Shamoon 的磁盘擦除功能被设定在黑客声称攻击沙特阿美公司时启动
上周发现的 Shamoon 网络破坏恶意软件中的计时器与一个黑客组织声称已破坏沙特阿拉伯国家石油公司沙特阿美网络数千台计算机的确切时间和日期相吻合。
一个名为“正义之剑”的组织在一份声明中表示:“我们利用被黑客入侵的多个国家的系统,侵入了阿美公司的系统,然后发送恶意病毒,摧毁了该公司联网的三万台计算机。”过去的帖子“销毁行动于2012年8月15日星期三上午11点08分(沙特阿拉伯当地时间)开始,并将在几个小时内完成。”
同一天,沙特阿美确认的沙特阿美公司称,其计算机网络的某些部分受到了计算机病毒的影响,该病毒感染了其员工使用的工作站。不过,沙特阿美公司当时表示,这一事件并未对石油生产业务造成任何影响。
该消息随后得到多家防病毒供应商的宣布,包括赛门铁克、迈克菲和卡巴斯基实验室,他们发现了一种名为 Shamoon 或 Disttrack 的新型破坏性恶意软件。
Shamoon 包含一个所谓的擦除模块,旨在覆盖某些目录和硬盘驱动器的主引导记录 (MBR)(磁盘的一个特殊区域,其中包含有关其分区的信息)中的文件。
鉴于 Shamoon 的功能与黑客组织对阿美攻击的描述有相似之处,有人猜测该恶意软件可能是造成沙特阿拉伯公司最近计算机问题的原因。
其他一些信息也指向了这个方向,比如赛门铁克的声明称,该恶意软件被用于针对能源行业一个未具名组织的定向攻击,或者在恶意软件中发现的路径字符串包含一个名为“ArabianGulf”的目录。
然而,迄今为止发现的最有说服力的证据是一个激活恶意软件文件和 MBR 擦除功能的计时器。
卡巴斯基实验室研究员 Dmitry Tarakanov 周二在一份声明中表示:“dropper 会确定指定日期是否到来。”博客文章。“硬编码日期是 2012 年 8 月 15 日 08:08 UTC。”
这与“正义之剑”黑客声称的对阿美公司计算机进行破坏的具体时间和日期相吻合——2012 年 8 月 15 日星期三,沙特阿拉伯当地时间上午 11:08(UTC+3:00)。
卡巴斯基实验室首席安全专家亚历山大·戈斯特夫周四通过电子邮件表示:“这只是表明这两起事件可能存在关联的一个迹象,而且前提是 Pastebin 上的帖子是真实的。目前还没有足够的确凿证据将这两起事件联系起来。”
其他细节也不一致。例如,防病毒软件供应商分析的 Shamoon 样本使用的内部网络 IP 地址并不存在于 Aramco 内部 IP 地址列表中。单独的 Pastebin 帖子8 月 17 日遭黑客攻击。
安全公司 Seculert 的首席技术官阿维夫·拉夫 (Aviv Raff) 周四通过电子邮件表示:“这可能意味着这些样本是针对其他实体的攻击的一部分。”“或者,这确实是针对阿美石油公司的攻击的一部分,但攻击者决定不在粘贴中分享这个 IP 地址。”
在另一篇 Pastebin 帖子拉夫称,根据周三发布的报告,这些攻击很可能是同一批黑客所为,他们威胁将于格林威治标准时间 8 月 25 日 21:00 再次攻击沙特阿美。
“正义之剑”黑客组织在最初的声明中表示,其之所以瞄准阿美公司,是因为它是沙特阿拉伯阿勒沙特政权的主要资金来源,该组织声称阿勒沙特政权支持叙利亚、巴林、也门、黎巴嫩和埃及等国政府的压迫行为。
然而,并非所有人都相信其所谓的反政府镇压议程。网络安全专家兼分析师杰弗里·卡尔周二在一份声明中表示:“我从沙特阿拉伯的多个消息来源听到猜测,针对沙特阿美网络的恶意软件攻击是伊朗的一项行动,目的是阻止沙特阿美增加石油产量,以弥补伊朗因美国和欧盟对其实施制裁而导致的石油供应减少。”博客文章。
“众所周知,伊朗过去曾利用其本土黑客群体在铸铅行动(Ashianeh 安全组织)期间发动国家支持的攻击,”卡尔说。“其他知名且技术高超的伊朗黑客包括伊朗网络军和 ComodoHacker。”
卡巴斯基的 Gostev 表示:“在分析 Shamoon 恶意软件的过程中,我们发现数据比较程序中存在错误。根据我们的经验,这种编程错误在复杂的网络武器中并不常见;但是,我们目前没有足够的确凿证据来确定 Shamoon 背后的威胁行为者或团体类型。”
今年 4 月,伊朗石油部电脑也遭到了具有数据清除功能的恶意软件攻击。该恶意软件从未被确认,但卡巴斯基实验室的研究人员上周根据已知的技术细节得出结论,Shamoon 很可能没有参与这些攻击。
然而,卡巴斯基研究人员当时表示,Shamoon 可能是伊朗使用的擦除恶意软件的模仿者,该恶意软件是由受该事件启发的黑客创建的。
