Зловреден софтуер Shamoon унищожава данни в италианската петролна и газова компания

  • Sep 06, 2023

Около една десета от ИТ инфраструктурата на Saipem е заразена със скандалния злонамерен софтуер Shamoon за изтриване на данни.

Сигурност

  • 8 навика на много сигурни дистанционни работници
  • Как да намерите и премахнете шпионски софтуер от телефона си
  • Най-добрите VPN услуги: Как се сравняват топ 5?
  • Как да разберете дали сте замесени в нарушение на сигурността на данните -- и какво да направите след това

Нов вариант на зловреден софтуер Shamoon беше открит в мрежата на италианския петролен и газов изпълнител Saipem, където той унищожи файлове на около десет процента от компютърния парк на компанията, научи ZDNet.

По-голямата част от засегнатите системи бяха разположени в Близкия изток, където Saipem извършва по-голямата част от бизнеса си, но инфекции бяха докладвани и в Индия, Италия и Шотландия.

Shamoon е един от най-опасните видове злонамерен софтуер, известен досега. За първи път беше разгърнат в два отделни инцидента, насочени към инфраструктурата на Saudi Aramco, най-големият производител на петрол в Саудитска Арабия, през

2012 и 2016. По време на тези инциденти зловреден софтуер изтри файлове и ги замени с пропагандни изображения (горящ флаг на САЩ, тяло на Алън Кърди). Атаката от 2012 г. беше особено опустошителна, като Shamoon изтри данни на над 30 000 компютъра, парализирайки дейността на компанията за седмици.

Тази нова атака на Shamoon също има връзка с Aramco. Saipem, италианска нефтена и газова компания, специализирана в сондажни услуги и проектиране на тръбопроводи, е един от основните чуждестранни изпълнители на Saudi Aramco.

Нова версия на Shamoon е качена на VirusTotal

Този последен инцидент на Shamoon се случи през изминалия уикенд на 8 и 9 декември. Компанията публично призна инцидента в понеделник в a прессъобщение, като го нарече кибератака, но без да предостави полезна информация.

В същия ден невиждана досега версия на зловреден софтуер Shamoon беше качена на VirusTotal от IP адрес, намиращ се в Италия, където Saipem главният щаб се намира, а други проби бяха качени на следващия ден от IP адрес в Индия, друг регион, за който Saipem също каза, че е засегнати.

След многократни искания за коментари и от двамата ZDNet и други публикации, Saipem признаха в имейл, че са били заразени с вариант Shamoon.

Също: Baker Hughes GE, Nvidia си сътрудничат за AI за нефтената и газовата индустрия

Но докато в минали инциденти с Shamoon нападателите са изтривали и заменяли файлове, каза източник в компанията ZDNet че този път нападателите избраха да криптират данните.

Изследовател по сигурността, който анализира файловете Shamoon, качени на VirusTotal, каза ZDNet че това е донякъде неправилно. Тази версия на Shamoon презаписва оригиналните файлове с данни за боклук. Тези данни за боклук може да изглеждат като криптирано съдържание за нетренирано око, но това са просто произволни битове информация, които не могат да бъдат възстановени с ключ за криптиране.

Но въпреки тази новина, инфекцията Shamoon изглежда не е нанесла щети на способността на Saipem да прави бизнес. Бяха засегнати само обикновени работни станции и лаптопи, свързани към бизнес мрежата на Saipem, ZDNet беше казано и вътрешните системи на компанията за управление на индустриално оборудване не бяха засегнати.

В момента Saipem се справя спокойно с атаката на Shamoon, като вече е възстановила повечето от своите засегнати системи, използвайки съществуващи резервни копия.

Входна точка на RDP?

Известно е също, че по-старите версии на злонамерения софтуер Shamoon идват твърдо кодирани със списък от идентификационни данни за SMB (Server Message Block), които злонамереният софтуер ще използва, за да се разпространи в мрежата сам.

Но в телефонен разговор с ZDNet във вторник, Brandon Levene, the Хроника изследовател по сигурността който пръв забеляза новият злонамерен софтуер Shamoon на VirusTotal, каза, че тази версия на Shamoon не идва с редовния списък с идентификационни данни за SMB, които използваше в миналото за саморазмножаване.

Това може също да обясни защо ИТ персоналът на Saipem в момента преглежда RDP (протокол за отдалечен работен плот) като основна входна точка за злонамерения софтуер в неговата мрежа.

„Можете просто да заредите Mimikatz върху кутията и да отидете да се завъртите по този начин“, каза Левен ZDNet в телефонен разговор относно техническата възможност RDP да бъде входната точка за хака и липсата на каквито и да било идентификационни данни за SMB, които обикновено се виждат в миналото.

„Те можеха да ги кодират [идентификационните данни за SMB] след това [след като ги получиха с Mimikatz],“ каза Левен, „това със сигурност би имало смисъл защо [SMB] функционалността не е необходима.“

„Освен това мрежовият компонент го нямаше. Няма конфигуриран команден и контролен сървър“, ни каза изследователят. „По-старите версии имаха конфигуриран команден и контролен сървър и те докладваха какви файлове са извадени или презаписани.“

Липсата на тези два компонента --SMB разпространител и мрежов компонент-- се вписва в сценария на ръчно внедряване, при който нападателят е присъствал и се е движил в мрежата на компанията, вместо зловредният софтуер да бъде доставен чрез фишинг имейл и оставен да се разпространява в собствен.

Тази теория се потвърждава и от факта, че тази нова версия на Shamoon също е конфигурирана с дата на задействане "7 декември 2017 г., 23:51." "Дата на задействане" на Shamoon е датата, след която започва разрушителното поведение на Shamoon започва.

Трябва да се прочете

  • Упс, твърде много масло в двигателя ви. Сега какво? (CNET)
  • Машинното обучение е на път да трансформира тези индустрии (TechRepublic)

„Датите на задействане“ често се използват за внедряване на злонамерен софтуер, за да се разпространи сам, за да се гарантира, че зловредният софтуер има време да зарази възможно най-много компютри във вътрешна мрежа.

Използвайки стара дата на задействане за този вариант, нападателите се увериха, че разрушителното поведение на Shamoon започва веднага щом изпълнят полезния товар на Shamoon.

Повторната поява на Shamoon е голяма работа за индустрията за ИТ сигурност. Без съмнение фирмите за киберсигурност ще публикуват повече доклади за този зловреден софтуер през следващите дни. Ще актуализираме тази статия с връзки към всеки бъдещ анализ на Shamoon, но също и прессъобщения на Saipem, ако е уместно.

АКТУАЛИЗАЦИЯ: McAfee, Аномалии, Palo Alto Networks, и Symantec имат всички публикувани доклади, описващи този нов щам Shamoon.

Киберпрестъпления и зловреден софтуер, прогнози за 2019 г

Свързани истории:

  • Корабите са заразени с ransomware, злонамерен USB софтуер, червеи
  • За четвърти пореден месец Microsoft коригира Windows zero-day, използван в дивата природа
  • Super Micro казва, че външен одит на сигурността не е открил доказателства за задни чипове
  • Google+ засегна втори бъг в API, засягащ 52,5 милиона потребители
  • HP предлага на хакери 10 000 долара, за да открият бъгове в нейните принтериTechRepublic
  • Facebook примамва изследователи с награда от $40 000 за уязвимости при превземане на акаунти
  • Хакерите на Rockstar, които ви защитават от лошитеCNET
  • WordPress запушва грешка, която доведе до индексиране на някои потребителски пароли от Google