Malware opgedoken in Europa die harde schijven wist
Onderzoekers hebben een nieuwe gesofisticeerde variant van malware ontdekt die destructief is voor harde schijven en zich klaarblijkelijk op doelwitten in Europa en het Midden-Oosten richt. De malafide software heeft de naam StoneDrill gekregen.
Oosterse connectie
Het Russische Kasperksy Labs deed de ontdekking. Het bekende antivirusbedrijf werkte aan een onderzoek van Shamoon, een gelijkaardige malwareprogramma dat harde schijven vernietigd en in 2012 lelijk huis had gehouden in Saoedie-Arabië. Shamoon was recentelijk opnieuw opgedoken in de regio. Tijdens het speurwerk stootte Kaspersky op StoneDrill.
Stonedrill deelt verschillende gelijkenissen met Shamoon, maar het gaat wel degelijk om twee verschillende programma’s. In tegenstelling tot die laatste maakt StoneDrill sterk gebruik van ontwijkingstechnieken om detectie te voorkomen. Het benut ook een andere manier om slachtoffers te infecteren, via een injectie van de malware in het geheugenproces van de favoriete browser van een gebruiker.
Infiltratie van de browser in plaats van de harde schijf is opnieuw een techniek die moet voorkomen dat de malware snel wordt opgespoord door een antivirusprogramma. Het geeft StoneDrill de tijd die nodig is om de data in de harde schijf te overschrijven met willekeurige nummers.
Uitbreiding naar Europa
StoneDrill maakte slachtoffers in Saoedi-Arabië, maar Kaspersky observeerde ook één aanval in Europa bij zijn klanten. “Dit doet ons geloven dat de bedreigende actor achter StoneDrill zijn vernietigende operaties aan het uitbreiden is van het Midden-Oosten naar Europa,” aldus het bedrijf.
Het is niet duidelijk of StoneDrill en Shamoon door dezelfde hackersgroep is ontwikkeld. Een aanwijzing lijkt dat tegen te spreken: Shamoon bevat Arabisch-Jemenitische taalsecties, terwijl de Stonedrill-software Perzisch bezigt. “Geopolitieke analisten zullen snel de connectie maken dat zowel Yemen als Iran spelers zijn in het machtsconflict tussen Saoedie-Arabië en Iran,” stelt het bedrijf. Kaspersky sluit echter niet uit dat de taalonderdelen specifiek geschreven zijn om mensen op het verkeerde been te zetten over wie nu achter de cyberaanvallen zit.