Shamoon Zararlı Yazılımında Bulunan Öldürücü Zamanlayıcı, Suudi Arabistan Saldırılarına Olası Bağlantıyı Önerir

Geçen hafta keşfedilen Shamoon siber sabotaj kötü amaçlı yazılımında bulunan bir zamanlayıcı, bir hacktivist grubun binlerce bilgisayarı engellediğini iddia ettiği tarih ve saatle eşleşiyor Suudi Arabistan'ın ulusal petrol şirketi Suudi Aramco'nun ağından.

"Aramco şirketini, çeşitli ülkelerdeki saldırıya uğramış sistemleri kullanarak geçirdik ve bu şirkete bağlı otuz bin bilgisayarı yok etmek için zararlı bir virüs yolladık." "Bir Adalet Kılıcı" olarak adlandırılan bir grup 15 Ağustos'ta bir Pastebin yazısında şunları söyledi: “Yıkım operasyonları 15 Ağustos 2012 Çarşamba günü saat 11: 08'de (Suudi Arabistan'da yerel saat) başladı. e birkaç saat içinde tamamlandı. ”

Aynı gün, Saudi Aramco, bilgisayar ağındaki bazı sektörlerin, çalışanlarının kullandığı işyerlerine bulaşan bir bilgisayar virüsü tarafından etkilendiğini doğruladı. Ancak, olay petrol üretim operasyonlarını hiçbir şekilde etkilemedi, Aramco o zaman dedi.

[Daha fazla okuma: Windows PC'nizden kötü amaçlı yazılım nasıl kaldırılır]

Haberlere birkaç virüsten koruma yazılımı sağlayıcısı tarafından yapılan duyurular geldi. Symantec, McAfee ve Kaspersky Lab dahil olmak üzere, Shamoon veya Disttrack adı verilen yeni bir zararlı yazılım parçasının keşfiyle ilgili.

Shamoon, belirli dizinlerden ve sabit disk sürücüsünün Master Boot Record (MBR) dosyalarının üzerine yazmak için tasarlanmış bir silici modülü içerir. ) - disk bölümleri hakkında bilgi içeren özel bir bölge.

Shamoon'un işlevselliği ile Hacker saldırganının Aramco saldırısının açıklaması arasındaki benzerlikler göz önüne alındığında, kötü amaçlı yazılımın Suudi Arabistanlı şirketten son zamanlarda sorumlu olabileceği yönünde spekülasyonlar var. bilgisayar problemleri.

Symantec'in kötü amaçlı yazılımın unna karşı hedefe yönelik bir saldırıda kullanıldığı gibi diğer bazı bilgi parçaları da bu yönde işaret etti. enerji sektöründen med örgütü veya kötü amaçlı yazılımın içinde bulunan bir yol dizesi "ArabianGulf" adlı bir dizini içeriyordu.

Bununla birlikte, şimdiye kadar bulunan en ikna edici kanıt parçası, kötü amaçlı yazılımın dosyasını ve MBR silme işlevini etkinleştiren bir zamanlayıcıdan oluşuyor. .

Kaspersky Lab araştırmacısı Dmitry Tarakanov, Salı günü blog yazısında yaptığı açıklamada, "Damlalık, belirli bir tarihin gelip gelmediğini belirler." "Hardcoded tarih 15 Ağustos 2012 08:08 UTC."

Bu, "Adalet Kesme Kılıcı" korsanlarının Aramco bilgisayarlarının sözde yıkımının başladığını iddia ettikleri tarih ve saat ile aynı tarihe denk geliyor - 15 Ağustos Çarşamba , 2012, saat 11: 08'de Suudi Arabistan'da yerel saat (UTC + 3: 00).

"Bu olayların ilişkili olabileceğinin sadece bir göstergesidir ve bu sadece Pastebin'in yayınlanması meşru ise," Kaspersky Laboratuvar şefi güvenlik uzmanı Alexander Gostev Perşembe günü e-posta yoluyla söyledi. “Şu anda iki olayı birleştirmek için yeterli somut kanıt yok.”

Diğer detaylar uyuşmuyor. Örneğin, virüsten koruma yazılımı satıcıları tarafından analiz edilen Shamoon örnekleri tarafından kullanılan bir iç ağ IP adresi, ayrı bir Pastebin yayınında yayımlanan Aramco iç IP adresleri listesinde, 17 Ağustos'ta bilgisayar korsanları tarafından bulunmadı.

"Bu, Bu örnekler farklı bir kuruluşa yapılan saldırının bir parçası, "Güvenlik şirketi Seculert 'in baş teknoloji sorumlusu Aviv Raff e-posta yoluyla Perşembe günü söyledi. "Veya, bu aslında Aramco'ya yapılan saldırının bir parçası, ancak saldırganlar bu IP adresini paylaşmamaya karar verdiler."

Çarşamba günü, muhtemelen aynı hackerlar tarafından yayınlanan bir başka Pastebin yazısında Aramco'ya saldırmakla tehdit ediyorlar 25 Ağustos günü saat 21: 00'de ikinci kez Raff, dedi.

Orijinal ilanında, "Adalet Kesen Kılıç" hacktivist grubu, Aramco’yu hedef aldığını çünkü Suudi Arabistan’ın Al Suud’un ana finans kaynağı olduğunu söyledi. Grubun Suriye, Bahreyn, Yemen, Lübnan veya Mısır gibi ülkelerde baskıcı hükümet eylemlerini desteklediği iddia edilen rejim.

Ancak, herkesin hükümet karşıtı baskı karşıtı gündemiyle ikna olmadı. “Suudi Arabistan'da birden fazla kaynaktan yapılan spekülasyonu Suudi Aramco'nun ağına karşı yapılan kötü amaçlı saldırının Suudi Armaco'nun petrol üretimini artırması için İran'ın petrol üretimindeki azalmayı telafi etmek için İran'ın petrol üretimini azaltması için bir İran operasyonu olduğunu duydum. ABD ve Avrupa Birliği, "siber güvenlik uzmanı ve analist Jeffrey Carr bir blog yazısında Salı günü dedi.

" İran'ın yerli hacker halkını Cast Cast (Ashianeh Security Operasyonu) sırasında geçmişte devlet destekli saldırıları yürütmek için kullandığı biliniyor Grup), "Carr dedi. "Diğer iyi bilinen ve oldukça yetenekli İranlı hackerlar İranlı Siber Ordu ve ComodoHacker'ı içeriyor."

"Shamoon kötü amaçlı yazılım analizimiz sırasında veri karşılaştırma rutininde bir hata olduğunu fark ettik," dedi Kaspersky'nin Gostev. "Tecrübemize göre, bu tür programlama hataları, karmaşık siber silahlarda yaygın olarak bulunmamakla birlikte, şu anda ne tür tehdit aktörlerinin veya gruplarının Shamoon'ın arkasında olduğunu belirlemek için yeterli somut kanıtımız yok."

Nisan ayında, bilgisayarlar İran petrol bakanlığından da, veri silme işlevi olan bir parça kötü amaçlı yazılım kullanılarak saldırıya uğradı. Kötü amaçlı yazılımların hiçbir zaman tespit edilmediği, ancak Kaspersky Lab araştırmacıları geçen hafta, bilinen teknik detaylara dayanarak, Shamoon'ın bu saldırılara katılmadığı sonucuna vardı.

Ancak, Shamoon, İran'da kullanılan silecek kötü amaçlı yazılımın bir taklitçisi olabilir. Kaspersky araştırmacıları o olaydan esinlenerek hackerlar tarafından yaratıldı, o zamanlar dedi.