Вредоносное ПО Shamoon и Kwampirs – дело рук одних и тех же хакеров

[Artifact]

Эксперты обнаружили связь между Shamoon и Kwampirs благодаря ранее незамеченным компонентам.

Специалисты компании Cylera Labs обнаружили общие черты в исходном коде и техниках, используемых операторами вредоносного ПО Shamoon и Kwampirs, свидетельствующие о том, что они принадлежат к одной и той же группировке или очень тесно сотрудничают.
«Обнаруженные в ходе исследования факты свидетельствуют об обоюдной эволюции вредоносных семейств Shamoon и Kwampirs в известный промежуток времени. Поскольку Kwampirs базируется на оригинальном Shamoon, а код Shamoon 2 и 3 базируется на Kwampirs, […] значит, авторы Kwampirs потенциально могут быть авторами Shamoon или иметь с ними тесные связи, как мы это видели в течение известного промежутка времени», - сообщил специалист Cylera Labs Пабло Ринкон Креспо (Pablo Rincón Crespo).
Shamoon, также известный как DistTrack, представляет собой вредоносное ПО для похищения информации. Вредонос также оснащен деструктивным компонентом, позволяющим перезаписывать главную загрузочную запись произвольными данными, из-за чего зараженная машина перестает работать.
Shamoon является разработкой хакерской группировки Magic Hound (она же Timberworm и COBALT GIPSY), о которой впервые стало известно в 2012 году. С тех пор вышло как минимум две версии вредоноса – Shamoon 2 (2016 год) и Shamoon 3 (2018 год). В прошлом году правительство США признало Shamoon делом рук иранских хакеров, атакующих АСУ ТП.
С другой стороны, атаки с использованием бэкдора Kwampirs связывались с группировкой Orangeworm, обнаруженной в 2015 году и атакующей организации здравоохранения в США, Европе и Азии.
Cylera Labs обнаружила связь между Shamoon и Kwampirs благодаря артефактам вредоносного ПО и ранее незамеченным компонентам, один из которых является промежуточной версией. Речь идет о дроппере Shamoon, но без функции вайпера. При этом использовался тот же код загрузчика, что и у Kwampirs.
Более того, было обнаружено сходство на уровне кода между Kwampirs и последующими версиями Shamoon. Это включает в себя функции для получения системных метаданных, извлечения MAC-адреса и информации о раскладке клавиатуры жертвы, а также использование того же Windows API InternetOpenW для обработки HTTP-запросов к C&C-серверу.
В итоге исследователи пришли к выводу, что Kwampirs, вероятно, основан на Shamoon 1, а Shamoon 2 унаследовал часть своего кода от Kwampirs. То есть, операторами обоих вредоносных программ являются разные подгруппы одной более крупной группировки, а то и вовсе одна и та же группировка.