StoneDrill ذاكرة المتصفح للوصول إلى كمبيوتر الضحية ، كما هو موضح أعلاه. لكن شمعون يعمل مع السائقين.

هناك فرق كبير بين StoneDrill هو أنه تمت ملاحظة هذا الفيروس أثناء هجوم على شبكات الكمبيوتر لمنظمة أوروبية غير مسماة. وبالتالي ، يمكن تطوير هذه البرامج الضارة من قبل فريق لا يقتصر اهتمامه على المملكة العربية السعودية فحسب ، بل على أوروبا أيضًا.

يشير Kaspersky Lab إلى تشابه نشاط StoneDrill مع عمل برامج ضارة أخرى ، NewsBeef . يهاجم هذا الفيروس منذ فترة طويلة أجهزة الكمبيوتر وشبكات الكمبيوتر للمنظمات في المملكة العربية السعودية. يعتقد خبراء الشركة أن Shamoon يمكن أن يكون أداة فعالة للاستخدام على المدى القصير ، في حين أن NewsBeef و StoneDrill هما أداتان للتعرض على المدى الطويل.

تخطط Kaspersky Lab لإخبار المزيد عن التهديد الجديد في مؤتمر Kaspersky Security Analyst Summit في 2-6 أبريل 2017.