Home Công nghệ số Bảo mật Kaspersky tìm thấy backdoor xóa dữ liệu nguy hiểm StoneDrill

Kaspersky tìm thấy backdoor xóa dữ liệu nguy hiểm StoneDrill

SHARE
stonedrill-vs-shamoon

Nhóm nghiên cứu và phân tích toàn cầu của đã phát hiện ra một loại vô cùng tinh vi mới được gọi là StoneDrill. Cũng như một loại mã độc xóa dữ liệu khét tiếng khác là Shamoon, nó sẽ phá hủy mọi thứ trên máy tính bị lây nhiễm.

stonedrill-vs-shamoon

StoneDrill cũng rất đặc biệt với kĩ thuật chống phát hiện cao cấp và những công cụ của nó. Ngoài mục tiêu ở Trung Đông, một mục tiêu khác của StoneDrill được phát hiện là châu Âu, nơi mà những mã độc xóa dữ liệu đã sử dụng ở Đông Âu chưa bị phát hiện.

Chưa biết StoneDrill phát tán như thế nào, nhưng khi máy bị , nó tự đưa mình vào quá trình nhớ của trình duyệt ưa thích của người dùng. Trong quá trình này, nó sử dụng hai kĩ thuật chống làm giả tinh vi nhằm đánh lừa các giải pháp được cài đặt trong máy của nạn nhân. Lúc này mã độc bắt đầu phá hủy các tập tin trên máy tính.

Bên cạnh module xóa dữ liệu, các nhà nghiên của của Kaspersky Lab cũng tìm thấy backdoor StoneDrill, vốn được bởi cùng các nhà lập trình và được sử dụng cho mục đích gián điệp. Các chuyên gia đã phát hiện bốn bảng chỉ huy và điều khiển đã được các kẻ tấn công sử dụng để chạy các hoạt động gián điệp với sự giúp đỡ của backdoor StoneDrill chống lại một số mục tiêu không rõ.

Có lẽ điểm thú vị nhất về StoneDrill chính là việc nó kết nối với các mã độc xóa dữ liệu khác và những hoạt động gián điệp trước đó. Khi các nhà nghiên cứu của Kaspersky Lab phát hiện StoneDrill với sự trợ giúp của các quy tắc Yaram được tạo ra để xác định các mẫu chưa biết của Shamoon, họ nhận ra mình đang tìm kiếm một mã độc độc hại mà dường như đã được tạo ra từ Shamoon một cách riêng biệt. Mặc dù hai mã độc cùng nguồn gốc, Shamoon và StoneDrill không chia sẻ chính xác cùng một nền tảng mã, tuy nhiên tư duy của tác giả và cách lập trình khá giống nhau. Đó là lí do tại sao có thể xác định StoneDrill từ những quy tắc Yara do Shamoon phát triển.

Dù quan sát thấy có sự tương đồng mã code với mã độc đã biết trước đó, nhưng lần này lại không có sự tương đồng giữa Shamoon và StoneDrill. Trên thực tế, StoneDrill sử dụng một số phần của mã trước đây được phát hiện trong chiến dịch gián điệp NewsBeef, còn được biết đến với tên gọi Charming Kitten – một chiến dịch độc hại khác đã hoạt động trong vài năm gần đây.

Để bảo vệ các tổ chức khỏi những cuộc tấn công này, các chuyên gia bảo mật của Kaspersky Lab có lời khuyên như sau:
• Tiến hành đánh giá an ninh của mạng lưới điều khiển (nghĩa là kiểm toán an ninh, thử nghiệm xâm nhập, phân tích lỗ hổng) để xác định và loại bỏ bất kỳ lỗ hổng bảo mật nào. Xem lại các chính sách bảo mật của nhà cung cấp và các bên thứ ba trong trường hợp họ có quyền truy cập trực tiếp vào mạng điều hành.
• Tìm kiếm sự hiểu biết bên ngoài: sự hiểu biết từ các nhà cung cấp danh tiếng giúp các tổ chức tiên đoán được các cuộc tấn công vào cơ sở hạ tầng của công ty trong tương lai. Các nhóm phản hồi khẩn cấp, chẳng hạn như ICS CERT của Kaspersky Lab cung cấp một số thông tin giữa các ngành miễn phí.
• Đào tạo nhân viên, đặc biệt quan tâm nến đội ngũ hoạt động và kỹ thuật và nhận thức của họ về những mối đe dọa và cuộc tấn công gần đây.

• Cung cấp bảo vệ trong phạm vi trong và ngoài. Một chiến lược an ninh thích hợp phải cung cấp đủ các nguồn lực đáng để để phát hiện các cuộc tấn công và phản ứng để ngăn chặn tấn công trước khi nó xâm nhập các đối tượng quan trọng.
• Đánh giá các phương pháp bảo vệ cấp cao: bao gồm việc kiểm tra tính toàn diện cho các bộ điều khiển và giám sát mạng chuyên dụng để tăng cường an ninh cho công ty và giảm thiểu cơ hội phá hoại thành công, ngay cả khi một số điểm nút bị tổn thương cũng không thể vá hay loại bỏ.