Ubojiti timer Pronađeno u šamoonu Malware ukazuje na moguću povezanost s Saudijskim Aramco napadom

Brojilo pronađeno u šamerovskom šamerovskom malwareu otkrivenom prošlog tjedna odgovara točnom vremenu i datumu kada hacktivist grupa tvrdi da je onemogućila tisuće računala iz mreže Saudi Aramco, nacionalne naftne kompanije Saudijske Arabije. "Prošli smo sustav tvrtke Aramco pomoću hakiranih sustava u nekoliko zemalja, a zatim poslao zlonamjerni virus koji uništava trideset tisuća računala umreženih u ovoj tvrtki, "grupa pod nazivom" Rezanje mača pravde ", rekao je u Pastebin post 15. kolovoza." Operacije uništenja započele su u srijedu, 15. kolovoza 2012 u 11:08 (lokalno vrijeme u Saudijskoj Arabiji) i bit će dovršen je za nekoliko sati. "

Istog dana, Saudi Aramco je potvrdio da su neki sektori svoje računalne mreže pod utjecajem računalnog virusa koji zaražene radne stanice koje koriste njezini zaposlenici. Međutim, incident nije na bilo koji način utjecao na operacije proizvodnje nafte, rekao je Aramco u to vrijeme.

[Daljnje čitanje: Kako ukloniti zlonamjerni softver s vašeg Windows računala]

Nakon vijesti slijedile su najave nekih antivirusnih dobavljača uključujući i Symantec, McAfee i Kaspersky Lab o otkriću novog razornog zlonamjernog softvera nazvanog Shamoon ili Disttrack.

Shamoon sadrži takozvani modul brisača dizajniran za prebrisivanje datoteka iz određenih direktorija i glavni boot record (MBR ) - posebnu regiju diska koja sadrži informacije o njegovim particionima.

S obzirom na sličnosti Shamoonove funkcionalnosti i opis hakerske skupine napada Aramco, spekulira se da bi zlonamjerni softver mogao biti odgovoran za nedavne Saudijske Arabije tvrtke računalni problemi.

Neki drugi bitovi informacija ukazali su i na to, poput Symantecove izjave da je zlonamjerni softver korišten u ciljanom napadu protiv unna med organizacija iz energetskog sektora ili da je niz putova pronađen unutar zlonamjernog softvera obuhvaća imenik pod nazivom "ArabianGulf".

Međutim, najočitiji dokaz do sada pronađen je timer koji aktivira zlonamjernu datoteku i MBR wiping funkcionalnost

"Kapaljka određuje je li došlo određeni datum", izjavio je istraživač tvrtke Kaspersky Lab Dmitrij Tarakanov u utorak. "Hardcoded datum je 15. kolovoza 2012. 08:08 UTC."

To se podudara s točnim vremenom i datumom kada su hakeri tvrdili da uništavaju Aramco računala - srijeda, 15. kolovoza "Ovo je samo jedan od pokazatelja da bi događaji mogli biti povezani, a to je samo ako je postavljanje Pastebina legitimno", rekao je Kaspersky. Stručnjak za sigurnost laboratorija Alexander Gostev izjavio je u četvrtak putem e-pošte. "U ovom trenutku nema dovoljno konkretnih dokaza za povezivanje dvaju događaja."

Ostali detalji ne podudaraju se. Na primjer, IP adresa interne mreže koju su koristili uzorci Shamoon analizirani od strane protuvirusnih dobavljača nije bio prisutan na popisu Aramco internih IP adresa izdanih u zasebnom postu Pastebin od strane hakera 17. kolovoza. "To bi moglo značiti da ti su uzorci dio napada na drugačiji entitet ", rekao je u četvrtak putem e-maila Aviv Raff, glavni tehnološki direktor u sigurnosnoj firmi Seculert. "Ili, to je doista dio napada na Aramco, ali napadači su odlučili da ne dijele ovu IP adresu u pasti."

U još jednom postu Pastebina objavljenom u srijedu, vjerojatno po istim hakerima, prijeti da će napasti Aramco drugi put 25. kolovoza u 21:00 GMT, rekao je Raff.

U svojoj izvornoj najavi, hacktivistička grupa "Rezanje mača pravde" rekla je kako je ciljala Aramco jer je to glavni financijski izvor Al Saudove Saudijske Arabije režima, za koje grupa tvrdi da podržavaju potlačene vladine akcije u zemljama kao što su Sirija, Bahrein, Jemen, Libanon ili Egipat.

Međutim, nisu svi uvjereni u svoj navodni dnevni red protiv vladine politike. "Čula sam špekulacije iz više od jednog izvora u Saudijskoj Arabiji da je zlonamjerni napad na mrežu Saudijske Aramco bio iranska operacija za obeshrabrenje Saudijskog Armacoa da poveća svoju proizvodnju nafte kako bi nadoknadila smanjenje isporuke nafte od strane Iran zbog sankcija koje je nametnuo SAD i Europska unija "stručnjak za cyber-sigurnost i analitičar Jeffrey Carr izjavio je u utorak na blogu." Iran je poznato da koristi svoju autohtonu hakersku populaciju za pokretanje napada u proteklom razdoblju tijekom operacije Cast Lead (Ashianeh Security Grupa), "rekao je Carr. "Ostali poznati i visoko kvalificirani iranski hakeri uključuju iransku Cyber ​​vojsku i ComodoHacker." "Tijekom analize šamonovog zlonamjernog softvera primijetili smo pogrešku u rutinskoj usporedbi podataka", rekao je Gostev iz Kasperskyja. "U našem iskustvu, takve pogreške u programiranju obično se ne nalaze u sofisticiranim cyber-oružjima, međutim, trenutačno nemamo dovoljno opipljivih dokaza da bismo utvrdili koju vrstu prijetnji glumaca ili skupina stoje iza Shamoona."

U travnju, računala od iranske naftne službe također su napadnute pomoću zlonamjernog softvera s funkcijom brisanja podataka. Taj zlonamjerni softver nikada nije identificiran, no istraživači Kaspersky Lab zaključili su prošlog tjedna, na temelju poznatih tehničkih detalja, da Shamoon vjerojatno nije bio uključen u one napade.

Međutim, Shamoon može biti kopija malwarea koji se koriste u Iranu stvorili su hakeri inspirirani tom incidentom, rekli su Kaspersky istraživači u to doba.