بررسی و تحلیل بدافزار StoneDrill

StoneDrill یکی از جدیدترین نمونه‌ها از بدافزارهای موسوم به Wiper اسـت. این نوع بدافزارها محتوای دیسک سخت دسـتگاه آلوده شده را به روش‌های مختلف مـعـدوم می‌کنند. به‌نظر می‌رسد هدف اصلی این بدافزار سازمان‌های عربستان سعودی باشد. گـر چـه دست کم یک شرکت فعال در حوزه نفت در اروپای شرقی نیز از قربانیان این بدافزار اعلام شده است.

StoneDrill علاوه بر رونویسی داده‌های ذخیره شده بر روی دیسک سخت، مجهز به یک بخش درب‌پشتی است که مهاجمان را قادر به اجـرای عملیات جاسوسی از طریق قابلیـت‌هایی همچون جمع‌آوری داده‌های کاربر از روی سیستم و ارسال آنها به سرور فرماندهی می‌کند.

شباهت‌هایی در ساختار و تکنیک‌های مورد استفاده StoneDrill و Shamoon Wiper – دیگر بدافزار Wiper که در ماه‌های اخیر پس از چهار سال غیبت سازمان‌هایی را در خاورمیانه به‌خصوص عربستان سعودی هدف قرار داده است – مشاهده می‌شود. با این حال برخی تفاوت‌های اساسی نظیر بکارگیری تکنیک‌های پیشرفته‌تر ضدشبیه‌ساز در StoneDrill تردیدهایی را در مورد این فرضیه که هر دو بدافزار توسط یک گروه نوشته شده باشند ایجاد می‌کند.

در جریان بررسی StoneDrill نشانه‌هایی مبنی بر فارسی‌زبان بودن حداقل یکی از نویسندگان این بدافزار یافت شده است. علاوه بر آن، وجود شباهت‌هایی در این بدافزار با بدافزار بکار رفته در عملیات Newscaster که برخی منابع ایران را گرداننده اصلی آن دانسته‌اند سبب گردیده که بسیاری از رسانه‌ها، StoneDrill را محصول ایران معرفی کنند. با این حال ایجاد شواهد جعلی گمراه‌کننده با هدف انحراف نتیجه‌گیری تحلیل‌گر بدافزار دور از ذهن نیست.

شرکت مهندسی شبکه گستر در گزارشی به بررسی و تحلیل بدافزار StoneDrill پرداخته است. این گزارش در اینجا قابل دسترس است.