ロシアKaspersky Labは2017年3月6日(現地時間)、データを破壊するマルウエア(悪意のあるソフトウエア)の「StoneDrill」を発見したと発表した。感染したコンピューター内のあらゆるデータを破壊するだけでなく、高度な検知回避技術やスパイツール機能も備えるという。
データを破壊する「ワイパー型マルウエア」は、2012年に「Shamoon」(別名「Disttrack」)が、サウジアラビアの大手石油会社Saudi Aramcoのコンピューター約3万5000台をダウンさせた攻撃により、世界の石油供給の10%を危機にさらしたことで話題になった。その後、2016年後半に機能を追加した「Shamoon 2.0」が登場し、悪意ある破壊活動を広範囲にわたって展開した。
Kaspersky Labは今回、Shamoon 2.0の調査時に、さらに高度な機能を備えた新型マルウエアを発見し、StoneDrillと名付けた。StoneDrillの拡散方法はまだ判明していないが、標的のコンピューターに侵入すると、ユーザーがよく使うWebブラウザーのメモリープロセスに自分自身をインジェクトする。このプロセスで、二つの高度なエミュレーターへの対抗技術を使用してセキュリティ製品を欺く。その後コンピューターのディスクを破壊する。
これまでに、少なくとも中東と欧州の2組織が標的となったことを確認したほか、StoneDrillのバックドアおよび四つのC&C(指令)サーバー上のコントロールパネルも発見した。攻撃者は、コントロールパネルからバックドアを経由して、標的に対してスパイ活動を実行していたが、標的の正確な数はまだ判明していない。
ShamoonとStoneDrillは、コードベースこそ同一ではないが、作成者の考え方とプログラミングのスタイルには類似点が見られたという。また、さらに古い「NewsBeef APT」で発見されたマルウエアのコードの一部を使用していることも確認した。このほかにも、Shamoonの中にアラビア語(イエメン)を発見したのに対し、StoneDrillにはペルシャ語を発見したという。
