Shamoon

редактировать
Модульный компьютерный вирус Хронология атаки Shamoon 1 на Saudi Aramco

Shamoon, (Персидский : شمعون), также известный как W32.DistTrack, представляет собой модульный компьютерный вирус, который был обнаружен в 2012 году и нацелен на последние 32-разрядные версии ядра NT Microsoft. Windows. Вирус отличался разрушительным характером атаки и высокой стоимостью восстановления. Shamoon может распространяться с зараженной машины на другие компьютеры в сети. После заражения системы вирус продолжает составлять список файлов из определенных мест в системе, загружать их злоумышленнику и стирать. Наконец, вирус перезаписывает главную загрузочную запись зараженного компьютера, делая его непригодным для использования.

Вирус использовался для кибервойны против национальных нефтяных компаний, включая Saudi Aramco и катарская RasGas. Группа под названием «Режущий меч правосудия» взяла на себя ответственность за нападение на 35 000 рабочих станций Saudi Aramco, в результате чего компания потратила более недели на восстановление своих услуг. Позже группа указала, что в атаке использовался вирус Shamoon. Компьютерные системы в RasGas также были отключены неопознанным компьютерным вирусом, причем некоторые эксперты по безопасности приписывают ущерб Shamoon. Позже его назвали «крупнейшим взломом в истории».

Symantec, «Лаборатория Касперского » и Seculert объявили об обнаружении вредоносного ПО 16 августа 2012 года. «Лаборатория Касперского» и Seculert обнаружили сходство между Shamoon и вредоносной программой Flame. Shamoon неожиданно вернулся в ноябре 2016, январе 2017 и декабре 2018.

Содержание

  • 1 Дизайн
  • 2 Перед атакой
  • 3 Во время атаки
  • 4 См. Также
  • 5 Примечания
  • 6 Источники

Дизайн

Shamoon был разработан для стирания и перезаписи данных жесткого диска с помощью поврежденного образа и передачи адресов зараженных компьютеров обратно на компьютер в сети компании. Вредоносное ПО имело логическую бомбу, которая запускала главную загрузочную запись и стирала данные полезной нагрузки в 11:08 по местному времени в среду, 15 августа. Атака произошла в течение месяца Рамадан. в 2012 году. Похоже, что атака была приурочена к тому времени, когда большая часть сотрудников уехала в отпуск, что снижает вероятность обнаружения до того, как может быть нанесен максимальный ущерб, что затрудняет восстановление.

Вирус состоял из трех компонентов: Dropper, Wiper и Reporter. Дроппер, источник заражения, создает службу с именем «NtsSrv», которая позволяет ей оставаться на зараженном компьютере постоянно. Дроппер был построен в 32-битной и 64-битной версиях. Если 32-битный дроппер обнаруживает 64-битную архитектуру, он отбрасывает 64-битную версию. Этот компонент загружает Wiper и Reporter на зараженный компьютер и запускается сам. Он распространяется по локальной сети, копируя себя в общие сетевые ресурсы и на другие компьютеры.

Компонент Wiper использует созданный Eldos драйвер, известный как RawDisk, для непосредственного взаимодействия с пользователем. режим доступ к жесткому диску без использования Windows API. Он определяет расположение всех файлов на зараженных компьютерах и стирает их. Он отправляет злоумышленнику информацию об уничтоженных файлах, а затем перезаписывает стертые файлы поврежденными данными, чтобы их невозможно было восстановить. Компонент использовал части изображения. В атаке 2012 года использовалось изображение горящего флага США; в атаке 2016 года использовалась фотография тела Алана Курди.

До атаки

Вредоносная программа была уникальной, использовалась для нацеливания на правительство Саудовской Аравии, нанеся разрушение государственной национальной нефтяной компании. Saudi Aramco. Злоумышленники разместили на PasteBin.com пирожок за несколько часов до взрыва логической бомбы, ссылаясь на притеснение и режим Аль-Сауда в качестве причины атаки. По словам Криса Кубека, советника по безопасности Saudi Aramco после атаки и руководителя группы безопасности Aramco Overseas, атака была хорошо организована. Он был инициирован фишинговой атакой по электронной почте, которую открыл неназванный сотрудник Saudi Aramco Information Technology, в результате чего группа проникла в сеть компании примерно в середине 2012 года.

Мы, от имени хакерской группы по борьбе с угнетением, которая устала от преступления и зверства, происходящие в различных странах мира, особенно в соседних странах, таких как Сирия, Бахрейн, Йемен, Ливан, Египет и..., а также двойное отношение мирового сообщества к этим странам, хотят нанести удар по Основные сторонники этих бедствий этой акцией. Одним из главных сторонников этих бедствий является коррумпированный режим Аль-Сауда, который спонсирует такие репрессивные меры, используя нефтяные ресурсы мусульман. Аль-Сауд является соучастником этих преступлений. Его руки заражены кровью невинных детей и людей. На первом этапе иск был предпринят против компании Aramco, как крупнейшего финансового источника режима Аль-Сауда. На этом этапе мы проникли в систему компании Aramco, используя взломанные системы в нескольких странах, а затем отправили вредоносный вирус, чтобы уничтожить тридцать тысяч компьютеров, подключенных к сети в этой компании. Операции по уничтожению начались в среду, 15 августа 2012 г., в 11:08 (по местному времени в Саудовской Аравии) и будут завершены в течение нескольких часов.

Пасти объявляет о нападении на Saudi Aramco группы под названием Cutting Sword of Justice

Кубецка описал в выступлении Black Hat USA, что Saudi Aramco вложила большую часть своего бюджета безопасности в управляющую сеть ICS, в результате чего бизнес-сеть оказалась под угрозой крупного инцидента.

Во время атака

15 августа в 11:08 по местному времени более 30 000 систем на базе Windows начали перезаписывать. Symantec обнаружила, что некоторые из затронутых систем отображали изображение американского флага, пока их данные удалялись и перезаписывались. Saudi Aramco объявила об атаке на своей странице в Facebook и снова отключилась до тех пор, пока 25 августа 2012 г. не было опубликовано заявление компании. 25 августа 2012 г. в заявлении было возобновлено нормальное ведение бизнеса. Однако ближневосточный журналист опубликовал фотографии, сделанные 1 сентября 2012 г. километров бензиновых грузовиков, которые невозможно загрузить из-за неработающих бизнес-систем.

Автоцистерны не могут быть загружены бензином из-за атак Shamoon

«Saudi Aramco восстановила все свои основные внутренние сетевые службы, на которые 15 августа 2012 года повлиял вредоносный вирус, исходящий из внешних источников и затронувший около 30 000 рабочих станций. С тех пор рабочие станции были очищены и восстановлены для работы. В качестве меры предосторожности удаленный доступ в Интернет к онлайн-ресурсам был ограничен. Сотрудники Saudi Aramco вернулись к работе 25 августа 2012 года после праздников Курбан-байрам, возобновив нормальную работу. Компания подтвердила что ее основные корпоративные системы разведки и добычи углеводородов не пострадали, поскольку они работают в изолированных сетевых системах. Производственные предприятия также были полностью работоспособны, поскольку эти системы управления также изолированы ».

29 августа 2012 года те же злоумышленники, стоящие за Shamoon, разместили на PasteBin.com еще одну шутку, издеваясь над Saudi Aramco, доказывая, что они по-прежнему сохраняют доступ к сети компании. Сообщение содержало имя пользователя и пароль для обеспечения безопасности и сетевого оборудования, а также новый пароль для генерального директора Aramco Халида аль-Фалиха. Злоумышленники также сослались на часть вредоносного ПО Shamoon в качестве дополнительного доказательства:

«пн, 29 августа, добрый день., SHN / AMOO / lib / pr / ~ / reversed

Мы думаем, что это забавно и странно, что от Saudi Aramco не поступает никаких новостей о субботней ночи. Что ж, мы ожидаем этого, но просто для большей ясности и докажите, что мы сделали, что обещали, просто прочтите следующие - ценные - факты о системах компании:

- маршрутизаторов интернет-служб три, и их информация выглядит следующим образом:

Основной маршрутизатор: SA -AR-CO-1 # пароль (telnet): c1sc0p @ ss-ar-cr-tl / (enable): c1sc0p @ ss-ar-cr-bl
Резервный маршрутизатор: SA-AR-CO- 3 # пароль (telnet): c1sc0p @ ss-ar-bk-tl / (enable): c1sc0p @ ss-ar-bk-bl
Средний маршрутизатор: SA-AR-CO-2 # пароль (telnet): c1sc0p @ ss-ar-st-tl / (enable): c1sc0p @ ss-ar-st-bl

- Халид А. Аль-Фалих, генеральный директор, электронная почта следующая s:

[email#160;protected] пароль: kal @ ram @ sa1960

- используемые устройства безопасности:

Cisco ASA # McAfee # FireEye:
пароли по умолчанию для всех !!! !!!!!!!

Мы думаем и искренне верим, что наша миссия выполнена и нам больше не нужно терять время. Думаю, SA пора кричать и выпускать что-то для публики. однако молчание - не решение.

Надеюсь, вам понравилось. и подождите, пока наша последняя вставка будет касаться SHN / AMOO / lib / pr / ~

разгневанных любителей интернета #SH "

По словам Кубецки, для восстановления операций Saudi Aramco использовала свой большой частный парк самолетов и имелись средства для покупки большей части жестких дисков в мире, что привело к росту цен. Новые жесткие диски требовались как можно скорее, чтобы спекуляции не повлияли на цены на нефть. К 1 сентября 2012 г. ресурсы бензина для населения Саудовской Аравии истощались 17 дней после атаки 15 августа. RasGas также пострадал от другого варианта, нанесшего им вред аналогичным образом.

Непонятно, почему злоумышленник может быть заинтересован в фактическом уничтожении зараженных ПК. Лаборатория Касперского намекнула, что 900-килобайтное вредоносное ПО могло быть связано с Wiper, который был использован в кибератаке на Иран в апреле. дневного анализа компания ошибочно пришла к выводу, что вредоносное ПО, скорее всего, исходит от "детей-скриптов ", которые были вдохновлены Стеклоочиститель. Позже, в своем блоге, Юджин Касперский разъяснил использование Shamoon, отнесенного к категории кибервойны.

См. Также

Примечания

Ссылки

Последняя правка сделана 2021-06-08 03:16:51
Содержание доступно по лицензии CC BY-SA 3.0 (если не указано иное).
Обратная связь: support@alphapedia.ru
Соглашение
О проекте