stringtranslate.com

Шамун

Shamoon [a] ( персидский : شمعون ), также известный как W32.DistTrack, [1] — это модульный компьютерный вирус , обнаруженный в 2012 году, нацеленный на последние 32-битные версии ядра NT Microsoft Windows . Вирус был известен из-за разрушительного характера атаки и стоимости восстановления. Shamoon может распространяться с зараженной машины на другие компьютеры в сети . После заражения системы вирус продолжает составлять список файлов из определенных мест в системе, загружать их на злоумышленника и стирать их. Наконец, вирус перезаписывает главную загрузочную запись зараженного компьютера, делая его непригодным для использования. [2] [3]

Вирус использовался для кибервойны [4] против национальных нефтяных компаний, включая Saudi Aramco из Саудовской Аравии и RasGas из Катара . [5] [2] [6] Группа под названием «Cutting Sword of Justice» взяла на себя ответственность за атаку на 30 000 рабочих станций Saudi Aramco, из-за чего компании пришлось потратить больше недели на восстановление своих услуг. [7] Позже группа указала, что в атаке использовался вирус Shamoon. [8] Компьютерные системы RasGas также были отключены неопознанным компьютерным вирусом, и некоторые эксперты по безопасности приписали ущерб Shamoon. [9] Позже это было описано как «крупнейший взлом в истории». [3]

Symantec , Kaspersky Lab [ 10] и Seculert объявили об обнаружении вредоносного ПО 16 августа 2012 года. [2] [11] Kaspersky Lab и Seculert обнаружили сходство между Shamoon и вредоносным ПО Flame . [10] [11] Shamoon неожиданно вернулся в ноябре 2016 года, [12] январе 2017 года [13] и декабре 2018 года. [14]

Дизайн

Shamoon был разработан для стирания и перезаписи данных жесткого диска поврежденным образом и передачи адресов зараженных компьютеров обратно на компьютер внутри сети компании. [15] Вредоносная программа имела логическую бомбу, которая активировала главную загрузочную запись и полезную нагрузку стирания данных в 11:08  по местному времени в среду, 15 августа. Атака произошла во время месяца Рамадан в 2012 году. Похоже, что атака была рассчитана на то, чтобы произойти после того, как большинство сотрудников ушли в отпуск, что снизило вероятность обнаружения до того, как будет нанесен максимальный ущерб, и затруднило восстановление.

Вирус состоял из трех компонентов: Dropper, Wiper и Reporter. Dropper, источник заражения, создает службу с именем «NtsSrv», которая позволяет ему оставаться на зараженном компьютере. Dropper был создан в 32- и 64-битной версиях. Если 32-битный dropper обнаруживает 64-битную архитектуру , он сбрасывает 64-битную версию. Этот компонент сбрасывает Wiper и Reporter на зараженный компьютер и выполняет себя. Он распространяется по локальной сети, копируя себя в сетевые папки и на другие компьютеры. [16]

Компонент Wiper использует драйвер, разработанный Eldos, известный как RawDisk, для получения прямого доступа к жесткому диску в пользовательском режиме без использования API Windows . Он определяет местоположение всех файлов на зараженных компьютерах и стирает их. Он отправляет информацию об уничтоженных файлах злоумышленнику, а затем перезаписывает стертые файлы поврежденными данными, чтобы их нельзя было восстановить. Компонент использовал части изображения. В атаке 2012 года он использовал изображение горящего флага США; в атаке 2016 года он использовал фотографию тела Алана Курди . [17] [18] [12]

Перед атакой

Вредоносное ПО было уникальным, оно было направлено против правительства Саудовской Аравии, вызвав разрушение государственной национальной нефтяной компании Saudi Aramco. Злоумышленники опубликовали пасту на Pastebin за несколько часов до того, как произошла логическая бомба стирателя, указав «притеснения» и правительство Саудовской Аравии в качестве причины атаки. [19] По словам Криса Кубеки , советника по безопасности Saudi Aramco после атаки и руководителя группы безопасности Aramco Overseas, атака была хорошо спланирована. [3] Она была инициирована фишинговой атакой по электронной почте, которую открыл неназванный сотрудник Saudi Aramco Information Technology, что дало группе доступ к сети компании примерно в середине 2012 года. [20]

Мы, от имени антирепрессивной хакерской группы, которая устала от преступлений и зверств, происходящих в разных странах мира, особенно в соседних странах, таких как Сирия, Бахрейн, Йемен, Ливан, Египет и ..., а также от двойственного подхода мирового сообщества к этим странам, хотим этим действием нанести удар по главным сторонникам этих бедствий. Одним из главных сторонников этих бедствий [ sic ] является коррумпированный режим Аль-Сауда, который спонсирует такие репрессивные меры, используя нефтяные ресурсы мусульман. Аль-Сауд является соучастником в совершении этих преступлений. Его [ sic ] руки запятнаны кровью невинных детей и людей. На первом этапе была проведена акция против компании Aramco, как крупнейшего источника финансирования режима Аль-Сауда. На этом этапе мы проникли в систему компании Aramco, используя взломанные системы в нескольких странах, а затем отправили вредоносный вирус, чтобы уничтожить тридцать тысяч компьютеров, объединенных в сеть в этой компании. Операции по уничтожению начались в среду, 15 августа 2012 года в 11:08 утра (по местному времени в Саудовской Аравии) и будут завершены в течение нескольких часов. [21]

Пэсти объявляет о нападении на Saudi Aramco со стороны группы под названием Cutting Sword of Justice

Кубека рассказал в своем выступлении на мероприятии Black Hat USA, что Saudi Aramco направила большую часть своего бюджета безопасности на сеть управления ICS , подвергнув бизнес-сеть риску возникновения серьезного инцидента. [20]

Во время атаки

15 августа в 11:08 по местному времени началась перезапись более 30 000 систем на базе Windows. Symantec обнаружила, что некоторые из пострадавших систем показывали изображение американского флага, пока их данные удалялись и перезаписывались. [2] Saudi Aramco объявила об атаке на своей странице в Facebook и снова отключилась, пока 25 августа 2012 года не было опубликовано заявление компании. В заявлении ложно сообщалось, что нормальная работа была возобновлена ​​25 августа 2012 года. Однако ближневосточный журналист слил фотографии, сделанные 1 сентября 2012 года, на которых видны километры бензовозов, которые невозможно загрузить из-за взломанных бизнес-систем, которые все еще не работают.

Из-за атак шамунов невозможно загрузить автоцистерны бензином

«Saudi Aramco восстановила все свои основные внутренние сетевые службы, которые были затронуты 15 августа 2012 года вредоносным вирусом, который возник из внешних источников и затронул около 30 000 рабочих станций. С тех пор рабочие станции были очищены и восстановлены. В качестве меры предосторожности удаленный доступ к онлайн-ресурсам был ограничен. Сотрудники Saudi Aramco вернулись на работу 25 августа 2012 года после праздников Ид, возобновив нормальную деятельность. Компания подтвердила, что ее основные корпоративные системы разведки и добычи углеводородов не были затронуты, поскольку они работают на изолированных сетевых системах. Производственные предприятия также полностью работоспособны, поскольку эти системы управления также изолированы».

29 августа 2012 года те же злоумышленники, что и Shamoon, опубликовали еще одну пасту на PasteBin.com, дразня Saudi Aramco доказательством того, что они все еще сохраняют доступ к сети компании. Пост содержал имя пользователя и пароль для оборудования безопасности и сети, а также новый пароль для генерального директора Aramco Халида Аль-Фалиха. [22] Злоумышленники также ссылались на часть вредоносной программы Shamoon в качестве дополнительного доказательства в пасте:

"пн 29 авг, добрый день, SHN/AMOO/lib/pr/~/reversed

Мы считаем забавным и странным, что от Saudi Aramco нет никаких новостей относительно субботнего вечера. Что ж, мы этого ожидаем, но чтобы внести больше ясности и доказать, что мы выполнили свое обещание, просто прочтите следующие факты — ценные — о системах компании:

- маршрутизаторов интернет-услуг три, и их информация следующая:

Основной маршрутизатор: SA-AR-CO-1# пароль (telnet): c1sc0p@ss-ar-cr-tl / (включить): c1sc0p@ss-ar-cr-bl
Резервный маршрутизатор: SA-AR-CO-3# пароль (telnet): c1sc0p@ss-ar-bk-tl / (включить): c1sc0p@ss-ar-bk-bl
Средний маршрутизатор: SA-AR-CO-2# пароль (telnet): c1sc0p@ss-ar-st-tl / (включить): c1sc0p@ss-ar-st-bl

- Халид А. Аль-Фалих, генеральный директор, адрес электронной почты:

[email protected] пароль:kal@ram@sa1960

- используемые средства безопасности:

Cisco ASA # McAfee # FireEye:
пароли по умолчанию для всех!!!!!!!!!!

Мы думаем и искренне верим, что наша миссия выполнена, и нам больше не нужно терять времени. Думаю, пришло время SA закричать и выпустить что-то для общественности. Однако молчание не является решением.

Надеюсь, вам понравилось. И ждите нашу последнюю публикацию по поводу SHN/AMOO/lib/pr/~

разгневанные любители интернета #SH"

По словам Кубечки, для восстановления работы Saudi Aramco использовала свой большой частный флот самолетов и имеющиеся средства для покупки большей части жестких дисков в мире, что привело к росту цен. Новые жесткие диски требовались как можно быстрее, чтобы цены на нефть не пострадали от спекуляций. К 1 сентября 2012 года запасы бензина для населения Саудовской Аравии истощались через 17 дней после атаки 15 августа. RasGas также пострадал от другого варианта, парализовав их аналогичным образом. [20]

Неясно, почему злоумышленник мог быть заинтересован в фактическом уничтожении зараженного ПК. «Лаборатория Касперского» намекнула, что вредоносная программа размером 900 КБ может быть связана с Wiper , который использовался в кибератаке на Иран в апреле. После двухдневного анализа компания ошибочно пришла к выводу, что вредоносная программа, скорее всего, исходит от « scriptkiddies », вдохновленных Wiper. [23] Позже, в сообщении в блоге, Евгений Касперский разъяснил использование Shamoon, классифицируя его как кибервойну. [24]

Смотрите также

Примечания

  1. ^ «Shamoon» является частью строки каталога, обнаруженной в компоненте Wiper вируса.

Ссылки

  1. ^ "Joint Security Awareness Report (JSAR-12-241-01B): Вредоносное ПО Shamoon/DistTrack (обновление B)". Министерство внутренней безопасности США ICS-CERT . 2017-04-18 . Получено 2017-11-03 .
  2. ^ abcd Symantec Security Response (2012-08-16). "Атаки Shamoon". Symantec . Получено 2012-08-19 .
  3. ^ abc Хосе Паглиери (2015-08-05). "Внутренняя история крупнейшего взлома в истории" . Получено 2012-08-19 .
  4. ^ Иэн Томпсон (17 августа 2012 г.). «Вирус Shamoon-эксгибициониста сносит ПК-мозги». The Register . Получено 03 ноября 2017 г.
  5. ^ Тим Сэндл (2012-08-18). "Вирус Shamoon атакует саудовскую нефтяную компанию". Цифровой журнал . Получено 2012-08-19 .
  6. ^ "Вирус Shamoon нацелен на инфраструктуру энергетического сектора". BBC News . 2012-08-17 . Получено 2012-08-19 .
  7. ^ Николь Перлрот (2012-10-23). ​​«Кибератака на саудовскую фирму беспокоит США» The New York Times . С. A1 . Получено 2012-10-24 .
  8. ^ Элинор Миллс (2012-08-30). "Вирус выводит из строя компьютеры катарской газовой компании RasGas". CNET . Получено 2012-09-01 .
  9. ^ "Компьютерный вирус поразил вторую энергетическую фирму". BBC News. 2012-08-31 . Получено 2012-09-01 .
  10. ^ ab GReAT (2012-08-16). "Shamoon the Wiper — Copycats at Work". Архивировано из оригинала 20-08-2012 . Получено 19-08-2012 .
  11. ^ ab Seculert (2012-08-16). "Shamoon, двухэтапная целевая атака". Seculert . Архивировано из оригинала 20-08-2012 . Получено 19-08-2012 .{{cite web}}: CS1 maint: неподходящий URL ( ссылка )
  12. ^ ab Symantec Security Response (2016-11-30). "Shamoon: Возвращение из мертвых и разрушение, как всегда". Symantec . Получено 2016-12-06 .
  13. ^ "Саудовская Аравия предупреждает о киберзащите, поскольку Shamoon снова появляется". Reuters . 2017-01-23 . Получено 2017-01-26 .
  14. ^ Стивен Джукес, Джим Финкл (2018-12-12). «Saipem заявляет, что вариант Shamoon вывел из строя сотни компьютеров». Reuters . Получено 2020-09-24 .
  15. ^ Porche III, Isaac R. (2020). Кибервойна - Введение в конфликт информационного века/. Artech House. стр. 264. ISBN 978-1-5231-3277-5.
  16. ^ Маккензи, Хизер (25.10.2012). «Вредоносное ПО Shamoon и безопасность SCADA — каковы последствия?».
  17. ^ Шон Галлахер (2016-12-01). «Вредоносное ПО Shamoon Wiper возвращается с удвоенной силой». Ars Technica . Получено 2017-07-03 .
  18. ^ Николь Перлрот (2012-08-24). «Среди цифровых крошек от кибератаки Saudi Aramco, изображение горящего флага США». Битс . The New York Times . Получено 2017-07-03 .
  19. ^ Cutting Sword of Justice (2012-08-15). "Pastie:'Untitled'" . Получено 2017-11-03 .
  20. ^ abc Christina Kubecka (2015-08-03). "Как реализовать ИТ-безопасность после киберкризиса". YouTube . Получено 2017-11-03 .(слайды PDF, видео YouTube)
  21. ^ Рид, Томас (2013). Кибервойна не состоится. Oxford University Press. стр. 63. ISBN 978-0-19-936546-3.
  22. ^ "Saudi Aramco обнимаются, еще один". 2012-08-29 . Получено 2017-11-03 .
  23. ^ Вольфганг Грюнер (2012-08-18). "Кибератака: вредоносное ПО Shamoon заражает, крадет, стирает MBR". Tom's Hardware . Получено 2017-03-22 .
  24. ^ Евгений Касперский (2017-03-06). «StoneDrill: Мы обнаружили новую мощную вредоносную программу-очиститель типа «Shamoon» — и она серьезна» . Получено 2017-11-03 .