卡巴斯基实验室宣布,今天早上的新研究这表明,导致沙特阿拉伯3.5万台电脑瘫痪的大规模“Shamoon”袭击与针对欧洲某个目标的新袭击有关联。
2012年发生的Shamoon袭击事件之后,今年早些时候发生了一系列针对海湾国家的相关袭击事件。人们普遍认为这些袭击是伊朗发动的。
新的恶意软件,被称为StoneDrill是,像Shamoon,雨刮器 - 它会破坏计算机上的所有数据。
莫斯科高级安全研究员胡安·安德烈斯·格雷罗-萨德说,还有其他一些共同之处卡巴斯基实验室澡。
他说:“它有足够多的相似之处,这使得我们可以用同样的方法来发现它。”
此外,还有里面的恶意软件波斯语指标。
不过,他说,这并不意味着伊朗实际上是这次新袭击的幕后主使。
“我们宁愿不走那么远,就归属一个要求,”他说。“要么Shamoon和StoneDrill是同一组,这是一个可能性,或他们是完全无关的,这也是一种可能,还是第三种可能性是,他们对准利益不同的利益集团。最后一个是一个,我们会拥护在这个时候“。
他指出,攻击者很容易在他们的恶意软件中添加线索,向研究人员指出一个特定的方向。
“这些被归案的文物很容易被操纵,而且经常被攻击者操纵,”他说。
他也拒绝透露是哪些国家或行业的新的欧洲受害者在,或提供任何其他信息了,只是说,没有电脑被在组织受伤。
“这是由我们的产品保护,所以没有什么损害,”他说。“我们还没有听到其在野外造成的损害的情况。”
石钻比沙文更先进,他说,有更好的闪避能力。此外,清除机制利用了用户的首选浏览器。
他说:“通过这种方式,攻击者可以通过直接清除受信任进程的数据,绕过一些安全措施。”
“雨刷是一种相对少见的恶意软件类型,”Guerroro-Sade补充道。
犯罪分子喜欢恶意软件,比如,要求受害者支付赎金,或者窃取信用卡和其他有价值的信息。而国家支持的黑客更喜欢不被发现的恶意软件,这样他们就可以尽可能长时间地监视目标。
与此同时,2012年最初的Shamoon恶意软件也在进化。例如,Shamoon 2.0现在支持勒索软件功能,这样攻击者可以随意从雨刷切换到勒索软件。
上月末,沙特官员在一个地区安全会议上说,伊朗黑客正在追踪沙特阿拉伯和其他海湾国家的一系列更广泛的目标,包括金融组织和政府机构。
其他研究Shamoon的研究人员证实,中东其他国家也受到了袭击,但他们还没有看到欧洲发生袭击的任何证据。
“Shamoon和Shamoon 2恶意软件变种背后的攻击者目前的目标是中东的石化公司以及沙特王国和海湾合作委员会国家的其他网络,”IBM X-Force IRIS的情报服务全球主管史蒂夫·斯通说。
但经过其他目标将会是直截了当,他说。
他说:“要做到这一点,除了设定目标外,几乎不需要付出什么努力。”最有可能的目标是在石油和天然气行业工作的商业组织,或者与沙特阿拉伯和其他海湾国家密切合作的组织。
他建议公司注意安装Shamoon的恶意软件dropper,该软件依赖于宏。
“我们会建议,要么禁用宏或过滤宏启用来自外部源进来的文件,”他说。
如果伊朗确实开始发动网络攻击对中东以外的目标,这将是一个重大的改变游戏规则,在伯灵顿,网络威胁情报分析师尼尔·丹尼斯说,马萨诸塞州为基础的Arbor Networks公司。
他说:“当他们与当地认为的对手对抗时,除了沙特阿拉伯以外,没有多少反击,因为没人在意。”“你得到了一些宣传、见解和研究人员的行动,但总的来说,国际社会没有引起太多的骚动。”
如果变化,但是,欧盟将不得不采取行动,他说 - 和美国,实力,以及。
据丹尼斯,这是很明确的,伊朗是原来Shamoon袭击的幕后黑手。
他说:“大多数研究人员都非常肯定,这是伊朗政府赞助的东西。”“我非常乐意加入。”
然而到目前为止,他还没有看到任何证据表明伊朗一直在寻找在欧洲的目标 - 并没有太多的理由要这么做。
他说:“特朗普已经表示,他想对伊朗采取更强硬的立场,但这真的不是什么大新闻。”欧洲也很安静。他说:“伊朗在过去8到9个月里过得很好。激怒那只熊似乎没那么聪明。在目前的政治形势下,这对我来说没有多大意义。”
这个故事,“研究人员链接中东袭击受害者的新欧洲”,由最初发表CSO 。