上周发现的 Shamoon 网络破坏恶意软件中的计时器与黑客组织声称禁用沙特阿拉伯国家石油公司沙特阿美公司网络的数千台计算机的确切时间和日期相匹配。
一个名为“正义之剑”的组织在 8 月 15 日的 Pastebin 帖子中表示:“我们利用多个国家的被黑系统渗透了沙特阿美公司的系统,然后发送了恶意病毒,摧毁了该公司联网的 3 万台计算机。破坏行动于 2012 年 8 月 15 日星期三上午 11 点 08 分(沙特阿拉伯当地时间)开始,将在几个小时内完成。”
同一天,沙特阿美公司证实,其计算机网络的某些部分受到计算机病毒的影响,该病毒感染了其员工使用的工作站。不过,阿美公司当时表示,该事件并未以任何方式影响石油生产运营。
此消息发布后,包括赛门铁克、迈克菲和卡巴斯基实验室在内的多家防病毒供应商宣布发现了一种名为 Shamoon 或 Disttrack 的新型破坏性恶意软件。
Shamoon 包含一个所谓的擦除器模块,旨在覆盖某些目录和硬盘驱动器的主引导记录 (MBR) 中的文件 - 磁盘的一个特殊区域,包含有关其分区的信息。
鉴于 Shamoon 的功能与黑客组织对沙特阿美公司攻击的描述之间的相似之处,有人猜测该恶意软件可能是这家沙特阿拉伯公司最近出现的计算机问题的原因。
其他一些信息也指向了这个方向,比如赛门铁克的声明称,该恶意软件被用于针对能源部门的一个未命名组织进行有针对性的攻击,或者在恶意软件中发现的路径字符串包含一个名为“ArabianGulf”的目录。
然而,迄今为止发现的最令人信服的证据包括激活恶意软件文件和 MBR 擦除功能的计时器。
卡巴斯基实验室研究员德米特里·塔拉卡诺夫 (Dmitry Tarakanov) 周二在一份报告中表示:“滴管会确定指定日期是否到来。”博客文章。 “硬编码日期是 2012 年 8 月 15 日 08:08 UTC。”
这与“正义之剑”黑客声称对阿美公司计算机开始所谓破坏的确切时间和日期相吻合——2012 年 8 月 15 日星期三,沙特阿拉伯当地时间上午 11:08(UTC+3:00)。
卡巴斯基实验室首席安全专家亚历山大·戈斯特夫(Alexander Gostev)周四通过电子邮件表示:“这只是这些事件可能相关的一个迹象,而且前提是 Pastebin 的帖子是合法的。” “目前还没有足够的具体证据将这两起事件联系起来。”
其他细节不相符。例如,防病毒供应商分析的 Shamoon 样本使用的内部网络 IP 地址并不存在于 Aramco 内部 IP 地址列表中。单独的 Pastebin 帖子8 月 17 日被黑客攻击。
安全公司 Seculert 首席技术官阿维夫·拉夫 (Aviv Raff) 周四通过电子邮件表示:“这可能意味着这些样本是针对不同实体的攻击的一部分。” “或者,这确实是针对阿美公司的攻击的一部分,但攻击者决定不在粘贴中共享此 IP 地址。”
还在另一篇 Pastebin 帖子拉夫表示,周三发布的消息可能是同一黑客所为,他们威胁要在 8 月 25 日格林尼治标准时间 21:00 再次攻击阿美石油公司。
在最初的声明中,“正义之剑”黑客组织表示,它针对沙特阿美石油公司是因为它是沙特阿拉伯沙特政权的主要财政来源,该组织声称该政权支持叙利亚、巴林、也门、黎巴嫩或埃及等国的政府镇压行动。
然而,并非所有人都相信其所谓的反政府压迫议程。网络安全专家兼分析师杰弗里·卡尔周二在一份报告中表示:“我从沙特阿拉伯多个消息来源听到猜测,针对沙特阿美公司网络的恶意软件攻击是伊朗的一次行动,目的是阻止沙特阿美公司增加石油产量,以弥补伊朗因美国和欧盟制裁而减少的石油交付量。”博客文章。
卡尔说:“众所周知,伊朗过去曾在铸铅行动(Ashianeh 安全组织)期间利用其本土黑客发起国家支持的攻击。” “其他知名且技术精湛的伊朗黑客包括伊朗网络军和 ComodoHacker。”
“在分析 Shamoon 恶意软件期间,我们注意到数据比较例程中存在错误,”卡巴斯基的 Gostev 说。 “根据我们的经验,此类编程错误在复杂的网络武器中并不常见;然而,我们目前没有足够的切实证据来确定 Shamoon 背后的威胁行为者或组织类型。”
早在四月份,伊朗石油部的计算机也遭到了具有数据擦除功能的恶意软件的攻击。该恶意软件从未被识别出来,但卡巴斯基实验室研究人员上周根据已知的技术细节得出结论,Shamoon 很可能没有参与这些攻击。
然而,卡巴斯基研究人员当时表示,Shamoon 可能是伊朗使用的擦除器恶意软件的模仿者,该恶意软件是由受该事件启发的黑客创建的。