Shamoon

Shamoon (virus), poznan tudi kot W32.DistTrack je zlonamerna programska oprema, uporabljena v ciljanih napadih (ang. targeted attacks) zlasti na organizacije v energetskem sektorju. Virus je zaznalo podjetje Seculert, ki z raziskavami zlonamerne programske opreme pripomore k odkrivanju kršitev in groženj, ki jih tradicionalni ukrepi ne zaznajo. ^[1] Sistemi, ki so tarče virusa Shamoon uporabljajo operacijski sistem Microsoft Windows, po prvotni okužbi pa se virus širi med računalniki v omrežju. Po tem, ko je računalnik okužen, virus preleti datoteke v sistemu in jih pošlje napadalcu, nato pa jih izbriše. Po izvedbi napada virus spremeni zapis v zagonskem sektorju računalnika in s tem povzroči nadaljnjo neuporabnost okuženega računalnika. Virus je sestavljen iz treh glavnih delov:

Dropper je glavni del virusa, ki okuži sistem. Na računalniku ustvari storitev z imenom "NtsSrv," z namenom, da se ohrani na okuženem računalniku. Širi se po lokalnem omrežju, tako da se kopira na druge računalnike in spusti dodatne komponente na okužene računalnike. Shamoonov Dropper obstaja v 32-bitnih in 64-bitnih različicah. Če 32-bitni Dropper zazna 64-bitno arhitekturo, bo spustil 64-bitno različico. ^[2]
Wiper je brisalec, ki spusti tretjo komponento, gonilnik Eldos. S tem si omogoči možnost spreminjanja zapisa v glavnem zagonskem sektorju računalnika, brez uporabe Windows API. Wiper prav tako uporablja gonilnik Eldos, da v napadih prepiše trdi disk s fotografijami.
Reporter, ki pošilja kopije podatkov nazaj napadalcu. ^[3]

Žrtve virusa[uredi | uredi kodo]

Prvi Shamoon napad (2012)[uredi | uredi kodo]

Prvi napad virusa Shamoon se je zgodil 15. avgusta, na dan Islamskega največjega praznika (Lailat al Qadr). Večina uslužbencev podjetja Saudi Aramco je bila zaradi praznika doma, nekdo z odobrenim dostopom (z zlorabo uporabniških pravic) pa je ta čas vnesel virus v sistem podjetja. Virus se je razširil na 75% računalnikov v podjetju. Z računalnikov je virus izbrisal dokumente, načrte, e-pošto in druge datoteke ter jih nadomestil s sliko goreče ameriške zastave. Ameriški obveščevalci so za napad kriviili Iran, čeprav svoje izjave niso podprli z dokazi. Hekerska skupina, ki je prevzela odgovornost za napad, se je imenovala "Oster meč pravičnosti" (Cutting Sword of Justice). Domnevno naj bi jo sestavljali aktivisti, ki so razočarani nad politiko Saudove Arabije na Bližnjem vzhodu. Kljub temu omenjeno priznanje ni prepričalo nekaterih neodvisnih računalniških preiskovalcev. Po napadu so neznani napadalci objavili seznam IP naslovov vseh okuženih računalnikov v Saudi Aramco. Preiskovalci menijo, da je bil za napad odgovoren nekdo od zaposlenih, ali nekdo z dostopom do notranjega omrežja organizacije, saj je ta seznam moral pridobiti z računalnika znotraj omrežja podjetja in ga nato delil na svetovnem medmrežju. ^[4]

Drugi Shamoon napad (2016)[uredi | uredi kodo]

Leta 2016, 4 leta po prvem incidentu, se je napad ponovil. Tokrat je bil ponovno usmerjen na najmanj eno izmed organizacij v Saudovi Arabiji, med drugimi tudi na Agencijo za letalstvo Saudove Arabije. ^[5] Cilj domnevno posodobljenega virusa je bil načrtno usmerjen predvsem na uničenje podatkov na računalnikih podjetja. Podobno kot pri prejšnem napadu Shamoon virusa je bil tudi ta natančno časovno umeščen 17. novembra 2016 ob 20:45, ravno po koncu delovnega tedna v organizaciji, domnevno z namenom, da bi imela programska oprema dovolj časa, da se uspešno razširi. Cilj Shamoon-a je bil tudi pri tem napadu uničenje čim večjega števila datotek in uspešna razširitev na čim več sistemov. Širitev na druge sisteme v omrežju je tudi v tem primeru najverjetneje potekala s pomočjo ukradenih skrbniških pravic. Tako kot pri prvem napadu so napadalci prepisali trdi disk s fotografijami. Tokrat so uporabili fotografijo telesa Alana Kurdija, triletnega sirskega begunca, ki se je utopil v Sredozemskem morju. ^[6]

Način delovanja[uredi | uredi kodo]

Prvi del virusa - Dropper, okuži računalnik, nato Wiper spremeni računalnikov zapis v zagonskem sektorju in izbriše datoteke, ki jih preko Reporterja pošilja napadalcu. Zadnje faze napada potekajo popolnoma avtomatizirano in ni potrebe po dodatnih ukazih napadalca (kontrolnega centra). Virus Shamoon je imel v izvorni kodi shranjena možna gesla za računalnike, ki so bili kasneje tarče virusa, z namenom povečanja obsega okuženih sistemov. Kako so napadalci dobili dostop do teh podatkov ostaja nepojasnjeno. Virusi, katerih cilj je uničiti pomembne datoteke ali celotne sisteme, so relativno redki. Shamoon je primer uničujočega virusa, ki se hitro širi po omrežju in lahko za seboj pusti izjemno škodo. Za organizacije je nevaren predvsem v primeru okužbe sistemov, ki hranijo zaupne ali zelo občutljive podatke. ^[7] ^[8]

Posledice[uredi | uredi kodo]

Učinki virusa Shamoon se zaradi svoje destruktivne narave nekoliko razlikujejo od virusov, ki so bili v preteklosti uporabljeni v podobnih napadih. Po nekaterih ocenah naj bi bila ta škodljiva programska oprema ob svojem prihodu ena izmed najbolj uničujočih oziroma destruktivnih za svoj čas. Podobno kot Stuxnet, Duqu in Flame, je bil tudi Shamoon usmerjen proti podjetjem na Srednjemu vzhodu. Kljub podobnim izhodiščem se Shamoon razlikuje od ostalih virusov, saj ni zgolj onemogočil ali spremenil industrijskega procesa tako kot Stuxnet, niti ni prikrito ukradel poslovnih informacij do iste mere kot Flame in Duqu, temveč je namesto tega odstranil in prepisal podatke na trdih diskih posameznih delovnih postaj podjetja Saudi Aramco, ter s tem povzročil trajno neuporabnost več kot 30.000 ^[9] računalnikov v lasti podjetja. Takšni virusi so sicer manj pogosti, saj je glavni cilj kibernetskih kriminalcev navadno finančni dobiček, pri tem napadu pa je bila motivacija drugačna, posledice pa izjemno destruktivne. Ameriška obveščevalna služba je napad povezala z Iranom, ^[10] drugi strokovnjaki pa glede teh povezav ostajajo skeptični. ^[11]

Zaščita[uredi | uredi kodo]

S tem, ko se Shamoon širi po omrežju v organizaciji in uporablja ukradene podatke, nakazuje, da je vzrok za okužbo najverjetneje človeška napaka, sabotaža, ali uspešno izveden phishing napad, pred uporabo virusa. Znano je, da morajo napadalci za napad s Shamoonom najprej ukrasti skrbniške pravice ciljnega sistema. Temeljni ukrep, ki ga morajo povzeti organizacije za preprečevanje podobnih kršitev in napadov, so skrbno definirane uporabniške pravice, ki se uporabnikom dodeljujejo na podlagi politike "need-to-know" in strogo omejujejo za najpomembnejše dele informacijskih sistemov. ^[12]

Glej tudi[uredi | uredi kodo]

Viri[uredi | uredi kodo]

↑ Wikipedia-Seculert (angleščina), pridobljeno dne 21.1.2018.
↑ Symantec Security Response https://www.symantec.com/connect/blogs/shamoon-back-dead-and-destructive-ever, pridobljeno dne 29.1.2018.
↑ Symantec Security Response https://www.symantec.com/connect/blogs/shamoon-attacks, pridobljeno dne 20.1.2018.
↑ Perlroth N. http://www.nytimes.com/2012/10/24/business/global/cyberattack-on-saudi-oil-firm-disquiets-us.html, pridobljeno dne 19.1.2018.
↑ Chan S. https://www.nytimes.com/2016/12/01/world/middleeast/saudi-arabia-shamoon-attack.html, pridobljeno dne 29.1.2018.
↑ Falcone R. https://researchcenter.paloaltonetworks.com/2016/11/unit42-shamoon-2-return-disttrack-wiper/, pridobljeno dne 21.1.2018.
↑ Raiu C. https://securelist.com/from-shamoon-to-stonedrill/77725/, pridobljeno dne 19.1.2018.
↑ Symantec Security Response https://www.symantec.com/connect/blogs/shamoon-back-dead-and-destructive-ever, pridobljeno dne 20.1.2018.
↑ Nakashima E. https://www.washingtonpost.com/world/national-security/cyberattack-on-mideast-energy-firms-was-biggest-yet-panetta-says/2012/10/11/fe41a114-13db-11e2-bf18-a8a596df4bee_story.html?utm_term=.3d14e43637d4, pridobljeno dne 21.1.2018.
↑ Nakashima E. https://www.washingtonpost.com/world/national-security/iran-blamed-for-cyberattacks/2012/09/21/afbe2be4-0412-11e2-9b24-ff730c7f6312_story.html?utm_term=.7c895a9475a3, pridobljeno dne 21.1.2018.
↑ Mackenzie H. https://www.tofinosecurity.com/blog/shamoon-malware-and-scada-security-%E2%80%93-what-are-impacts, pridobljeno dne 20.1.2018.
↑ Silva J. https://www.beyondtrust.com/blog/the-shamoon-virus-back-preventable/ Arhivirano 2018-01-25 na Wayback Machine., pridobljeno dne 20.1.2018.

[1] Wikipedia-Seculert (angleščina), pridobljeno dne 21.1.2018.

[2] Symantec Security Response https://www.symantec.com/connect/blogs/shamoon-back-dead-and-destructive-ever, pridobljeno dne 29.1.2018.

[3] Symantec Security Response https://www.symantec.com/connect/blogs/shamoon-attacks, pridobljeno dne 20.1.2018.

[4] Perlroth N. http://www.nytimes.com/2012/10/24/business/global/cyberattack-on-saudi-oil-firm-disquiets-us.html, pridobljeno dne 19.1.2018.

[5] Chan S. https://www.nytimes.com/2016/12/01/world/middleeast/saudi-arabia-shamoon-attack.html, pridobljeno dne 29.1.2018.

[6] Falcone R. https://researchcenter.paloaltonetworks.com/2016/11/unit42-shamoon-2-return-disttrack-wiper/, pridobljeno dne 21.1.2018.

[7] Raiu C. https://securelist.com/from-shamoon-to-stonedrill/77725/, pridobljeno dne 19.1.2018.

[8] Symantec Security Response https://www.symantec.com/connect/blogs/shamoon-back-dead-and-destructive-ever, pridobljeno dne 20.1.2018.

[9] Nakashima E. https://www.washingtonpost.com/world/national-security/cyberattack-on-mideast-energy-firms-was-biggest-yet-panetta-says/2012/10/11/fe41a114-13db-11e2-bf18-a8a596df4bee_story.html?utm_term=.3d14e43637d4, pridobljeno dne 21.1.2018.

[10] Nakashima E. https://www.washingtonpost.com/world/national-security/iran-blamed-for-cyberattacks/2012/09/21/afbe2be4-0412-11e2-9b24-ff730c7f6312_story.html?utm_term=.7c895a9475a3, pridobljeno dne 21.1.2018.

[11] Mackenzie H. https://www.tofinosecurity.com/blog/shamoon-malware-and-scada-security-%E2%80%93-what-are-impacts, pridobljeno dne 20.1.2018.

[12] Silva J. https://www.beyondtrust.com/blog/the-shamoon-virus-back-preventable/ Arhivirano 2018-01-25 na Wayback Machine., pridobljeno dne 20.1.2018.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]