ЛК нашла опасную программу, безвозвратно стирающую данные

Александр Панасенко 07 Марта 2017 - 12:04

...

ЛК нашла опасную программу, безвозвратно стирающую данные

Компании на Ближнем Востоке и в Европе были атакованы новым сложным зловредом, уничтожающим все данные на зараженном компьютере. «Лаборатория Касперского» обнаружила программу-стиратель StoneDrill, которая не только безвозвратно удаляет данные с устройства, но также шпионит за жертвами и старательно избегает попадания на радары защитного ПО.

Своим поведением StoneDrill очень напоминает нашумевшую пять лет назад аналогичную программу Shamoon (также известную как Disttrack) – в 2012 году этот зловред парализовал работу 35 тысяч компьютеров в нефтегазовой компании на Ближнем Востоке и поставил таким образом под удар существенную долю мировой нефтепромышленности. После этого громкого случая группировка, стоявшая за Shamoon, ушла в тень. Однако в конце 2016 года она, похоже, вернулась, и, расследуя это возвращение, эксперты «Лаборатории Касперского» нашли нового игрока с новым сложным зловредом и более масштабными целями.

Обнаружить StoneDrill удалось с помощью правил детектирования целевых атак (Yara-правил), разработанных экспертами «Лаборатории Касперского» для идентификации неизвестных образцов Shamoon. И хотя StoneDrill создан «в стиле» Shamoon, между двумя программами существует большая разница.

Исследователям до сих пор неизвестно, как распространяется новый зловред, но для того чтобы остаться незаметным на зараженном устройстве, он использует две сложных антиэмуляционных техники, которые не позволяют детектировать его по поведению. Как только программа StoneDrill попадает в компьютер, она встраивается в процесс памяти того браузера, который используется на устройстве чаще всего. Сразу же после установки зловред начинает уничтожать файлы на жестком диске.

Кроме модуля, стирающего информацию, StoneDrill также содержит бэкдор для шпионажа за жертвами – эксперты «Лаборатории Касперского» обнаружили четыре сервера управления, с помощью которых злоумышленники вели слежку на зараженных устройствах.

«Мы крайне заинтригованы теми сходствами, которые мы обнаружили между различными вредоносными операциями. Проанализировав код двух программ, мы видим, что в Shamoon присутствует йеменский вариант арабского языка, а в StoneDrill превалирует персидский язык. Геополитики могли бы предположить, что за операциями стоят иранские и йеменские игроки, заинтересованные в причинении ущерба компаниям в Саудовской Аравии, где и было обнаружено большинство жертв атак StoneDrill и Shamoon. Но, разумеется, не стоит исключать возможность того, что все языковые метки в коде намеренно оставлены злоумышленниками, чтобы пустить исследователей по ложному следу. Кроме того, обнаружение StoneDrill в Европе говорит о том, что группировка имеет интересы и за пределами ближневосточного региона. И хотя атакованная европейская компания работает в нефтехимической сфере, она не имеет никаких связей с нефтяным бизнесом на Ближнем Востоке», – рассказывает Юрий Наместников, руководитель российского исследовательского центра «Лаборатории Касперского».

Следующая главная новость »

Безопасная разработка 2026: как убрать уязвимости ещё до релиза?
Регистрируйтесь на эфир!

Екатерина Быстрова 23 Июня 2026 - 09:04

Соответствие законодательству РФ Корпорации Государство Соответствие требованиям регуляторов

Поставщиков радиостанций для МВД отправили в СИЗО из-за иностранных деталей

В России разгорается очередной скандал вокруг импортозамещения. Руководителей двух связанных петербургских компаний — «Профи-связь» и «Астроком» — арестовали по делу о мошенничестве при поставках радиостанций для МВД. Следствие считает, что компании поставили силовикам радиостанции «Радон», которые по документам должны были быть собраны из российских комплектующих, но фактически содержали иностранные детали.

По данным «Коммерсанта», гендиректора «Профи-связи» Виталия Козлова и руководителя «Астрокома» Алексея Баранова задержали в Санкт-Петербурге, а затем доставили в Москву.

В центре расследования оказался контракт 2020 года на поставку радиостанций «Радон П45» для нужд МВД. Сумма сделки была относительно небольшой — около 950 тыс. рублей. Однако проведенная экспертиза МВД показала, что изделия не соответствовали требованиям технического задания в части происхождения компонентов.

Следствие квалифицировало ситуацию как мошенничество, совершённое организованной группой.

Сами фигуранты обвинения отвергают. По их версии, контракт был исполнен полностью, а претензий к качеству оборудования со стороны заказчика никогда не возникало. Защита также настаивала, что спор носит хозяйственный характер и должен рассматриваться в арбитраже, а не в рамках уголовного дела. Однако суд отправил обоих обвиняемых в СИЗО.

На этом история может не закончиться. По данным издания, следователи проверяют возможную связь фигурантов с другими государственными контрактами.

Особое внимание вызывает компания «Астроком», которая поставляла средства связи для Росгвардии. В 2021 году организация получила контракт почти на 165 млн рублей на поставку более 2800 радиостанций «Радон». Однако впоследствии соглашение было расторгнуто из-за невозможности исполнения, а заказчику пришлось добиваться возврата части аванса через суд.

Ранее обе компании уже попадали в поле зрения антимонопольщиков. В 2022 году УФАС по Санкт-Петербургу установило, что «Профи-связь», «Астроком» и ряд связанных структур использовали один и тот же IP-адрес для участия в торгах по гособоронзаказу. Кроме того, между фирмами были обнаружены связи через владельцев и руководство.

Безопасная разработка 2026: как убрать уязвимости ещё до релиза?
Регистрируйтесь на эфир!