StoneDrill, le destructeur qui s’inspire de Shamoon et arrive en Europe

A l’été 2012, Shamoon, bien connu pour ses capacités destructrices, faisait des ravages sur les postes de travail au Moyen-Orient. Il y est revenu à l’automne dernier, en deux temps, mais pas seul. Les chercheurs de Kaspersky ont identifié un autre logiciel effaceur de données et de disques : StoneDrill. Alors que ses développeurs utilisent le perse, ce logiciel semble avoir été utilisé à la même période que Shamoon 2.0 contre des organisations saoudiennes. Mais il ne semble pas être l’oeuvre du même groupe.

Pour Kaspersky, l’hypothèse la plus probable est que les deux logiciels malveillants soient utilisés par des groupes distincts aux intérêts comparables. Et toujours dans le monde de l’industrie pétro-chimique. StoneDrill a bien été observé en Europe, mais il semble avoir été utilisé pour viser « un grand groupe » aux activités étendues dans ce secteur, sans toutefois de lien « apparent » avec l’Arabie Saoudite. 

Les experts de Kaspersky relèvent de nombreuses similarités entre Shamoon, StoneDrill et également NewsBeef. Et cela commence par l’utilisation intensive de techniques d’évasion « qui préviennent l’analyse automatisée par les émulateurs et les bacs à sable ». Mais celles employées par StoneDrill apparaissent « bien plus avancées ». Et contrairement à Shamoon, StoneDrill n’écrit pas son module d’effacement de disque sur le disque de sa victime : il l’injecte directement dans la mémoire allouée au processus du navigateur Web préféré de sa cible. Il ne peut dès lors que s’attaquer aux fichiers du disque, et non pas directement à ce dernier.