计时器Shamoon中发现网络的破坏恶意软件发现上周比赛的日期和时间当一个黑客组织宣称已经禁用成千上万的电脑从沙特阿拉伯国家石油公司的网络,沙特阿拉伯国家石油公司。
“我们沙特阿美公司的渗透系统通过使用窃听系统在多个国家,然后发送恶意病毒摧毁三万台电脑网络在这个公司里,“一群叫做“切割的正义之剑”说Pastebin的帖子8月15日。“破坏操作周三开始,8月15日,2012年在沙特阿拉伯(当地时间)上午11时08分全面开市,将在几个小时内完成。”
背景:恶意的Windows恶意软件“Shamoon”删除电脑内容,防止重启
同一天,沙特阿拉伯国家石油公司确认一些行业的计算机网络被计算机病毒感染影响工作站供员工使用。然而,这一事件并没有以任何方式影响石油生产操作,沙特阿美说。
消息传出之后,宣布从几个杀毒厂商包括赛门铁克,McAfee和卡巴斯基实验室发现一块新的破坏性的恶意软件称为Shamoon或Disttrack。
Shamoon包含一个从某些所谓的雨刷模块旨在覆盖文件目录和硬盘的主引导记录(MBR)——一种特殊地区的包含信息的磁盘分区。
鉴于Shamoon相似性的功能和沙特阿美的黑客团队的描述攻击,有人猜测,恶意软件可能负责沙特阿拉伯公司最近的计算机问题。
其他信息还指出在这个方向上,像赛门铁克的声明,恶意软件是用于有针对性的攻击一位不愿透露姓名的组织从能源部门或路径字符串内发现恶意软件包括一个目录称为“ArabianGulf。”
然而,迄今为止最具说服力的证据发现由一个计时器,激活了恶意软件的文件和MBR擦功能。
“滴管指定日期已经确定,“卡巴斯基实验室研究员德米特里Tarakanov周二说博客。“硬编码的日期是2012年8月15日08:08 UTC。”
这正值确切的日期和时间时,“削减的正义之剑”黑客声称所谓的破坏沙特阿美电脑开始,星期三,2012年8月15日,在沙特阿拉伯当地时间上午还剩11分08秒(UTC + 3)。
“这只是一个迹象表明可能相关的事件,这是只有在Pastebin发帖是合法的,“卡巴斯基实验室首席安全专家亚历山大Gostev提供的信息通过电子邮件周四表示。”这个时候没有足够具体的证据来连接两个事件”。
其他细节不匹配。例如,一个内部网络使用的IP地址Shamoon样本分析杀毒厂商并没有出现在阿拉伯国家石油公司内部IP地址的列表中发布单独Pastebin的帖子由黑客8月17日。
“这可能意味着那些样品是攻击的一部分在一个不同的实体,”特拉维夫拉夫,安全公司首席技术官Seculert,周四说,通过电子邮件。“或者,这确实是攻击沙特阿美的一部分,但袭击者决定不分享这个IP地址贴。”
还在另一个Pastebin的帖子周三公布,可能同样的黑客,他们威胁要袭击沙特阿美第二次8月25日格林尼治时间21:00拉夫说。
在最初的声明,“削减的正义之剑”黑客组织说它有针对性的阿拉伯国家石油公司,因为它的主要经济来源是沙特阿拉伯的沙特政权,该组织声称支持压迫叙利亚等国的政府行为,巴林,也门,黎巴嫩或埃及。
然而,并不是每个人都认为的所谓anti-government-oppression议程。“我听说猜测从多个源在沙特阿拉伯的恶意软件攻击沙特阿拉伯国家石油公司的网络是一个伊朗的行动阻止沙特Armaco增加其石油产量,以弥补伊朗石油供应减少由于制裁美国和欧盟,“网络安全专家和分析师杰弗里·卡尔周二说博客。
“伊朗已经知道使用黑客土著人口运行期间发起的袭击在过去“铸铅行动”(Ashianeh安全组),”卡尔说。“其他知名和高度熟练的伊朗黑客包括伊朗网军和ComodoHacker。”
“在我们Shamoon恶意软件的分析,我们发现一个错误的数据比较常规,“卡巴斯基的Gostev提供的信息。“根据我们的经验,这种编程错误并不常见的复杂的网络武器;然而,我们目前没有足够的有形证据来确定什么类型的威胁Shamoon背后的演员或组织。”
早在4月,电脑从伊朗石油部还与data-wiping功能使用的恶意软件攻击。恶意软件从来没有被确认,但上周卡巴斯基实验室的研究人员得出结论,基于已知的技术细节,Shamoon很可能没有参与这些攻击。
然而,Shamoon可能是模仿在伊朗使用的雨刷恶意软件是由黑客受这一事件的启发,卡巴斯基的研究人员说。