Cũng như loại

Ngoài những "mục tiêu" ở khu vực Trung Đông, các chuyên gia tại Kaspersky khẳng định rằng StoneDrill cũng nhắm vào một mục tiêu khác ở khu vực châu Âu, nơi mà các mã độc xóa dữ liệu từng được sử dụng ở Đông Âu chưa bị phát hiện.

Năm 2012, Shamoon (còn được biết đến với tên gọi Disttrack) đã vô cùng nổi tiếng vì từng tấn công hơn 35.000 máy tính của công ty dầu khí ở Trung Đông.

Cuộc tấn công này đã khiến 10% nguồn cung cấp dầu mỏ của thế giới có nguy cơ bị nguy hiểm. Tuy nhiên, sự cố này chỉ mới là khởi đầu, sau đó mọi chuyện càng trở nên nghiêm trọng hơn. Vào cuối năm 2016, mã độc này xuất hiện trở lại dưới tên gọi là Shamoon 2.0, một chiến dịch mã độc sâu rộng hơn sử dụng phiên bản cập nhật của mã độc năm 2012.

Trong khi nghiên cứu những cuộc tấn công này, các nhà nghiên cứu tại Kaspersky vô tình phát hiện ra một loại mã độc được tạo ra dưới một hình thức gần giống với Shamoon 2.0.

Tuy nhiên, nó lại rất khác biệt và còn tinh vi hơn cả Shamoon. Họ đặt tên cho mã độc này là StoneDrill.

StoneDrill – xóa dữ liệu bằng kết nối

Chưa biết StoneDrill phát tán như thế nào, nhưng khi máy bị tấn công, nó tự đưa mình vào quá trình nhớ của trình duyệt ưa thích của người dùng.

Trong quá trình này, nó sử dụng hai kỹ thuật chống làm giả tinh vi nhằm đánh lừa các giải pháp bảo mật được cài đặt trong máy của nạn nhân. Lúc này mã độc bắt đầu phá hủy các tập tin trên máy tính.

Cho đến thời điểm này, ít nhất hai đối tượng của mã độc xóa dữ liệu StoneDrill đã được xác định, một ở Trung Đông và một ở châu Âu.

Bên cạnh module xóa dữ liệu, các nhà nghiên của của Kaspersky cũng tìm thấy "cửa hậu" (backdoor) StoneDrill, vốn được phát triển bởi cùng các nhà lập trình và được sử dụng cho mục đích gián điệp. Các chuyên gia đã phát hiện bốn bảng chỉ huy và điều khiển đã được các kẻ tấn công sử dụng để chạy các hoạt động gián điệp với sự giúp đỡ của backdoor StoneDrill nhằm tấn công lại một số mục tiêu khác.

Có lẽ điểm thú vị nhất về StoneDrill chính là việc nó kết nối với các mã độc xóa dữ liệu khác và những hoạt động gián điệp trước đó. Khi các nhà nghiên cứu của Kaspersky phát hiện StoneDrill với sự trợ giúp của các quy tắc Yaram được tạo ra để xác định các mẫu chưa biết của Shamoon, họ nhận ra mình đang tìm kiếm một mã độc độc hại mà dường như đã được tạo ra từ Shamoon một cách riêng biệt.

Mặc dù hai mã độc cùng nguồn gốc, Shamoon và StoneDrill không chia sẻ chính xác cùng một nền tảng mã, tuy nhiên tư duy của tác giả và cách lập trình khá giống nhau. Và đó là lý do tại sao có thể xác định StoneDrill từ những quy tắc Yara do siêu mã độc Shamoon phát triển.

Dù quan sát thấy có sự tương đồng mã code với mã độc đã biết trước đó, nhưng lần này lại không có sự tương đồng giữa Shamoon và StoneDrill.

Trên thực tế, StoneDrill sử dụng một số phần của mã trước đây được phát hiện trong chiến dịch gián điệp NewsBeef, còn được biết đến với tên gọi Charming Kitten – một chiến dịch độc hại khác đã hoạt động trong vài năm gần đây.