Открит е таймер в Shamoon, сочещ връзка с атаката над Aramco

0
30

Изследователи са открили таймер в зловредния софтуер предназначен за кибер-саботаж Shamoon, данни за който се появиха миналата седмица. Той е показвал точното време и дата на атаката, при която хактивистка група съобщи, че е деактивирала хиляди компютри, свързани в мрежата на Saudi Aramco, националната петролна компания на Саудитска Арабия.

„Ние проникнахме в системите на Aramco, като използвахме хакнати системи от няколко държави, а след това пратихме вирус да унищожи 30 000 компютъра от мрежата на компанията“, твърди съобщение, изпратено от група, наричаща се „Поразяващият меч на справедливостта“ (Cutting Sword of Justice), публикувано в Pastebin на 15-ти август. „Разрушителните операции стартираха на 15.08.2012 г. в 11:08 (местно време в Саудитска Арабия) и ще приключат до няколко часа“.

Същият ден, от Saudi Aramco потвърдиха, че някои сектори от компютърната мрежа на компанията са засегнати от компютърен вирус, който е заразил работни станции, използвани от техни служители. От петролната компания допълниха, че операциите по добив и преработка на нефт не са били засегнати вследствие на атаката.

Скоро след новините за атаката няколко антивирусни компании сред които Symantec, McAfee и Kaspersky Lab обявиха появата на нов разрушителен зловреден софтуер, наречен Shamoon или Disttrack.

Освен таймерът и съобщението на хактивистката групировка в Pastebin, може да се намерят и други неща, които да свържат „Cutting Sword of Justice“ с атаката към Saudi Aramco, като например съобщението от страна на Symantec, че зловредният софтуер е бил използван в целенасочена атака към организация от енергийния сектор, чието име не се споменава, а също това, че в кода на софтуера е открит стринг съдържащ стойност „ArabianGulf“. Но разбира се най-голямото доказателство открито досега е таймерът, който активира зловредния файл и изтриването на главния стартиращ запис (master boot record, MBR).

Други неща в цялата история обаче не пасват. Така например един IP-адрес от вътрешна мрежа – открит при анализа на Shamoon от антивирусните експерти – не присъства в списъка на адресите от вътрешната мрежа на Aramco, който бе публикуван в съобщение в Pastebin на 17-ти този месец.

„Това може да означава, че тези проби са били част от атака към друга организация или че този адрес наистина принадлежи към Aramco, но хакерите са решили да не го споделят в съобщението си“, заявява Авив Раф, главен технологичен мениджър към компанията за информационна сигурност Seculert в електронно писмо, изпратено към InfoWorld.

Вчера в Pastebin се появи съобщение, в което „Cutting Sword of Justice“ предупредиха, че ще атакуват Saudi Aramco отново. Това ще се случи утре, в 21:00 (гринуичко време).

В своето първо съобщение, хактивистката група обяви, че цел на атаката им е била именно Aramco, тъй като компанията е главният финансов източник на режима на Ал Сауд, който според „Cutting Sword of Justice“ подкрепя действията на репресивни режими в страни, като Сирия, Бахрейн, Либия, Йемен и Египет.

Един от водещите специалисти по кибер сигурност Джефри Кар сподели в блога си, че според него зад атаката над Aramco стоят иранските власти, които искат да попречат на Саудитска Арабия да увеличи добива си на петрол след спада в петролните доставки от Иран вследствие на наложеното им ембарго.

От Kaspersky Lab обаче не са убедени кой стои зад атаките над Aramco. Александр Гостев споделя: „По време на анализа над Shamoon, ние забелязахме грешка при метода за сравнение на данните. От опита си можем да заявим, че подобни грешки при програмирането не са често срещани при сложни кибер оръжия. Понастоящем ние не разполагаме с достатъчно убедителни доказателства, които да ни помогнат в разкриването на организаторите на тези атаки“.

0 0 гласа
Оценете статията
Абонирай се
Извести ме за
guest
0 Коментара
Отзиви
Всички коментари