Jump to content

Шамун

Об апостоле Иисуса см. Шамун аль-Сафа . Чтобы узнать об актере, см. Шамун Аббаси .

Шамун [а] ( персидский : شمعون ), также известный как W32.DistTrack, [1] — это модульный компьютерный вирус , обнаруженный в 2012 году и нацеленный на последние на тот момент 32-битные ядра NT версии Microsoft Windows . Вирус отличался разрушительным характером атаки и стоимостью восстановления. Shamoon может распространяться с зараженной машины на другие компьютеры в сети . После заражения системы вирус продолжает составлять список файлов из определенных мест в системе, загружать их злоумышленнику и стирать. Наконец, вирус перезаписывает основную загрузочную запись зараженного компьютера, делая ее непригодной для использования. [2] [3]

Вирус использовался для кибервойны. [4] в Саудовской Аравии против национальных нефтяных компаний, включая Saudi Aramco в Катаре и RasGas . [5] [2] [6] Группа под названием «Cutting Sword of Justice» взяла на себя ответственность за атаку на 30 000 рабочих станций Saudi Aramco, в результате чего компания потратила больше недели на восстановление своих услуг. [7] Позже группа сообщила, что в атаке использовался вирус Шамун. [8] Компьютерные системы RasGas также были отключены от сети неопознанным компьютерным вирусом, причем некоторые эксперты по безопасности приписывают ущерб Шамуну. [9] Позже это было описано как «крупнейший взлом в истории». [3]

Symantec , Лаборатория Касперского , [10] и Seculert объявили об обнаружении вредоносного ПО 16 августа 2012 года. [2] [11] «Лаборатория Касперского» и Seculert обнаружили сходство между Shamoon и вредоносным ПО Flame . [10] [11] Шамун неожиданно вернулся в ноябре 2016 года. [12] январь 2017 г., [13] и декабрь 2018 г. [14]

Дизайн [ править ]

Shamoon был разработан для стирания и перезаписи данных жесткого диска с поврежденным образом и сообщения адресов зараженных компьютеров обратно на компьютер внутри сети компании. [15] Вредоносное ПО содержало логическую бомбу, которая активировала основную загрузочную запись и очистку данных в 11:08   по местному времени в среду, 15 августа. Атака произошла во время месяца Рамадан в 2012 году. Судя по всему, атака была рассчитана по времени. после того, как большая часть персонала ушла в отпуск, это снижает вероятность обнаружения до того, как будет нанесен максимальный ущерб, что затрудняет восстановление.

Вирус состоял из трех компонентов: Dropper, Wiper и Reporter. Дроппер, источник заражения, создает службу с именем «NtsSrv», которая позволяет ей оставаться на зараженном компьютере. Dropper был построен в 32-битной и 64-битной версиях. Если 32-битный дроппер обнаруживает 64-битную архитектуру , он удаляет 64-битную версию. Этот компонент помещает Wiper и Reporter на зараженный компьютер и запускается самостоятельно. Он распространяется по локальной сети, копируя себя в общие сетевые ресурсы и на другие компьютеры. [16]

Компонент Wiper использует драйвер RawDisk, разработанный Eldos, для обеспечения прямого пользовательском режиме доступа к жесткому диску в без использования API Windows . Он определяет расположение всех файлов на зараженных компьютерах и стирает их. Он отправляет злоумышленнику информацию об уничтоженных файлах, а затем перезаписывает стертые файлы поврежденными данными, чтобы их невозможно было восстановить. Компонент использовал части изображения. В атаке 2012 года они использовали изображение горящего флага США; при нападении 2016 года оно использовало фотографию тела Алана Курди . [17] [18] [12]

Перед атакой [ править ]

Вредоносное ПО было уникальным: оно использовалось против правительства Саудовской Аравии, причинив ущерб государственной национальной нефтяной компании Saudi Aramco. Нападавшие опубликовали сообщение на Pastebin за несколько часов до взрыва логической бомбы, ссылаясь на «притеснение» и правительство Саудовской Аравии в качестве причины нападения. [19] По словам Криса Кубеки , советника по безопасности Saudi Aramco после нападения и руководителя группы безопасности Aramco Overseas, нападение было хорошо спланировано. [3] Оно было инициировано фишинговой атакой по электронной почте, которую открыл неназванный сотрудник Saudi Aramco Information Technology, что позволило группе получить доступ к сети компании примерно в середине 2012 года. [20]

Мы, от имени хакерской группы, выступающей против угнетения, которой надоели преступления и зверства, происходящие в различных странах мира, особенно в соседних странах, таких как Сирия, Бахрейн, Йемен, Ливан, Египет и..., и а также двойного подхода мирового сообщества к этим народам, желающих ударить этой акцией по главным сторонникам этих катастроф. Одним из главных сторонников этой катастрофы [ sic ] является коррумпированный режим Аль-Сауда, который спонсирует такие репрессивные меры, используя нефтяные ресурсы мусульман. Аль-Сауд является соучастником в совершении этих преступлений. Его [ sic ] руки заражены кровью невинных детей и людей. На первом этапе иск был возбужден против компании Aramco, как крупнейшего финансового источника режима Аль-Сауда. На этом этапе мы проникли в систему компании Aramco, используя взломанные системы в нескольких странах, а затем отправили вредоносный вирус, чтобы уничтожить тридцать тысяч компьютеров, подключенных к сети этой компании. Операции по уничтожению начались в среду, 15 августа 2012 г., в 11:08 (по местному времени Саудовской Аравии) и завершатся в течение нескольких часов. [21]

Пэсти объявляет о нападении на Saudi Aramco группы Cutting Sword of Justice

Кубецка рассказал в выступлении Black Hat USA, что Saudi Aramco вложила большую часть своего бюджета на безопасность в сеть управления АСУ ТП , в результате чего бизнес-сеть оказалась под угрозой крупного инцидента. [20]

Во время нападения [ править ]

15 августа в 11:08 по местному времени началось перезапись более 30 000 систем на базе Windows. Symantec обнаружила, что некоторые из пострадавших систем отображали изображение американского флага, когда их данные удалялись и перезаписывались. [2] Saudi Aramco объявила об атаке на своей странице в Facebook и снова отключилась до тех пор, пока 25 августа 2012 года не было опубликовано заявление компании. В заявлении ложно сообщалось, что нормальная деятельность была возобновлена ​​25 августа 2012 года. Однако ближневосточный журналист опубликовал фотографии, сделанные 1 сентября 2012 года, показывающие километры бензовозов не могут быть загружены из-за взломанных бизнес-систем, которые все еще неработоспособны.

Автоцистерны не могут быть загружены бензином из-за атак Шамуна

«Saudi Aramco восстановила все свои основные внутренние сетевые службы, которые были затронуты 15 августа 2012 года вредоносным вирусом, возникшим из внешних источников и затронувшим около 30 000 рабочих станций. С тех пор рабочие станции были очищены и восстановлены в рабочем состоянии. В качестве меры предосторожности, удаленный доступ в Интернет к онлайн-ресурсам был ограничен. Сотрудники Saudi Aramco вернулись на работу 25 августа 2012 года, после праздников Курбан-байрам, и возобновили нормальный бизнес. Компания подтвердила, что ее основные корпоративные системы по разведке и добыче углеводородов не были затронуты, поскольку они работают в изолированной сети. Производственные установки также работали в полную силу, поскольку эти системы управления также изолированы».

29 августа 2012 года те же злоумышленники, что стояли за Shamoon, опубликовали еще одну публикацию на PasteBin.com, насмехаясь над Saudi Aramco, приводя доказательства того, что она все еще сохраняет доступ к сети компании. В сообщении содержались имя пользователя и пароль для безопасности и сетевого оборудования, а также новый пароль генерального директора Aramco Халида Аль-Фалиха. [22] Злоумышленники также сослались на часть вредоносного ПО Shamoon в качестве еще одного доказательства в своем сообщении:

«Пн, 29 августа, добрый день, SHN/AMOO/lib/pr/~/reversed

Мы думаем, что это забавно и странно, что от Saudi Aramco не поступает никаких новостей относительно субботнего вечера. ну, мы ожидаем этого, но чтобы прояснить ситуацию и доказать, что мы выполнили обещанное, просто прочитайте следующие ценные факты о системах компании:

- Интернет-маршрутизаторов три, и их информация следующая:

Базовый маршрутизатор: пароль SA-AR-CO-1# (telnet): c1sc0p@ss-ar-cr-tl / (включить): c1sc0p@ss-ar-cr-bl
Резервный маршрутизатор: пароль SA-AR-CO-3# (telnet): c1sc0p@ss-ar-bk-tl / (включить): c1sc0p@ss-ar-bk-bl
Средний маршрутизатор: пароль SA-AR-CO-2# (telnet): c1sc0p@ss-ar-st-tl / (включить): c1sc0p@ss-ar-st-bl

- Халид А. Аль-Фалих, генеральный директор, отправил следующую информацию по электронной почте:

[электронная почта защищена] пароль: kal@ram@sa1960

- используемые средства безопасности:

Cisco ASA # McAfee # FireEye:
пароли по умолчанию для всех!!!!!!!!!!

Мы думаем и искренне верим, что наша миссия выполнена и нам больше не нужно терять времени. Думаю, пришло время SA закричать и обнародовать что-нибудь. однако молчание не является решением.

Надеюсь, вам это понравилось. и дождитесь нашей последней пасты, касающейся SHN/AMOO/lib/pr/~

разгневанные интернет-любители #SH"

По словам Кубеки, для восстановления деятельности Saudi Aramco использовала свой большой частный парк самолетов и свободные средства для приобретения большей части жестких дисков в мире, что привело к росту цен. Новые жесткие диски требовались как можно быстрее, чтобы спекуляции не повлияли на цены на нефть. К 1 сентября 2012 года ресурсы бензина для населения Саудовской Аравии истощались, спустя 17 дней после теракта 15 августа. На RasGas также повлиял другой вариант, нанеся им аналогичный вред. [20]

Неясно, почему злоумышленник может быть заинтересован в фактическом уничтожении зараженного компьютера. «Лаборатория Касперского» намекнула, что вредоносное ПО размером 900 КБ может быть связано с Wiper , который использовался при кибератаке на Иран в апреле. После двухдневного анализа компания ошибочно пришла к выводу, что вредоносное ПО, скорее всего, исходит от « scriptkiddies », вдохновленных Wiper. [23] Позже в своем блоге Евгений Касперский разъяснил, квалифицирует ли Shamoon использование Shamoon как кибервойну. [24]

См. также [ править ]

Примечания [ править ]

  1. ^ «Shamoon» — это часть строки каталога, найденной в компоненте Wiper вируса.

Ссылки [ править ]

  1. ^ «Объединенный отчет о безопасности (JSAR-12-241-01B): вредоносное ПО Shamoon/DistTrack (обновление B)» . Министерства внутренней безопасности США ICS-CERT . 18 апреля 2017 г. Проверено 3 ноября 2017 г.
  2. Перейти обратно: Перейти обратно: а б с д Ответ Symantec Security Response (16 августа 2012 г.). «Атака Шамуна» . Симантек . Проверено 19 августа 2012 г.
  3. Перейти обратно: Перейти обратно: а б с Хосе Пальери (05 августа 2015 г.). «Внутренняя история крупнейшего взлома в истории» . Проверено 19 августа 2012 г.
  4. ^ Иэн Томпсон (17 августа 2012 г.). «Вирус эксгибициониста Шамуна поражает ПК» . Регистр . Проверено 3 ноября 2017 г.
  5. ^ Тим Сэндл (18 августа 2012 г.). «Вирус Shamoon атакует саудовскую нефтяную компанию» . Цифровой журнал . Проверено 19 августа 2012 г.
  6. ^ «Вирус Шамун нацелен на инфраструктуру энергетического сектора» . Новости Би-би-си . 17 августа 2012 г. Проверено 19 августа 2012 г.
  7. ^ Николь Перлрот (23 октября 2012 г.). «Кибератака на саудовскую фирму беспокоит США» The New York Times . стр. А1 . Проверено 24 октября 2012 г.
  8. ^ Элинор Миллс (30 августа 2012 г.). «Вирус выводит из строя компьютеры катарской газовой компании RasGas» . CNET . Проверено 1 сентября 2012 г.
  9. ^ «Компьютерный вирус поразил вторую энергетическую компанию» . Новости Би-би-си. 31 августа 2012 г. Проверено 1 сентября 2012 г.
  10. Перейти обратно: Перейти обратно: а б ВЕЛИКИЙ (16 августа 2012 г.). «Шамун Дворник — подражатели за работой» . Архивировано из оригинала 20 августа 2012 г. Проверено 19 августа 2012 г.
  11. Перейти обратно: Перейти обратно: а б Секулерт (16 августа 2012 г.). «Шамун, двухэтапная целенаправленная атака» . Секулерт . Архивировано из оригинала 20 августа 2012 г. Проверено 19 августа 2012 г. {{cite web}}: CS1 maint: неподходящий URL ( ссылка )
  12. Перейти обратно: Перейти обратно: а б Ответ Symantec Security Response (30 ноября 2016 г.). «Шамун: Воскресший из мертвых и разрушительный, как всегда» . Симантек . Проверено 6 декабря 2016 г.
  13. ^ «Саудовская Аравия предупреждает о киберзащите, поскольку Шамун вновь появляется» . Рейтер . 23 января 2017 г. Проверено 26 января 2017 г.
  14. ^ Стивен Джукс, Джим Финкл (12 декабря 2018 г.). «Saipem сообщает, что вариант Shamoon вывел из строя сотни компьютеров» . Рейтер . Проверено 24 сентября 2020 г.
  15. ^ Порче III, Исаак Р. (2020). Кибервойна – введение в конфликты информационного века/ . Артех Хаус. п. 264. ИСБН  978-1-5231-3277-5 .
  16. ^ Маккензи, Хизер (25 октября 2012 г.). «Вредоносное ПО Shamoon и безопасность SCADA – каковы последствия?» .
  17. ^ Шон Галлахер (01 декабря 2016 г.). «Вредоносная программа Shamoon Wiper возвращается с удвоенной силой» . Арс Техника . Проверено 3 июля 2017 г.
  18. ^ Николь Перлрот (24 августа 2012 г.). «Среди цифровых обломков кибератаки Saudi Aramco изображение горящего флага США» . Биты . Нью-Йорк Таймс . Проверено 3 июля 2017 г.
  19. ^ Режущий меч справедливости (15 августа 2012 г.). «Пасти: 'Без названия' » . Проверено 3 ноября 2017 г.
  20. Перейти обратно: Перейти обратно: а б с Кристина Кубецка (3 августа 2015 г.). «Как внедрить ИТ-безопасность после кибер-кризиса» . Ютуб . Проверено 3 ноября 2017 г. ( слайды в формате PDF , видео на YouTube )
  21. ^ Рид, Томас (2013). Кибервойна не состоится . Издательство Оксфордского университета. п. 63. ИСБН  978-0-19-936546-3 .
  22. ^ «Обнимаю Saudi Aramco, еще одно» . 29 августа 2012 г. Проверено 3 ноября 2017 г.
  23. ^ Вольфганг Грюнер (18 августа 2012 г.). «Кибератака: вредоносная программа Shamoon заражает, крадет и стирает MBR» . Аппаратное обеспечение Тома . Проверено 22 марта 2017 г.
  24. ^ Евгений Касперский (06.03.2017). «StoneDrill: мы нашли новую мощную вредоносную программу Wiper типа Shamoon – и это серьезно» . Проверено 3 ноября 2017 г.
Retrieved from "https://en.wikipedia.org/w/index.php?title=Shamoon&oldid=1221434057"
Arc.Ask3.Ru: конец переведенного документа.
Arc.Ask3.Ru
Номер скриншота №: 91d8924da06474db40a70842fcfcf19c__1714419780
URL1:https://arc.ask3.ru/arc/aa/91/9c/91d8924da06474db40a70842fcfcf19c.html
Заголовок, (Title) документа по адресу, URL1:
Shamoon - Wikipedia
Данный printscreen веб страницы (снимок веб страницы, скриншот веб страницы), визуально-программная копия документа расположенного по адресу URL1 и сохраненная в файл, имеет: квалифицированную, усовершенствованную (подтверждены: метки времени, валидность сертификата), открепленную ЭЦП (приложена к данному файлу), что может быть использовано для подтверждения содержания и факта существования документа в этот момент времени. Права на данный скриншот принадлежат администрации Ask3.ru, использование в качестве доказательства только с письменного разрешения правообладателя скриншота. Администрация Ask3.ru не несет ответственности за информацию размещенную на данном скриншоте. Права на прочие зарегистрированные элементы любого права, изображенные на снимках принадлежат их владельцам. Качество перевода предоставляется как есть. Любые претензии, иски не могут быть предъявлены. Если вы не согласны с любым пунктом перечисленным выше, вы не можете использовать данный сайт и информация размещенную на нем (сайте/странице), немедленно покиньте данный сайт. В случае нарушения любого пункта перечисленного выше, штраф 55! (Пятьдесят пять факториал, Денежную единицу (имеющую самостоятельную стоимость) можете выбрать самостоятельно, выплаичвается товарами в течение 7 дней с момента нарушения.)