Palo Alto Networks и Symantec алармират за проведени успешни атаки към компании в Саудитска Арабия с помощта на високопрофилна заплаха, която презаписва съдържанието на диска и дяловете и прави машината неизползваема. Наречена Shamoon или Disttrack, зловредната програма беше използвана в атака към местни компании от петролния и енергийния сектори преди четири години. Завърнала се този месец, програмата е използвана за успешна атака към неназован брой компании в Саудитска Арабия. Нейните функционалности и метод за разпространение в общи линии са запазени, като единствено представянето на изображение на горящ американски флаг, днес е заменено с изображение на малкия Алан Курди, тригодишният мигрант, който беше намерен удавен на средиземноморския бряг по-рано тази година.

Помощ за успеха на настоящите атаки се оказва използването в конфигурационните файлове на заплахата акредитиви, които не е ясно как са били получени – от вътрешен за засегнатите компании човек или чрез фишинг кампания. Именно те, заедно със знанието за точните имена на домейн групите в организациите са спомогнали атаката да се разпростре и в локалната мрежа на компаниите. Освен това атаката стартира в последния ден на работната седмица в Саудитска Арабия и съвпада с Лайлат Ал-Кадр, свещен ден в мюсюлманския свят, което е способствало атаката да мине незабелязано. Самата заплаха Shamoon представлява модулна зловредна програма, съставена от няколко компонента. След попадането си на системата, тя определя архитектурата на машината и стартира съобразен с това код. Използвайки откраднатите предварително акредитиви, зловредната програма използва друг свой компонент, за да се разпространи и към други машини в мрежата. Тя се вписва със споменатите данни, осигурявайки си административни привилегии, а направени промени в регистрите и стартирането на свой собствен процес осигурява устойчивостта на заплахата, описват метода на действието на Disttrack специалистите. Зловредната програма успешно деактивира UAC защитите на системата и поставя своя собствен изпълним файл (ntssrvr32.exe) в системните директории, след което го стартира. Последният етап включва осъществяването на връзка с контролираща го машина и изпълнението на основната му мисия по зададени от сървъра инструкции. Последният етап включва и същинската мисия на зловреда – презаписване на информацията на диска, стартиращия сектор и дяловете и рестартиране на системата.

В атаката отпреди четири години, жертва на атаките, за чието провеждане пое отговорност хактивистка организация, именуваща се Cutting Sword of Justice, станаха и 30 000 работни станции на най-голямата петролна компания в света Saudi Aramco. В общественото пространство бяха лансирани предположения, че зад групировката стои Иран, а самата атака е била отговор на проведените действия на САЩ и Израел с помощта на Stuxnet, които парализираха иранскатта ядрена програма преди осем години.

0 0 гласа
Оценете статията
Абонирай се
Извести ме за
guest
0 Коментара
Отзиви
Всички коментари