Шамун - Shamoon
Шамун,[а] (Персидский: شمعون) Также известный как W32.DistTrack,[1] модульный Компьютерный вирус который был обнаружен в 2012 году и нацелен на недавние 32-битные Ядро NT версии Майкрософт Виндоус. Вирус отличался разрушительным характером атаки и высокой стоимостью восстановления. Shamoon может передаваться с зараженной машины на другие компьютеры в сети. После заражения системы вирус продолжает составлять список файлов из определенных мест в системе, загружать их злоумышленнику и стирать. Наконец вирус перезаписывает Главная загрузочная запись зараженного компьютера, что делает его непригодным для использования.[2][3]
Вирус использовался для кибервойна[4] против национальных нефтяных компаний, включая Саудовскую Аравию Сауди Арамко и Катара РасГаз.[5][2][6] Группа под названием «Режущий меч правосудия» взяла на себя ответственность за нападение на 35 000 человек. Сауди Арамко рабочих станций, из-за чего компания тратит более недели на восстановление своих сервисов.[7] Позже группа указала, что в атаке использовался вирус Shamoon.[8] Компьютерные системы в РасГаз также были отключены неопознанным компьютерным вирусом, а некоторые эксперты по безопасности приписывают ущерб Shamoon.[9] Позже его назвали «крупнейшим взломом в истории».[3]
Symantec, Лаборатория Касперского,[10] и Секулерт объявила об обнаружении вредоносного ПО 16 августа 2012 года.[2][11] «Лаборатория Касперского» и Seculert обнаружили сходство между Shamoon и Пламя вредоносное ПО.[10][11] Shamoon неожиданно вернулся в ноябре 2016 года.[12] Январь 2017,[13] и декабрь 2018 г.[14]
дизайн
Shamoon был разработан для стирания и перезаписи данных жесткого диска с помощью поврежденного образа и передачи адресов зараженных компьютеров обратно на компьютер в сети компании. В вредоносное ПО была логическая бомба, которая запускала главную загрузочную запись и стирание данных полезная нагрузка в 11:08 Среда, 15 августа, по местному времени. Атака произошла в месяц Рамадан в 2012 году. Похоже, что атака была приурочена к тому времени, когда большая часть персонала уехала в отпуск, что снижает вероятность обнаружения до того, как может быть нанесен максимальный ущерб, что затрудняет восстановление.
Вирус состоял из трех компонентов: Dropper, Wiper и Reporter. Дроппер, источник заражения, создает службу с именем «NtsSrv», которая позволяет ей оставаться на зараженном компьютере постоянно. Dropper был построен в 32-битной и 64-битной версиях. Если 32-битный дроппер обнаруживает 64-битный архитектура, он отбрасывает 64-битную версию. Этот компонент загружает Wiper и Reporter на зараженный компьютер и запускается сам. Он распространяется по локальной сети, копируя себя в общие сетевые ресурсы и на другие компьютеры.[15]
В щетка стеклоочистителя компонент использует созданный Eldos драйвер, известный как RawDisk, для достижения прямого пользовательский режим доступ к жесткому диску без использования Windows API. Он определяет расположение всех файлов на зараженных компьютерах и стирает их. Он отправляет злоумышленнику информацию об уничтоженных файлах, а затем перезаписывает стертые файлы поврежденными данными, чтобы их невозможно было восстановить. Компонент использовал части изображения. В атаке 2012 года использовалось изображение горящего флага США; в нападении 2016 г. использовалась фотография тела Алан Курди.[16][17][12]
Перед атакой
Вредоносное ПО было уникальным и использовалось против правительства Саудовской Аравии, нанеся разрушение государственной национальной нефтяной компании Saudi Aramco. Злоумышленники разместили пирожок на PasteBin.com за несколько часов до срабатывания логической бомбы очистителя, ссылаясь на притеснение и режим Аль-Сауда в качестве причины атаки.[18] Согласно с Крис Кубецка, советник по безопасности Saudi Aramco после атаки и руководитель группы безопасности Aramco Overseas, атака была хорошо организована.[3] Оно было инициировано фишинговой атакой по электронной почте, которую открыл неназванный сотрудник Saudi Aramco Information Technology, что дало группе возможность проникнуть в сеть компании примерно в середине 2012 года.[19]
Мы, от имени хакерской группы по борьбе с угнетением, которой надоели преступления и зверства, происходящие в разных странах по всему миру, особенно в соседних странах, таких как Сирия, Бахрейн, Йемен, Ливан, Египет и ..., и также двойственного подхода мирового сообщества к этим народам, хотят этим действием поразить основных сторонников этих бедствий. Одним из главных сторонников этих бедствий является коррумпированный режим Аль-Сауда, который спонсирует такие репрессивные меры, используя нефтяные ресурсы мусульман. Аль-Сауд является соучастником этих преступлений. Его руки заражены кровью невинных детей и людей. На первом этапе иск был предпринят против компании Aramco, как крупнейшего финансового источника режима Аль-Сауда. На этом этапе мы проникли в систему компании Aramco, используя взломанные системы в нескольких странах, а затем отправили вредоносный вирус, чтобы уничтожить тридцать тысяч компьютеров, подключенных к сети этой компании. Операции по уничтожению начались в среду, 15 августа 2012 г., в 11:08 (по местному времени Саудовской Аравии) и будут завершены в течение нескольких часов.[20]
Кубецка описал в выступлении Black Hat USA, что Saudi Aramco вложила большую часть своего бюджета безопасности в ICS контролировать сеть, подвергая бизнес-сети риску серьезного инцидента.[19]
Во время атаки
15 августа в 11:08 по местному времени более 30 000 систем на базе Windows начали перезаписывать. Symantec обнаружила, что некоторые из затронутых систем отображали изображение американского флага, пока их данные удалялись и перезаписывались.[2] Saudi Aramco объявила об атаке на своей странице в Facebook и снова отключилась до тех пор, пока 25 августа 2012 г. не было опубликовано заявление компании. 25 августа 2012 г. в заявлении было возобновлено нормальное ведение бизнеса. Однако ближневосточный журналист опубликовал фотографии, сделанные 1 сентября 2012 г. километров бензиновых грузовиков, которые невозможно загрузить из-за неработающих бизнес-систем.
«Saudi Aramco восстановила все свои основные внутренние сетевые сервисы, на которые 15 августа 2012 года воздействовал вредоносный вирус, исходящий из внешних источников и затронувший около 30 000 рабочих станций. С тех пор рабочие станции были очищены и восстановлены для работы. В качестве меры предосторожности, удаленный доступ в Интернет к онлайн-ресурсам был ограничен. Сотрудники Saudi Aramco вернулись к работе 25 августа 2012 г., после праздников Курбан-байрам, возобновив нормальную деятельность. Компания подтвердила, что ее основные корпоративные системы разведки и добычи углеводородов не пострадали, поскольку они работают в изолированной сети системы. Производственные предприятия также были полностью работоспособны, поскольку эти системы управления также изолированы ».
29 августа 2012 года те же злоумышленники, которые стояли за Shamoon, разместили на PasteBin.com еще одну лепешку, издеваясь над Saudi Aramco, доказывая, что они все еще сохраняют доступ к сети компании. Сообщение содержало имя пользователя и пароль для безопасности и сетевого оборудования, а также новый пароль для генерального директора Aramco Халида Аль-Фалиха.[21] Злоумышленники также сослались на часть вредоносного ПО Shamoon в качестве дополнительного доказательства:
"пн, 29 авг, добрый день, SHN / AMOO / lib / pr / ~ / обратный
Мы думаем, что это забавно и странно, что от Saudi Aramco не поступает никаких новостей относительно субботней ночи. Что ж, мы ожидаем этого, но чтобы прояснить ситуацию и доказать, что мы сделали все, что обещали, просто прочтите следующие - ценные факты - о системах компании:
- Маршрутизаторы интернет-услуг - три, и их информация следующая:
- Основной маршрутизатор: SA-AR-CO-1 # пароль (telnet): c1sc0p @ ss-ar-cr-tl / (enable): c1sc0p @ ss-ar-cr-bl
- Резервный маршрутизатор: SA-AR-CO-3 # пароль (telnet): c1sc0p @ ss-ar-bk-tl / (enable): c1sc0p @ ss-ar-bk-bl
- Средний маршрутизатор: SA-AR-CO-2 # пароль (telnet): c1sc0p @ ss-ar-st-tl / (enable): c1sc0p @ ss-ar-st-bl
- Халид А. Аль-Фалих, генеральный директор, электронная почта следующего содержания:
- [email protected] пароль: kal @ ram @ sa1960
- используемые средства безопасности:
- Cisco ASA # McAfee # FireEye:
- пароли по умолчанию для всех !!!!!!!!!!
Мы думаем и искренне верим, что наша миссия выполнена, и нам больше не нужно терять время. Думаю, SA пора кричать и выпускать что-то для публики. однако молчание - не решение.
Надеюсь, вам это понравилось. и ждем нашу последнюю вставку относительно SHN / AMOO / lib / pr / ~
злые любители интернета #SH "
По словам Кубецки, для восстановления работы Saudi Aramco использовала свой большой частный парк самолетов и имеющиеся средства для покупки большей части жестких дисков в мире, что привело к росту цен. Новые жесткие диски требовались как можно скорее, чтобы спекуляции не повлияли на цены на нефть. К 1 сентября 2012 года запасы бензина для населения Саудовской Аравии истощались через 17 дней после теракта 15 августа. РасГаз также был затронут другим вариантом, нанесшим им вред аналогичным образом.[19]
Непонятно, почему злоумышленник может быть заинтересован в фактическом уничтожении зараженного компьютера. Лаборатория Касперского намекнул, что 900 КБ вредоносное ПО может быть связано с щетка стеклоочистителя, который был использован в кибератаке на Иран в апреле. После двухдневного анализа компания ошибочно пришла к выводу, что вредоносное ПО, скорее всего, исходит от "Сценарий детишек "кто был вдохновлен щетка стеклоочистителя.[22] Позже, в сообщении в блоге, Евгений Касперский разъяснил использование Shamoon, отнесенного к категории кибервойны.[23]
Смотрите также
Заметки
- ^ «Shamoon» - это часть строки каталога, находящейся в компоненте Wiper вируса.
Рекомендации
- ^ «Совместный отчет о безопасности (JSAR-12-241-01B): вредоносное ПО 'Shamoon / DistTrack' (обновление B)». Министерство внутренней безопасности США ICS-CERT. 2017-04-18. Получено 2017-11-03.
- ^ а б c d Symantec Security Response (16 августа 2012 г.). "Атаки Шамуна". Symantec. Получено 2012-08-19.
- ^ а б c Хосе Паглиери (2015-08-05). «Внутренняя история крупнейшего взлома в истории». Получено 2012-08-19.
- ^ Иэн Томпсон (17 августа 2012 г.). «Вирус эксгибициониста Shamoon поражает воображение ПК». Реестр. Получено 2017-11-03.
- ^ Тим Сэндл (18.08.2012). «Вирус Shamoon атакует саудовскую нефтяную компанию». Цифровой журнал. Получено 2012-08-19.
- ^ «Вирус Shamoon поражает инфраструктуру энергетического сектора». Новости BBC. 2012-08-17. Получено 2012-08-19.
- ^ Николь Перлрот (2012-10-23). "Кибератака на саудовскую фирму вызывает беспокойство у США" Нью-Йорк Таймс. стр. A1. Получено 2012-10-24.
- ^ Элинор Миллс (30 августа 2012 г.). «Вирус выбивает компьютеры катарской газовой компании RasGas». CNET. Получено 2012-09-01.
- ^ «Компьютерный вирус поразил вторую энергетическую фирму». Новости BBC. 2012-08-31. Получено 2012-09-01.
- ^ а б GReAT (16 августа 2012 г.). "Шамун Дворник - подражатели за работой". В архиве с оригинала от 20.08.2012. Получено 2012-08-19.
- ^ а б Секулерт (16 августа 2012 г.). «Шамун, двухэтапная целевая атака». Секулерт. Архивировано 20 августа 2012 года.. Получено 2012-08-19.CS1 maint: неподходящий URL (ссылка на сайт)
- ^ а б Symantec Security Response (30 ноября 2016 г.). «Шамун: воскрес из мертвых и разрушительный, как всегда». Symantec. Получено 2016-12-06.
- ^ Сотрудники Reuters (23.01.2017). "Саудовская Аравия предупреждает о киберзащите, когда появляется Шамун". Рейтер. Получено 2017-01-26.
- ^ Стивен Джьюкс, Джим Финкль (12 декабря 2018 г.). «Сайпем говорит, что вариант Shamoon нанес ущерб сотням компьютеров». Рейтер. Получено 2020-09-24.
- ^ Маккензи, Хизер (25 октября 2012 г.). «Вредоносное ПО Shamoon и безопасность SCADA - каковы последствия?».
- ^ Шон Галлахер (01.12.2016). «Вредоносная программа Shamoon Wiper возвращается с удвоенной силой». Ars Technica. Получено 2017-07-03.
- ^ Николь Перлрот (24.08.2012). «Среди цифровых крошек от кибератаки Saudi Aramco, изображение горящего флага США». Биты. Нью-Йорк Таймс. Получено 2017-07-03.
- ^ Режущий меч правосудия (2012-08-15). "Пасти:" Без названия'". Получено 2017-11-03.
- ^ а б c Кристина Кубецкая (2015-08-03). «Как реализовать ИТ-безопасность после кибер-кризиса». Получено 2017-11-03. (PDF-слайды, YouTube видео )
- ^ Рид, Томас (2013). Кибервойны не будет. Издательство Оксфордского университета. п. 63. ISBN 978-0-19-936546-3.
- ^ «Объятия Saudi Aramco, еще одно». 2012-08-29. Получено 2017-11-03.
- ^ Вольфганг Грюнер (18.08.2012). «Кибератака: вредоносное ПО Shamoon заражает, крадет, стирает MBR». Оборудование Тома. Получено 2017-03-22.
- ^ Евгений Касперский (2017-03-06). "StoneDrill: мы обнаружили новое мощное" Shamoon-ish "вредоносное ПО для Wiper - и это серьезно". Получено 2017-11-03.