Компьютерные системы нефтяной компании Saudi Aramco подверглись атаке 15 августа 2012 года; его подробности не разглашаются.
Сообщалось, что компания вернулась к нормальной работе через 10 дней.
Министр обороны США Леон Панетта 11 октября 2012 г.
выступает на конференции по кибербезопасности в Нью-Йорке.
сообщил что компьютеры Saudi Aramco и катарской газодобывающей компании RasGas подверглись атаке вредоносного ПО Shamoon. Некоторые высокопоставленные чиновники США утверждают, что Шамун имеет иранское происхождение, но прямых доказательств этого у них нет. Правительство Ирана, в свою очередь, настаивает на проведении официального международного расследования нападения на Шамуна.
Ахаван Бахабади, секретарь Национального центра, занимающегося иранским киберпространством, подтвердил, что, по их мнению, подобные заявления американцев связаны с политическими мотивами, точнее с предстоящими выборами президента США.
Хакерская группировка The Cutting Sword of Justice взяла на себя ответственность за атаку на Saudi Aramco, объяснив политические причины своих действий и обвинив Саудовскую Аравию в организации беспорядков в Сирии и Бахрейне.
По непроверенной информации, размещенной предположительно инициаторами атаки на сайте.
Pastedbin.com В компании Saudi Aramco было заражено более 30 000 компьютеров.
Образцы шамуна детально проанализировали сотрудники «Лаборатории Касперского» статья вышел 21 августа.
«Эксперты пришли к выводу, что атака носила целевой характер, образцы не были зафиксированы в KSN (Kaspersky Security Network).
Вредоносное ПО содержит несколько модулей.
Внутри одного из них есть строка: 'C:\Shamoon\ArabianGulf\wiper\release\wiper.pdb'.
Основной функционал программы – деструктивный.
Многие интернет-СМИ публикуют неверную информацию о том, что Shamoon собирает информацию и отправляет ее на удаленный сервер.
Шамун может принимать 2 команды из командного центра: 1. запустить скачанный с сервера файл; 2. установить время «уничтожения» файлов.
Адрес командного центра — это либо символическое имя «дом», либо IP-адрес 10.1.252.19. Примечательно, что это так называемый внутренний адрес, принадлежащий специальному диапазону 10.0.0.0/8, не используемый в Интернете.
Полный URL-адрес для подключения к командному центру выглядит так: элементы управления> /ajax_modal/modal/data.aspЭmydata=<_iteration> &uid= &состояние= .
Это может указывать на то, что сервер следует развернуть в службе Internet Information Service. По ошибке автора не работает функция запуска скачанного файла, так как при сохранении неправильно формируется имя локального файла.
Вредоносная программа периодически проверяет, наступила ли определенная дата.
Дату можно указать через командный центр, в противном случае используется дата, указанная в коде: 15 августа 2012 г.
08:08 UTC. Следует отметить, что автор также допустил ошибку при реализации функции проверки времени, которая, однако, не мешает намеченным действиям - уничтожению информации в данный момент времени.
Список файлов, подлежащих уничтожению, заранее формируется на основе заданных шаблонов, например, поиск файлов осуществляется в профилях пользователей или файлах с расширениями ini или sys. В результате в каталоге %WINDIR%\System32 создаются два файла «f1.inf» и «f2.inf».
Они содержат полные пути к файлам, которые заполнены мусором, что делает невозможным восстановление.
Мусор представляет собой фрагмент (192 КБ) JPEG-изображения горящего звездно-полосатого флага США, который легко найти через Google. Судя по всему, это было задумано автором и может указывать на некую «политическую подоплеку» нападения.
MBR стирается последним.
Для этого требуется прямой доступ к диску, который заблокирован в Windows Vista и выше.
Для этого Shamoon использует легально подписанный драйвер из программного обеспечения Eldos RawDisk, этот подход был описан в статья на сайте Insidepro.com. Для работы драйверу требуется ключ авторизации.
Ключ, используемый в Shamoon, является пробным, поэтому при каждом вызове функций драйвера текущее системное время переносится на случайную дату с 1 по 20 августа 2012 года.
Данные ошибки и особенности реализации позволяют сделать вывод, что автор Shamoon не является высококвалифицированным программистом.
Для самостоятельного распространения Shamoon пытается скопировать себя в административные ресурсы, созданные ОС Windows по умолчанию — ADMIN$, C$, D$, E$.
В случае успеха задание создается с помощью функции NetScheduleJobAdd, что позволяет последующий автозапуск на удаленном компьютере.
Естественно, для этих действий необходимы права администратора домена.
Список IP-адресов берется либо из параметров командной строки, либо формируется из текущего IP-адреса с указанием значения последнего октета в диапазоне 1-254 (перебор).
В сентябре 2012 года Symantec опубликовала информация по поводу открытия новой версии Шамуна, изменения носят косметический характер.
Так, некоторые строки заменены, например, списки файлов называются data.dat и s_data.dat вместо f1.inf и f2.inf. Метод удаленного запуска через NetScheduleJobAdd заменен на использование psexec.exe, мусор при записи генерируется случайным образом вместо использования части образа, согласно информация Компания Макафи.
Можно предположить следующую версию: злоумышленники получили контроль над одним из контроллеров домена внутри периметра сети организации, изучили топологию сети и получили список IP-адресов (в Shamoon предусмотрена передача списка IP-адресов через параметры командной строки).
Скрипт контроля времени уничтожения был размещен на одном из внутренних серверов, а его адрес (10.1.252.19) был закодирован внутри вредоносной программы.
Наличие прав администратора домена позволило решить проблему массового распространения вредоносного ПО через административные ресурсы.
Достоверных данных о том, что Saudi Aramco поразила Shamoon и было заражено более 30 000 компьютеров (например, адреса 10.1.252.19 нет в списках, размещенных на сайте Pastedbin.com), но это объясняет, как Shamoon смог заразить такое большое количество компьютеры без каких-либо средств эксплуатации уязвимостей сетевых служб.
Кроме того, не было необходимости программировать функцию сбора информации, так как это можно было сделать стандартными средствами ОС с соответствующими правами.
Итак, с одной стороны, это APT-атака, с другой — уровень ее подготовки недостаточно высок.
Теги: #Шамун #США #Иран #кибервойна #кибервойна #apt #информационная безопасность
-
Психотерапия
19 Oct, 24 -
Рынок Электронных Книг Растёт: Версия Pvi
19 Oct, 24 -
Требуется Фрагментированный Php-Программист!
19 Oct, 24 -
Семейный Бюджет В Google Docs V3
19 Oct, 24 -
Зачем Нам Браузерная Ос?
19 Oct, 24 -
Онлайн Свидание
19 Oct, 24
