Из Википедии, бесплатной энциклопедии
Перейти к навигации Перейти к поиску
Для апостола Иисуса см Шамун ас-Сафа . Для актера см Шамун Аббаси .
Хронология атаки Shamoon 1 против Saudi Aramco

Shamoon , [a] ( персидский : شمعون ), также известный как W32.DistTrack, [1] - это модульный компьютерный вирус, который был обнаружен в 2012 году и нацелен на последние 32-битные версии ядра NT Microsoft Windows . Вирус отличался деструктивным характером атаки и высокой стоимостью восстановления. Shamoon может распространяться с зараженной машины на другие компьютеры в сети . После заражения системы вирус продолжает составлять список файлов из определенных мест в системе, загружать их злоумышленнику и стирать. Наконец, вирус перезаписывает основную загрузочную запись.зараженного компьютера, что делает его непригодным для использования. [2] [3]

Вирус использовался для кибервойны [4] против национальных нефтяных компаний, включая Saudi Aramco из Саудовской Аравии и RasGas из Катара . [5] [2] [6] Группа под названием «Режущий меч правосудия» взяла на себя ответственность за нападение на 35 000 рабочих станций Saudi Aramco , в результате чего компания потратила более недели на восстановление своих услуг. [7] Группа позже указала, что в атаке использовался вирус Shamoon. [8] Компьютерные системы в RasGas также были отключены неопознанным компьютерным вирусом, и некоторые эксперты по безопасности приписывают ущерб Shamoon. [9]Позже его назвали «крупнейшим взломом в истории». [3]

Symantec , Лаборатория Касперского , [10] и Seculert объявила об открытии вредоносной программы 16 августа 2012 года [2] [11] Лаборатория Касперского и Seculert нашел сходство между Shamoon и Пламени вредоносных программ. [10] [11] Shamoon неожиданно вернулся в ноябре 2016, [12] января 2017, [13] и декабре 2018. [14]

Дизайн [ править ]

Shamoon был разработан для стирания и перезаписи данных жесткого диска с помощью поврежденного образа и передачи адресов зараженных компьютеров обратно на компьютер в сети компании. [15] вредоносные программы имели логическую бомбу , которая срабатывает загрузочную запись и данные вытирают полезной нагрузки в 11:08  утра по местному времени в среду, 15 августа нападение произошло во время месяца Рамадан в 2012 году может показаться , что нападение было приуроченный к тому, что большинство сотрудников ушли в отпуск, что снижает вероятность обнаружения до того, как можно будет нанести максимальный ущерб, что затрудняет восстановление.

Вирус состоял из трех компонентов: Dropper, Wiper и Reporter. Дроппер, источник заражения, создает службу с именем «NtsSrv», которая позволяет ей оставаться на зараженном компьютере постоянно. Дроппер был построен в 32-битной и 64-битной версиях. Если 32-битный дроппер обнаруживает 64-битную архитектуру , он отбрасывает 64-битную версию. Этот компонент загружает Wiper и Reporter на зараженный компьютер и запускается сам. Он распространяется по локальной сети, копируя себя в общие сетевые ресурсы и на другие компьютеры. [16]

Компонент Wiper использует созданный Eldos драйвер, известный как RawDisk, для обеспечения прямого доступа в пользовательском режиме к жесткому диску без использования Windows API . Он определяет расположение всех файлов на зараженных компьютерах и стирает их. Он отправляет злоумышленнику информацию об уничтоженных файлах, а затем перезаписывает стертые файлы поврежденными данными, чтобы их невозможно было восстановить. Компонент использовал части изображения. В нападении 2012 г. использовалось изображение горящего флага США; в нападении 2016 года использовалась фотография тела Алана Курди . [17] [18] [12]

Перед атакой [ править ]

Вредоносное ПО было уникальным и использовалось для уничтожения правительства Саудовской Аравии в государственной национальной нефтяной компании Saudi Aramco. Злоумышленники разместили на PasteBin.com за несколько часов до взрыва логической бомбы стеклоочистителя, ссылаясь на притеснение и режим Аль-Сауда в качестве причины атаки. [19] По словам Криса Кубека , советника по безопасности Saudi Aramco после атаки и руководителя группы безопасности Aramco Overseas, атака была хорошо организована. [3] Это было инициировано фишинговой атакой по электронной почте, которую открыл неназванный сотрудник Saudi Aramco Information Technology, в результате чего группа проникла в сеть компании примерно в середине 2012 года. [20]

Мы, от имени хакерской группы, выступающей против угнетения, которой надоели преступления и зверства, происходящие в разных странах мира, особенно в соседних странах, таких как Сирия, Бахрейн, Йемен, Ливан, Египет и ..., и также двойственного подхода мирового сообщества к этим народам, хотят этим действием поразить основных сторонников этих бедствий. Одним из главных сторонников этих бедствий является коррумпированный режим Аль-Сауда, который спонсирует такие репрессивные меры, используя нефтяные ресурсы мусульман. Аль-Сауд является соучастником этих преступлений. Его руки заражены кровью невинных детей и людей. На первом этапе было возбуждено дело против компании Aramco, как крупнейшего финансового источника режима Аль-Сауда. На этом этапемы проникли в систему компании Aramco, используя взломанные системы в нескольких странах, а затем отправили вредоносный вирус, чтобы уничтожить тридцать тысяч компьютеров, подключенных к сети в этой компании. Операции по уничтожению начались в среду, 15 августа 2012 г., в 11:08 (по местному времени Саудовской Аравии) и будут завершены в течение нескольких часов.[21]

Пасти объявляет о нападении на Saudi Aramco группы под названием Cutting Sword of Justice

Kubecka описано в беседе Black Hat USA , что Saudi Aramco поместил большую часть своего бюджета безопасности на ICS сети управления, в результате чего бизнес - сеть на риск серьезных инцидентов. [20]

Во время атаки [ править ]

15 августа в 11:08 по местному времени более 30 000 систем на базе Windows начали перезаписывать. Symantec обнаружила, что некоторые из затронутых систем отображали изображение американского флага, пока их данные удалялись и перезаписывались. [2] Saudi Aramco объявила об атаке на своей странице в Facebook и снова отключилась до тех пор, пока 25 августа 2012 г. не было опубликовано заявление компании. 25 августа 2012 г. в заявлении было возобновлено нормальное ведение бизнеса. Однако ближневосточный журналист опубликовал фотографии, сделанные 1 января. Сентябрь 2012 г. показывает километры бензовозов, которые невозможно загрузить из-за неработающих бизнес-систем.

Автоцистерны не могут быть загружены бензином из-за атак Шамуна

«Компания Saudi Aramco восстановила все свои основные внутренние сетевые службы, на которые 15 августа 2012 года воздействовал вредоносный вирус, исходящий из внешних источников и затронувший около 30 000 рабочих станций. С тех пор рабочие станции были очищены и восстановлены для работы. В качестве меры предосторожности, удаленный доступ в Интернет к онлайн-ресурсам был ограничен. Сотрудники Saudi Aramco вернулись к работе 25 августа 2012 г., после праздников Курбан-байрам, возобновив нормальную деятельность. Компания подтвердила, что ее основные корпоративные системы разведки и добычи углеводородов не пострадали, поскольку они работают в изолированной сети системы. Производственные предприятия также были полностью работоспособны, поскольку эти системы управления также изолированы ».

29 августа 2012 года те же злоумышленники, стоящие за Shamoon, разместили на PasteBin.com еще одну лепешку, насмехаясь над Saudi Aramco, доказывая, что они все еще сохраняют доступ к сети компании. Сообщение содержало имя пользователя и пароль по безопасности и сетевому оборудованию, а также новый пароль для генерального директора Aramco Халида Аль-Фалиха [22] . Злоумышленники также сослались на часть вредоносного ПО Shamoon в качестве дополнительного доказательства:

"пн, 29 авг, добрый день, SHN / AMOO / lib / pr / ~ / обратный

Мы думаем, что это забавно и странно, что от Saudi Aramco не поступают новости о субботней ночи. Что ж, мы ожидаем этого, но чтобы прояснить ситуацию и доказать, что мы закончили с обещаниями, просто прочтите следующие - ценные факты - о системах компании:

- Маршрутизаторы интернет-услуг - три, и их информация следующая:

Основной маршрутизатор: SA-AR-CO-1 # пароль (telnet): c1sc0p @ ss-ar-cr-tl / (enable): c1sc0p @ ss-ar-cr-bl
Резервный маршрутизатор: SA-AR-CO-3 # пароль (telnet): c1sc0p @ ss-ar-bk-tl / (enable): c1sc0p @ ss-ar-bk-bl
Средний маршрутизатор: SA-AR-CO-2 # пароль (telnet): c1sc0p @ ss-ar-st-tl / (enable): c1sc0p @ ss-ar-st-bl

- Халид А. Аль-Фалих, генеральный директор, отправьте следующую информацию по электронной почте:

[email protected] пароль: kal @ ram @ sa1960

- используемые средства безопасности:

Cisco ASA # McAfee # FireEye:
пароли по умолчанию для всех !!!!!!!!!!

Мы думаем и искренне верим, что наша миссия выполнена, и нам больше не нужно терять время. Думаю, SA пора кричать и выпускать что-то для публики. однако молчание - не решение.

Надеюсь, вам это понравилось. и ждем нашу последнюю вставку относительно SHN / AMOO / lib / pr / ~

злые интернет-любители #SH "

По словам Кубецки, для восстановления операций Saudi Aramco использовала свой большой частный парк самолетов и имеющиеся средства для покупки большей части жестких дисков в мире, что привело к росту цен. Новые жесткие диски требовались как можно скорее, чтобы спекуляции не повлияли на цены на нефть. К 1 сентября 2012 года запасы бензина для населения Саудовской Аравии истощались через 17 дней после теракта 15 августа. На RasGas также повлиял другой вариант, нанесший им вред аналогичным образом. [20]

Непонятно, почему злоумышленник может быть заинтересован в фактическом уничтожении зараженного компьютера. «Лаборатория Касперского» намекнула, что вредоносная программа размером 900 КБ может быть связана с Wiper , который был использован в апрельской кибератаке на Иран. После двухдневного анализа компания ошибочно пришла к выводу, что вредоносное ПО, скорее всего, исходит от « детей-сценаристов », вдохновленных Wiper . [23] Позже, в своем блоге, Евгений Касперский разъяснил, что использование Shamoon относится к категории кибервойн. [24]

См. Также [ править ]

  • Иранско-саудовские отношения

Примечания [ править ]

  1. ^ «Shamoon» - это часть строки каталога, находящейся в компоненте Wiper вируса.

Ссылки [ править ]

  1. ^ «Совместный отчет по безопасности (JSAR-12-241-01B): вредоносное ПО Shamoon / DistTrack (Обновление B)» . ICS-CERT Министерства внутренней безопасности США . 2017-04-18 . Проверено 3 ноября 2017 .
  2. ^ a b c d Symantec Security Response (16 августа 2012 г.). «Атаки Шамуна» . Symantec . Проверено 19 августа 2012 .
  3. ^ a b c Хосе Паглиери (2015-08-05). «Внутренняя история самого большого взлома в истории» . Проверено 19 августа 2012 .
  4. ^ Иэн Томпсон (2012-08-17). «Вирус эксгибициониста Shamoon поражает воображение ПК» . Реестр . Проверено 3 ноября 2017 .
  5. ^ Тим Сэндл (2012-08-18). «Вирус Shamoon атакует саудовскую нефтяную компанию» . Цифровой журнал . Проверено 19 августа 2012 .
  6. ^ «Вирус Shamoon поражает инфраструктуру энергетического сектора» . BBC News . 2012-08-17 . Проверено 19 августа 2012 .
  7. ^ Николь Перлрот (2012-10-23). "Кибератака на саудовскую фирму беспокоит США" The New York Times . С. A1 . Проверено 24 октября 2012 .
  8. Элинор Миллс (30 августа 2012). «Вирус поражает компьютеры катарской газовой компании RasGas» . CNET . Проверено 1 сентября 2012 .
  9. ^ "Компьютерный вирус поражает вторую энергетическую фирму" . Новости BBC. 2012-08-31 . Проверено 1 сентября 2012 .
  10. ^ a b GReAT (16 августа 2012 г.). «Шамун Дворник - подражатели за работой» . Архивировано 20 августа 2012 года . Проверено 19 августа 2012 .
  11. ^ a b Секулерт (2012-08-16). «Шамун, двухэтапная целевая атака» . Секулерт . Архивировано 20 августа 2012 года . Проверено 19 августа 2012 .CS1 maint: неподходящий URL ( ссылка )
  12. ^ a b Ответ Symantec Security Response (30.11.2016). «Шамун: воскрес из мертвых и разрушительный, как всегда» . Symantec . Проверено 6 декабря 2016 .
  13. ^ Персонал Рейтер (2017-01-23). «Саудовская Аравия предупреждает о киберзащите, когда снова появляется Shamoon» . Рейтер . Проверено 26 января 2017 .
  14. ^ Стивен Jewkes, Джим Finkle (2018-12-12). «Сайпем говорит, что вариант Shamoon повредил сотни компьютеров» . Рейтер . Проверено 24 сентября 2020 .
  15. ^ Porche III, Айзек R. (2020). Кибервойна - Введение в конфликт информационной эпохи / . https://app.knovel.com/hotlink/pdf/id:kt012E8QL1/cyberwarfare-an-introduction/how-did-it-work : Artech House. п. 264. ISBN 978-1-5231-3277-5.CS1 maint: location ( ссылка )
  16. ^ Mackenzie, Хизер (2012-10-25). «Вредоносное ПО Shamoon и безопасность SCADA - каковы последствия?» .
  17. ^ Шон Галлахер (2016-12-01). «Вредоносная программа Shamoon Wiper возвращается с удвоенной силой» . Ars Technica . Проверено 3 июля 2017 .
  18. ^ Николь Перлрот (2012-08-24). «Среди цифровых крошек от кибератаки Saudi Aramco, изображение горящего флага США» . Биты . Нью-Йорк Таймс . Проверено 3 июля 2017 .
  19. ^ Режущий меч правосудия (2012-08-15). «Пасти:« Без названия » » . Проверено 3 ноября 2017 .
  20. ^ a b c Кристина Кубецкая (2015-08-03). «Как реализовать ИТ-безопасность после кибер-катастрофы» . Проверено 3 ноября 2017 .( Слайды PDF , видео на YouTube )
  21. ^ Рид, Томас (2013). Кибервойны не будет . Издательство Оксфордского университета. п. 63. ISBN 978-0-19-936546-3.
  22. ^ "Объятия Saudi Aramco, еще одно" . 2012-08-29 . Проверено 3 ноября 2017 .
  23. ^ Вольфганг Грюнер (2012-08-18). «Кибератака: вредоносное ПО Shamoon заражает, крадет, стирает MBR» . Оборудование Тома . Проверено 22 марта 2017 .
  24. ^ Евгений Касперский (2017-03-06). "StoneDrill: Мы обнаружили новую мощную" Shamoon-ish "вредоносную программу Wiper - и это серьезно" . Проверено 3 ноября 2017 .