Skip to content
Cyber Breaches
Recherche
WiperRésolu

Attaques du wiper StoneDrill contre des organisations saoudiennes

Kaspersky a découvert StoneDrill, un nouveau wiper sophistiqué qui a détruit des données chez des cibles pétrochimiques et industrielles saoudiennes parallèlement à la campagne Shamoon 2, et qui s'était propagé jusqu'à une victime en Europe.

Victime
Organisations pétrochimiques et industrielles saoudiennes
SecteurIndustrieÉnergie
PaysArabie saoudite
GroupeNewsBeef / Charming Kitten (Iran, recoupement de code)

Alors qu'elle enquêtait sur la campagne du wiper Shamoon 2 contre l'Arabie saoudite au début de 2017, l'équipe GReAT de Kaspersky Lab est tombée sur un second logiciel malveillant destructeur, jusqu'alors inconnu, sur un réseau saoudien. Ils l'ont baptisé StoneDrill — un wiper plus sophistiqué qui attaquait des organisations pétrochimiques et industrielles durant la même période, et qui avait déjà atteint au moins une victime en Europe.

Ce qui s'est passé

StoneDrill et Shamoon 2 ont été utilisés contre des cibles saoudiennes durant la même période d'octobre-novembre 2016 et jusqu'en 2017, mais ils étaient techniquement distincts. Là où Shamoon s'appuyait sur un pilote tiers signé pour obtenir un accès brut au disque, StoneDrill s'exécutait entièrement en mémoire, injectant son module d'effacement dans le processus du navigateur préféré de la victime pour échapper à la détection. Il embarquait également d'élaborées techniques anti-émulation et anti-sandbox, ce qui en faisait un outil nettement plus avancé.

La recherche « From Shamoon to StoneDrill » de Kaspersky, publiée le 7 mars 2017, a conclu que les deux wipers étaient alignés dans leurs intérêts mais exploités par des acteurs distincts. Fait intrigant, d'anciens échantillons de StoneDrill datant de 2014 partageaient un code de base avec le groupe NewsBeef — également suivi sous le nom de Charming Kitten — un acteur d'espionnage lié à l'Iran, suggérant un héritage commun.

Impact

  • Plusieurs organisations pétrochimiques et industrielles saoudiennes ont vu leurs systèmes effacés, avec des données détruites et des machines rendues incapables de démarrer, reproduisant le modèle de destruction de Shamoon.
  • La découverte d'une victime de StoneDrill en Europe a signalé que les opérateurs de la campagne étendaient leurs opérations d'effacement au-delà du Golfe, une escalade significative de portée géographique.
  • En tant qu'opération purement destructrice, StoneDrill a engendré des coûts de récupération et des temps d'arrêt plutôt qu'un vol de données ou une rançon.

Attribution

Aucun gouvernement n'a émis d'inculpation formelle, mais les recoupements de code avec Charming Kitten et la concomitance avec Shamoon 2 ont orienté les chercheurs vers des acteurs alignés sur l'Iran. La relation entre les opérateurs de Shamoon et de StoneDrill est restée ambiguë — des équipes distinctes poursuivant un programme partagé de perturbation contre les intérêts saoudiens et du Golfe.

Pourquoi c'est important

StoneDrill a prouvé que la vague d'attaques destructrices qui s'est abattue sur l'Arabie saoudite en 2016-2017 n'était pas un outil unique mais un écosystème de wipers, certains bien plus furtifs que Shamoon. Son exécution uniquement en mémoire et sa sophistication anti-analyse ont relevé la barre de la détection sur les terminaux dans la région, et sa victime européenne a constitué un avertissement précoce que les campagnes de wipers ciblant le Golfe pouvaient se propager mondialement — un schéma repris plus tard par NotPetya et l'attaque Shamoon 3 contre Saipem en 2018.

Chronologie

  1. Des échantillons de StoneDrill et de Shamoon 2 commencent à apparaître contre des organisations saoudiennes durant la même fenêtre d'octobre-novembre.

  2. La première vague de Shamoon 2 se déclenche ; en enquêtant, Kaspersky découvre un wiper distinct et plus avancé sur un réseau saoudien.

  3. Une nouvelle vague de Shamoon 2 frappe des cibles pétrochimiques saoudiennes, approfondissant la campagne destructrice contre les entreprises industrielles.

  4. Kaspersky révèle publiquement StoneDrill, détaillant l'exécution en mémoire, les techniques anti-émulation et une victime trouvée en Europe.

  5. Les chercheurs relient d'anciens échantillons de StoneDrill à un code de base partagé avec le groupe NewsBeef / Charming Kitten, pointant vers un alignement iranien.

Sources

  1. securelist.comhttps://securelist.com/from-shamoon-to-stonedrill/77725/
  2. usa.kaspersky.comhttps://usa.kaspersky.com/about/press-releases/from-shamoon-to-stonedrill-advanced-new-destructive-malware-discovered-in-the-wild-by-kaspersky-lab
  3. securityweek.comhttps://www.securityweek.com/shamoon-2-variant-targets-virtualization-products/
  4. kaspersky.comhttps://www.kaspersky.com/blog/shamoon-stonedrill/15170/

Incidents liés

WiperContenu

Wiper Shamoon contre Saudi Aramco

Le wiper Shamoon, attribué à l'Iran, a détruit les données d'environ 30 000 postes de travail de Saudi Aramco en une seule journée, mettant hors ligne pendant deux semaines le parc informatique de la plus grande compagnie pétrolière au monde. La première grande opération cyber iranienne de représailles.

Victim
Saudi Aramco
Loss
$200.0M
WiperRésolu

Stuxnet (Operation Olympic Games)

Les services de renseignement américains et israéliens ont conjointement développé et déployé Stuxnet — la première cyberarme largement connue à avoir causé des dommages physiques. Le ver visait l'installation d'enrichissement d'uranium iranienne de Natanz et a détruit environ 1 000 centrifugeuses IR-1 entre 2009 et 2010.

Victim
Installation d'enrichissement d'uranium de Natanz (Iran)
Loss
$100.0M
WiperRésolu

Wiper destructeur NotPetya

Un wiper destructeur déguisé en rançongiciel, propagé via une mise à jour compromise d'un logiciel comptable ukrainien. Estimé à 10 milliards de dollars de dommages dans le monde — la cyberattaque la plus dévastatrice économiquement de l'histoire.

Victim
Utilisateurs de M.E.Doc (Maersk, Merck, FedEx-TNT, Mondelez, Saint-Gobain et autres)
Loss
$10.00B