L'analisi di Kaspersky sul malware Shamoon ha concluso che si è trattato di un lavoro portato a termine da dilettanti di talento.
Il malware ha attaccato i dischi rigidi di 30.000 postazioni di lavoro di proprietà della compagnia petrolifera saudita Saudi Aramco. Dopo aver disabilitato proattivamente i canali di rete, il sistema è stato ripulito prima che si potessero arrecare danni gravi e Kaspersky Lab considera l'attacco nient'altro che un lavoro "veloce e sporco".
Il ricercatore del laboratorio Dmitry Tarakanov ha pubblicato un'analisi del malware dopo averne smontato il codice, e l'analisi colloca i codici sofisticati che includono Stuxnet e Flame in una categoria completamente diversa.
Sono stati commessi numerosi errori "stupidi", incluso l'utilizzo di un confronto errato delle date e la sostituzione delle lettere minuscole con lettere maiuscole: qualcosa che il ricercatore considera un segno di fretta che influisce sull'efficacia del attacco:
"Ma invece di una stringa di formato corretta, l'autore del malware ha utilizzato "%S%S%d.%s" con una "S" maiuscola. Ciò causa un errore della funzione "sprintf" e non viene creata alcuna stringa del percorso completo. La mancanza del percorso completo significa che nessun file viene eliminato. Nessun file, nessuna esecuzione. Pertanto, il malware Shamoon non ha la funzionalità per eseguire altri programmi."
L'inclusione dell'immagine della bandiera in fiamme di Wikipedia sotto il suo nome originale US_flag_burning.jpg era considerato un indizio "intenzionale" per il ritrovamento dell'immagine.
Tuttavia, questa è l'immagine utilizzata per sovraccaricare il record di avvio principale dei dischi rigidi l'ultima variante sovrascrive anche blocchi di dati da 192 KB con informazioni generate casualmente.
Riconosciuto come W32.Disttrack, il malware modifica anche le partizioni attive di una macchina infetta e cancella i file "prioritari" contrassegnati con download, documenti, immagini, musica, video e desktop. Una volta letta la data di "morte" della cancellazione da un file .pnf ed effettuato il check-out, la cancellazione viene attivata.
Tarakanov menziona anche un aspetto confuso di Shamoon: il fatto che sfrutta driver legittimi firmati del software RawDisk di Eldos. Inizialmente si pensava che fosse stato fatto per scopi di riscrittura, ma Windows 7 fornisce l'accesso utente standard senza la necessità di un driver firmato di terze parti. Tuttavia, Shamoon deve comunque funzionare con i privilegi di amministratore, quindi la codifica sembra inutile.
Il ricercatore ha concluso:
"Abbiamo altri indizi che le persone dietro la creazione del malware Shamoon non sono programmatori di alto profilo e la natura dei loro errori suggerisce che siano dilettanti, anche se abili dilettanti, poiché hanno creato un pezzo abbastanza praticabile di distruzione auto-replicante malware.
Sfortunatamente, vediamo che gli avvertimenti forniti riguardo al software dannoso che utilizza applicazioni legittime in modalità kernel non sono paranoia ma realtà. Gli sviluppatori di driver dovrebbero sempre tenere presente che i criminali informatici e altre persone che creano malware cercano modi nascosti per accedere al Ring0 di un sistema."
Il malware ha colpito per la prima volta Aramco il 15 agosto. I rapporti suggeriscono che un attacco simile alla società di gas naturale RasGas con sede in Qatar potrebbe essere attribuito a Shamoon, ma questo deve ancora essere confermato.