Shamoon - Shamoon

İsa'nın elçisi için bkz. Shamoon al-Safa. Oyuncu için bkz. Shamoon Abbasi.
Suudi Aramco'ya Shamoon 1 saldırı zaman çizelgesi

Shamoon,[a] (Farsça: شمعون) W32.DistTrack olarak da bilinir,[1] modüler bilgisayar virüsü 2012'de keşfedilen ve o zamanki 32 biti hedefleyen NT çekirdeği versiyonları Microsoft Windows. Virüs, saldırının yıkıcı doğası ve kurtarma maliyeti nedeniyle dikkate değerdi. Shamoon, virüslü bir makineden ağdaki diğer bilgisayarlar. Bir sisteme virüs bulaştığında, virüs sistemdeki belirli konumlardan dosyaların bir listesini derlemeye, bunları saldırgana yüklemeye ve silmeye devam eder. Sonunda virüs, ana önyükleme kaydı virüslü bilgisayarın kullanılamaz hale getirilmesi.[2][3]

Virüs, siber savaş[4] Suudi Arabistan dahil ulusal petrol şirketlerine karşı Suudi Aramco ve Katar'ın RasGas.[5][2][6] "Adaletin Kılıcını Kesmek" adlı bir grup, 35.000 kişiye yapılan saldırıyı üstlendi Suudi Aramco iş istasyonları, şirketin hizmetlerini geri yüklemek için bir haftadan fazla zaman harcamasına neden oluyor.[7] Grup daha sonra saldırıda Shamoon virüsünün kullanıldığını belirtti.[8] Bilgisayar sistemleri RasGas ayrıca kimliği belirsiz bir bilgisayar virüsü tarafından çevrim dışı bırakıldı ve bazı güvenlik uzmanları hasarı Shamoon'a bağladı.[9] Daha sonra "tarihteki en büyük hack" olarak tanımlandı.[3]

Symantec, Kaspersky Lab,[10] ve Seculert 16 Ağustos 2012'de kötü amaçlı yazılımın keşfedildiğini duyurdu.[2][11] Kaspersky Lab ve Seculert, Shamoon ve the Alev kötü amaçlı yazılım.[10][11] Shamoon, Kasım 2016'da sürpriz bir geri dönüş yaptı.[12] Ocak 2017,[13] ve Aralık 2018.[14]

Tasarım

Shamoon, bozuk bir görüntüyle sabit disk verilerini silmek ve üzerine yazmak ve virüslü bilgisayarların adreslerini şirket ağı içindeki bilgisayara geri bildirmek için tasarlandı. kötü amaçlı yazılım ana önyükleme kaydını ve veri silmeyi tetikleyen bir mantık bombası vardı yük zaman: 11:08 yerel saatle 15 Ağustos Çarşamba günü. Saldırı, 2012 yılının Ramazan ayında meydana geldi. Saldırının, personelin çoğu tatile gittikten sonra, maksimum hasara neden olmadan önce keşif şansını azaltarak meydana geldiği anlaşılıyor. kurtarma.

Virüs, Dropper, Wiper ve Reporter olmak üzere üç bileşenden oluşuyordu. Bulaşmanın kaynağı olan Dropper, virüs bulaşan bilgisayarda kalıcı kalmasını sağlayan 'NtsSrv' adında bir hizmet oluşturur. Dropper, 32 bit ve 64 bit sürümlerde oluşturulmuştur. 32 bit damlalık 64 bit algılarsa mimari 64 bit sürümünü düşürür. Bu bileşen, Wiper ve Reporter'ı virüslü bilgisayara bırakır ve kendisini çalıştırır. Kendini ağ paylaşımlarına ve diğer bilgisayarlara kopyalayarak yerel bir ağa yayılır.[15]

Silecek bileşeni, doğrudan elde etmek için Eldos tarafından üretilen RawDisk olarak bilinen bir sürücüyü kullanır. Kullanıcı modu kullanmadan bir sabit sürücüye erişim Windows API'leri. Virüs bulaşmış bilgisayarlardaki tüm dosyaların konumlarını belirler ve siler. İmha edilen dosyalar hakkında saldırgana bilgi gönderir ve ardından silinen dosyaların üzerine bozuk veriler yazar, böylece kurtarılamazlar. Bileşen, bir görüntünün bölümlerini kullandı. 2012 saldırısında, yanan bir ABD bayrağının görüntüsünü kullandı; 2016 saldırısında şu kişinin vücudunun bir fotoğrafını kullandı Alan Kurdi.[16][17][12]

Saldırıdan önce

Kötü amaçlı yazılım benzersizdi ve devlete ait ulusal petrol şirketi Saudi Aramco'ya zarar vererek Suudi hükümetini hedef almak için kullanıldı. Saldırganlar bir pasta Silecek mantığı bombasının meydana gelmesinden saatler önce PasteBin.com'da, baskının ve Al-Suud rejiminin saldırının arkasındaki sebep olduğunu gösteriyor.[18] Göre Chris Kubecka Saldırının ardından Suudi Aramco'nun güvenlik danışmanı ve Aramco Denizaşırı'nın güvenlik grup lideri olan saldırı iyi bir şekilde sahnelendi.[3] İsimsiz bir Saudi Aramco Bilgi Teknolojisi çalışanının açtığı ve 2012 ortalarında grubun şirketin ağına girmesini sağlayan bir kimlik avı e-posta saldırısıyla başlatıldı.[19]

Suriye, Bahreyn, Yemen, Lübnan, Mısır ve ... gibi komşu ülkeler başta olmak üzere dünyanın çeşitli ülkelerinde meydana gelen suç ve zulümlerden bıkmış bir baskı karşıtı hacker grubu adına bizler ve Dünya toplumunun bu uluslara ikili yaklaşımı da, bu eylemle bu felaketlerin ana destekçilerini vurmak istiyor. Bu felaketlerin ana destekçilerinden biri, Müslümanların petrol kaynaklarını kullanarak bu tür baskıcı önlemlere sponsor olan Al-Suud yozlaşmış rejimidir. Al-Suud, bu suçların işlenmesinde ortaktır. Ellerine masum çocukların ve insanların kanı bulaşmıştır. İlk adımda, El Suud rejiminin en büyük mali kaynağı olan Aramco şirketine karşı bir eylem gerçekleştirildi. Bu adımda, birkaç ülkede saldırıya uğramış sistemleri kullanarak Aramco şirketinin bir sistemine sızdık ve ardından bu şirkette ağa bağlı otuz bin bilgisayarı yok etmek için kötü amaçlı bir virüs gönderdik. İmha operasyonları 15 Ağustos 2012 Çarşamba günü 11: 08'de (Suudi Arabistan yerel saatiyle) başladı ve birkaç saat içinde tamamlanacak.[20]

Pastie, Cutting Sword of Justice adlı bir grubun Suudi Aramco'ya saldırdığını duyurdu

Kubecka, Black Hat USA konuşmasında, Saudi Aramco'nun güvenlik bütçesinin çoğunu ICS kontrol ağı, iş ağını büyük bir olay için risk altında bırakır.[19]

Saldırı sırasında

15 Ağustos yerel saatle 11: 08'de 30.000'in üzerinde Windows tabanlı sistemin üzerine yazılmaya başlandı. Symantec, etkilenen sistemlerden bazılarının verileri silinirken ve üzerine yazılırken bir Amerikan bayrağı görüntüsü gösterdiğini tespit etti.[2] Saudi Aramco saldırıyı Facebook sayfasında duyurdu ve 25 Ağustos 2012'de bir şirket açıklaması yayınlanana kadar tekrar çevrimdışı oldu. Açıklamada yanlış bir şekilde normal işlerin 25 Ağustos 2012'de sürdürüldüğü bildirildi. Ancak bir Orta Doğulu gazeteci 1 Eylül 2012'de çekilen fotoğrafları sızdırdı. Destekli iş sistemleri nedeniyle kilometrelerce benzinli kamyon yüklenemiyor hala çalışmıyor.

Shamoon saldırıları nedeniyle tanker kamyonlara benzin yüklenemedi

"Saudi Aramco, 15 Ağustos 2012'de dış kaynaklardan kaynaklanan ve yaklaşık 30.000 iş istasyonunu etkileyen kötü amaçlı bir virüs tarafından etkilenen tüm ana dahili ağ hizmetlerini geri yükledi. İş istasyonları o zamandan beri temizlendi ve hizmete açıldı. Önlem olarak, Çevrimiçi kaynaklara uzaktan İnternet erişimi kısıtlandı. Saudi Aramco çalışanları, Kurban Bayramı tatillerinin ardından 25 Ağustos 2012'de işe geri döndü ve normal işlerine devam etti. Şirket, birincil hidrokarbon arama ve üretim sistemlerinin, izole ağ üzerinde çalıştıkları için etkilenmediğini doğruladı Sistemler. Bu kontrol sistemleri de izole edildiğinden, üretim tesisleri de tamamen işlevseldi. "

29 Ağustos 2012'de, Shamoon'un arkasındaki aynı saldırganlar, PasteBin.com'da başka bir pastie yayınladılar ve Suudi Aramco'yu şirket ağına erişimlerini koruduklarının kanıtıyla alay ettiler. Gönderide, güvenlik ve ağ ekipmanına ilişkin kullanıcı adı ve şifre ile Aramco CEO'su Khalid Al-Falih'in yeni şifresi yer alıyordu.[21] Saldırganlar ayrıca Shamoon kötü amaçlı yazılımının bir kısmına pastie'de başka bir kanıt olarak başvurdu:

"29 Ağustos Pazartesi, iyi günler, SHN / AMOO / lib / pr / ~ / tersine çevrildi

Suudi Aramco'dan Cumartesi gecesi ile ilgili hiçbir haber gelmemesinin komik ve tuhaf olduğunu düşünüyoruz. Pekala, bunu bekliyoruz, ancak sadece daha açık hale getirmek ve söz verdiğimiz işi bitirdiğimizi kanıtlamak için, şirketin sistemleri hakkında aşağıdaki gerçekleri - değerli olanları - okuyun:

- İnternet servis yönlendiricileri üçtür ve bilgileri aşağıdaki gibidir:

Çekirdek yönlendirici: SA-AR-CO-1 # şifre (telnet): c1sc0p @ ss-ar-cr-tl / (etkinleştir): c1sc0p @ ss-ar-cr-bl
Yedekleme yönlendiricisi: SA-AR-CO-3 # şifre (telnet): c1sc0p @ ss-ar-bk-tl / (etkin): c1sc0p @ ss-ar-bk-bl
Orta yönlendirici: SA-AR-CO-2 # şifre (telnet): c1sc0p @ ss-ar-st-tl / (etkinleştir): c1sc0p @ ss-ar-st-bl

- Khalid A. Al-Falih, CEO, aşağıdaki e-posta bilgileri:

[email protected] şifre: kal @ ram @ sa1960

- kullanılan güvenlik aletleri:

Cisco ASA # McAfee # FireEye:
herkes için varsayılan şifreler !!!!!!!!!!

Misyonumuzun tamamlandığını ve israf etmek için daha fazla zamana ihtiyacımız olmadığını düşünüyor ve gerçekten inanıyoruz. Sanırım SA'nın bağırıp halka bir şeyler yayınlama zamanı geldi. ancak sessizlik çözüm değildir.

Umarım beğenmişsindir. ve SHN / AMOO / lib / pr / ~ ile ilgili son yapıştırmamızı bekleyin

kızgın internet severler #SH "

Kubecka'ya göre, operasyonları eski haline getirmek için, Saudi Aramco büyük özel uçak filosunu ve mevcut fonlarını dünyanın sabit disklerinin çoğunu satın almak için kullandı ve fiyatı yükseltti. Yeni sabit disklere olabildiğince çabuk ihtiyaç duyuldu, böylece petrol fiyatları spekülasyondan etkilenmedi. 1 Eylül 2012 itibariyle, 15 Ağustos saldırısından 17 gün sonra Suudi Arabistan halkı için benzin kaynakları azalıyordu. RasGas aynı şekilde onları sakat bırakan farklı bir varyanttan da etkilendi.[19]

Saldırganın, virüs bulaşmış bilgisayarı gerçekten yok etmekle neden ilgilendiği belli değil. Kaspersky Labs 900 KB olduğunu ima etti kötü amaçlı yazılım ile ilgili olabilir Silecek, Nisan ayında İran'a yapılan siber saldırıda kullanıldı. 2 günlük bir analizin ardından, şirket yanlışlıkla kötü amaçlı yazılımın kaynaklanma olasılığının daha yüksek olduğu sonucuna vardı "Senaryo çocukları "kimden esinlendi Silecek.[22] Daha sonra bir blog yazısında, Eugene Kaspersky Shamoon'un siber savaş olarak kategorize edilmesinin kullanımına açıklık getirdi.[23]

Ayrıca bakınız

Notlar

  1. ^ "Shamoon", virüsün Silici bileşeninde bulunan bir dizin dizesinin parçasıdır.

Referanslar

  1. ^ "Ortak Güvenlik Farkındalık Raporu (JSAR-12-241-01B): 'Shamoon / DistTrack' Kötü Amaçlı Yazılım (B Güncellemesi)". Amerika Birleşik Devletleri İç Güvenlik Bakanlığı ICS-CERT. 2017-04-18. Alındı 2017-11-03.
  2. ^ a b c d Symantec Güvenlik Yanıtı (2012-08-16). "Shamoon Saldırıları". Symantec. Alındı 2012-08-19.
  3. ^ a b c Jose Pagliery (2015-08-05). "Tarihin en büyük saldırısının iç hikayesi". Alındı 2012-08-19.
  4. ^ Iain Thompson (2012-08-17). "Teşhirci Shamoon virüsü PC'lerin kafasını uçuruyor". Kayıt. Alındı 2017-11-03.
  5. ^ Tim Sandle (2012-08-18). "Shamoon virüsü Suudi petrol şirketine saldırdı". Dijital Dergi. Alındı 2012-08-19.
  6. ^ "Shamoon virüsü enerji sektörü altyapısını hedefliyor". BBC haberleri. 2012-08-17. Alındı 2012-08-19.
  7. ^ Nicole Perlroth (2012-10-23). "Suudi Firmasına Siber Saldırı ABD'yi Rahatsız Ediyor" New York Times. s. A1. Alındı 2012-10-24.
  8. ^ Elinor Mills (2012-08-30). "Virüs, Katarlı gaz şirketi RasGas'taki bilgisayarları yok ediyor". CNET. Alındı 2012-09-01.
  9. ^ "Bilgisayar virüsü ikinci enerji firmasını vurdu". BBC haberleri. 2012-08-31. Alındı 2012-09-01.
  10. ^ a b GReAT (2012-08-16). "Shamoon the Wiper - Copycats at Work". Arşivlendi 2012-08-20 tarihinde orjinalinden. Alındı 2012-08-19.
  11. ^ a b Seculert (2012-08-16). "Shamoon, iki aşamalı hedefli saldırı". Seculert. 2012-08-20 tarihinde kaynağından arşivlendi. Alındı 2012-08-19.CS1 bakımlı: uygun olmayan url (bağlantı)
  12. ^ a b Symantec Güvenlik Yanıtı (2016-11-30). "Shamoon: Ölümden döndü ve her zamanki gibi yıkıcı". Symantec. Alındı 2016-12-06.
  13. ^ Reuters Personeli (2017/01/23). "Shamoon yeniden ortaya çıktıkça Suudi Arabistan siber savunma konusunda uyardı". Reuters. Alındı 2017-01-26.
  14. ^ Stephen Jewkes, Jim Finkle (2018-12-12). "Saipem, Shamoon varyantının yüzlerce bilgisayarı sakat bıraktığını söylüyor". Reuters. Alındı 2020-09-24.
  15. ^ Mackenzie, Heather (2012-10-25). "Shamoon Kötü Amaçlı Yazılım ve SCADA Güvenliği - Etkileri Nelerdir?".
  16. ^ Sean Gallagher (2016-12-01). "Shamoon silici kötü amaçlı yazılımı intikamla geri dönüyor". Ars Technica. Alındı 2017-07-03.
  17. ^ Nicole Perlroth (2012-08-24). "Saudi Aramco Siber Saldırısından Dijital Kırıntılar Arasında, Yanan ABD Bayrağı Görüntüsü". Bit sayısı. New York Times. Alındı 2017-07-03.
  18. ^ Adaletin Kesilmesi (2012-08-15). "Pastie:" Adsız'". Alındı 2017-11-03.
  19. ^ a b c Christina Kubecka (2015-08-03). "Bir Siber Çöküşten Sonra BT Güvenliği Nasıl Uygulanır". Alındı 2017-11-03. (PDF slaytları, Youtube videosu )
  20. ^ Kurtulmak, Thomas (2013). Siber Savaş Gerçekleşmeyecek. Oxford University Press. s. 63. ISBN  978-0-19-936546-3.
  21. ^ "Suudi Aramco kucaklaşması, bir tane daha". 2012-08-29. Alındı 2017-11-03.
  22. ^ Wolfgang Gruener (2012-08-18). "Siber Saldırı: Shamoon Kötü Amaçlı Yazılım Bulaşıyor, Çalıyor, MBR'yi Siliyor". Tom'un Donanımı. Alındı 2017-03-22.
  23. ^ Eugene Kaspersky (2017-03-06). "StoneDrill: Yeni Güçlü" Sahte "Silecek Kötü Amaçlı Yazılım Bulduk - Ve Ciddi". Alındı 2017-11-03.