Kaspersky Lab’ın Küresel Araştırma ve Analiz Ekibi, StoneDrill adında yeni ve sofistike bir silici yazılımı keşfetti. Yeni zararlı yazılım, aynı bir diğer tanınmış silici olan Shamoon gibi, bulaştığı bilgisayardaki bütün verileri siliyor. StoneDrill aynı zamanda tespit edilmeyi önleyici gelişmiş teknikler kullanıyor ve casusluk araçları barındırıyor. Orta Doğu’daki hedeflerin yanı sıra şimdi de Avrupa’da bir hedef keşfedildi. Orta Doğu’da kullanılan silicilere daha önce Avrupa’da rastlanmamıştı.
2012 yılında Shamoon (diğer adıyla Disttrack) adlı silici Orta Doğu’daki bir petrol ve gaz şirketindeki 35.000 bilgisayarı saf dışı bırakarak oldukça ses getirmişti. Bu yıkıcı saldırıcı dünyanın petrol tedariğinin %10’unu potansiyel olarak risk altında bırakmıştı. Benzeri olmayan bu olayın ardından, saldırının sorumlusu adeta kayıplara karışmıştı. 2016’nın sonlarına doğru Shamoon 2.0 şeklinde geri gelen yazılım, bu sefer 2012’deki zararlı yazılımın ciddi ölçüde güncellenmiş ve çok daha geniş çaplı bir sürümü olarak gün yüzüne çıktı.
Söz konusu saldırıları inceleyen Kaspersky Lab araştırmacıları, tarzı açısından beklenmedik bir şekilde Shamoon 2.0’a benzeyen bir zararlı yazılım buldu. Aynı zamanda çok farklı ve Shamoon’a göre çok daha karmaşıktı. Ona StoneDrill (taş delici) adını verdiler.
StoneDrill – iyi bağlantıları olan bir silici
StoneDrill’in yayıldığı henüz bilinmiyor fakat bulaştığı cihaza girdiği anda kendisini kullanıcının tercih ettiği tarayıcının bellek işlemlerine yerleştiriyor. Bu süreçte, kurbanın bilgisayarında yüklü olan güvenlik çözümlerini kandırmayı hedefleyen iki adet karmaşık anti-emülasyon tekniği kullanıyor. Zararlı yazılım sonra da bilgisayarın disk dosyalarını yok etmeye başlıyor.
Şimdiye kadar StoneDrill silicisinin en az iki hedefi tespit edildi. Biri Orta Doğu’da, diğeri ise Avrupa’da
Silici olarak çalışan modülün yanı sıra, Kaspersky Lab araştırmacıları, görünüşe göre aynı yazılımcılar tarafından geliştirilmiş ve casusluk amacıyla kullanılan bir de StoneDrill arka kapısı buldular. Uzmanlar, saldırganlar tarafından StoneDrill yardımıyla sayısı bilinmeyen hedeflere yönelik olarak casusluk operasyonlarında kullanılan dört adet komuta kontrol paneli de keşfetti.
StoneDrill hakkındaki belki de en ilginç şey, görünüşe göre daha önce karşılaşılan bir çok başka silici ve casusluk operasyonları ile bağlantılarının olması. Kaspersky Lab araştırmacıları, Shamoon’un bilinmeyen örneklerini tespit etmek için yaratılmış Yara kurallarının yardımıyla StoneDrill’i keşfettiklerinde, benzeri olmayan ve Shamoon’dan ayrı olarak yaratılmış bir zararlı kodla karşı karşıya olduklarını anladılar. Her iki aile de (Shamoon ve StoneDrill) tamamen aynı kod temeline dayanmasalar da, yazılımcılarının zihniyetlerinin ve programlama tarzlarının benzer olduğu görülüyor. Bu sebeple, Shamoon yardımıyla geliştirilen Yara kurallarıyla StoneDrill’in tespit edilmesi mümkün oldu.
Kodlardaki benzerlikler, bilinen daha eski zararlı yazılımlar özelinde de görülüyor fakat benzerlikler bu sefer Shamoon ve StoneDrill arasında değil. Görülüyor ki StoneDrill, son birkaç yıldır aktif olan bir diğer zararlı yazılım olan NewsBeef APT’de (diğer adıyla Charming Kitten’da) görülen kodun bazı parçalarını da kullanıyor.
Küresel Araştırma ve Analiz Ekibi Kıdemli Güvenlik Araştırmacısı Mohamad Amin Hasbini şunları söyledi:
“Bu üç kötü amaçlı operasyon arasındaki benzerlikler ve karşılaştırmalar çok ilgimizi çekmişti. StoneDrill, Shamoon’un sorumlusu tarafından yayılan başka bir silici miydi? Yoksa StoneDrill ve Shamoon, aynı anda Suudi kuruluşlarını hedef alan iki farklı ve birbirine bağlı olmayan gruplar mı? Veya ayrı fakat ortak amaca sahip iki grup mu? Sonuncusu en muhtemel teori: arkalarında bıraktıkları izlere bakacak olursak, Shamoon Arapça-Yemen kaynak dil bölümlerini içerirken, StoneDrill’in çoğunlukla Farsça kaynak dil bölümlerini barındırdığını söyleyebiliriz. Jeopolitik analistler muhtemelen İran ve Yemen’in İran-Suudi Arabistan arasındaki vekil sunucu çatışmasında yer alan oyuncular olduklarına dikkat çekecektir ve Suudi Arabistan bu operasyonların kurbanlarının çoğunun bulunduğu ülkedir. Fakat elbette, bu arkada bırakılan izlerin birer yanıltma hamlesi olma ihtimalini göz ardı edemeyiz”.
Kaynak : 