Shamoon

From FdIwiki ELP
Jump to: navigation, search

Shamoon, también conocido como W32.DisTrack, es un virus informático modular descubierto por Seculert en 2012, destinado a las últimas versiones NT kernel de 32 bits de Microsoft Windows. Se ha observado que el virus tiene un comportamiento que difiere de otros ataques de malware, debido a la naturaleza destructiva y el costo del ataque y la recuperación. El secretario de Defensa de los EEUU., Leon Panetta, calificó el ataque de "Cyber ​​Pearl Harbor" conocido años más tarde como el "mayor truco de la historia" y destinado a la guerra cibernética. Shamoon puede propagarse desde una máquina infectada a otras computadoras en la red. Una vez que un sistema está infectado, el virus continúa compilando una lista de archivos de ubicaciones específicas en el sistema, los carga al atacante y los borra. Finalmente, el virus sobrescribe el registro de inicio maestro de la computadora infectada, por lo que es inutilizable. El virus ha sido utilizado para la guerra cibernética contra las compañías petroleras nacionales de Saudi Aramco de Arabia Saudita y RasGas de Qatar. Su descubrimiento fue anunciado el 16 de agosto de 2012 por Symantec, Kaspersky Lab, y Seculert. Similitudes han sido destacadas por Kaspersky Lab y Seculert entre Shamoon y el malware Flame .

Antes del ataque

El malware era único, utilizado para apuntar al gobierno saudita al causar la destrucción de la compañía petrolera estatal Saudi Aramco. Los atacantes publicaron un pastie en PasteBin.com horas antes de que ocurriera la bomba lógica limpiadora, citando la opresión y el régimen de Al-Saud como una razón detrás del ataque.

El ataque estuvo bien organizado, según Chris Kubecka, un ex asesor de seguridad de Saudi Aramco después del ataque y líder del grupo de seguridad de Aramco Overseas. Era un empleado no identificado de Saudi Aramco en el equipo de Tecnología de la Información que abrió un correo electrónico de phishing malicioso, lo que permitió la entrada inicial en la red informática a mediados de 2012.

Kubecka también detalla en su charla sobre Black Hat USA Saudi Aramco colocó la mayor parte de su presupuesto de seguridad en la red de control de ICS, dejando la red comercial en riesgo de un incidente importante. "Cuando se da cuenta de que la mayor parte de su presupuesto de seguridad se gastó en ICS, TI obtiene Pwnd".

Anuncio de atacante: “ penetramos en un sistema de la compañía Aramco utilizando los sistemas pirateados en varios países y luego enviamos un virus malicioso para destruir treinta mil computadoras conectadas en esta compañía. Las operaciones de destrucción comenzaron el miércoles, 15 de agosto de 2012 a las 11:08 a.m. (hora local en Arabia Saudita) y se completarán en unas pocas horas ".

Durante el ataque

El 15 de agosto de 2012 a las 11:08 a.m. hora local, se empezaron a escribir más de 30,000 sistemas basados ​​en Windows. Symantec descubrió que algunos de los sistemas afectados tenían la imagen de una bandera estadounidense, mientras que los datos se borraron y sobrescribieron . Saudi Aramco anunció el ataque en su página de Facebook y se desconectó nuevamente hasta que se emitió una declaración de la compañía el 25 de agosto de 2012. La declaración informaba falsamente que los negocios normales se reanudaron el 25 de agosto de 2012. Sin embargo, un periodista de Medio Oriente filtró fotografías tomadas el 1 de septiembre de 2012 mostrando kilómetros de camiones de gasolina que no pueden ser cargados debido a sistemas comerciales respaldados que aún no funcionan.

"Saudi Aramco ha restaurado todos sus principales servicios internos de red que se vieron afectados el 15 de agosto de 2012 por un virus malicioso que se originó a partir de fuentes externas y afectó a unas 30.000 estaciones de trabajo. Las estaciones de trabajo se limpiaron y restauraron para prestar servicio. Se restringió el acceso remoto a Internet a los recursos en línea. Los empleados de Saudi Aramco volvieron al trabajo el 25 de agosto de 2012, tras las vacaciones de Eid, reanudando sus actividades normales. La empresa confirmó que sus principales sistemas empresariales de exploración y producción de hidrocarburos no se vieron afectados ya que operan en redes aisladas sistemas. Las plantas de producción también fueron completamente operativas ya que estos sistemas de control también están aislados ".

El 29 de agosto de 2012, los mismos atacantes detrás de Shamoon publicaron otro pastie en PasteBin.com, burlándose de Saudi Aramco con la prueba de que aún conservaban el acceso a la red de la compañía. La publicación contenía el nombre de usuario y la contraseña de seguridad y equipo de red y la nueva contraseña para el CEO Khalid Al-Falih. Los atacantes también hicieron referencia a una porción del malware Shamoon como una prueba más en el pastie.

Según Kubecka, para restablecer las operaciones, Saudi Aramco utilizó su gran flota privada de aviones y fondos disponibles para comprar gran parte de los discos duros del mundo, lo que elevó el precio. Se necesitaban discos duros lo más rápido posible para que los precios del petróleo no se vieran afectados por la especulación. Para el 1 de septiembre de 2012, los recursos de gasolina estaban disminuyendo para el público de Arabia Saudita 17 días después del ataque del 15 de agosto. RasGas también se vio afectado por una variante diferente, paralizándolos de manera similar.

Se ha especulado sobre por qué el atacante puede tener interés en destruir la PC infectada. Kaspersky Labs insinuó que el malware de 900 KB podría estar relacionado con Wiper, que fue utilizado en un ataque cibernético contra Irán en abril. Después de un análisis de 2 días, la empresa concluyó erróneamente que es más probable que el malware provenga de "scriptkiddies" que se inspiraron en Wiper . Más tarde en una publicación de blog, Eugene Kaspersky aclaró el uso de la categorización de Shamoon como guerra cibernética.

El virus ha golpeado a empresas dentro de los sectores del petróleo y la energía. Un grupo llamado "Cutting Sword of Justice" se atribuyó la responsabilidad de un ataque a 35,000 estaciones de trabajo de Saudi Aramco , lo que provocó que la compañía pasara una semana restaurando sus servicios. El grupo más tarde indicó que el virus Shamoon se había utilizado en el ataque. Los sistemas informáticos en RasGas también fueron desconectados por un virus informático no identificado, y algunos expertos en seguridad atribuyeron el daño a Shamoon.

Shamoon regresó sorpresivamente en noviembre de 2016 de acuerdo con Symantec, y estuvo involucrado en un nuevo ataque el 23 de enero de 2017.

Carga útil

El malware tenía una bomba lógica que activó el registro maestro de arranque y la carga útil limpieza de datos a las 11:08 a.m. hora local del miércoles 15 de agosto. El ataque ocurrió durante el mes de Ramadán en 2012. Parece que el ataque fue programado para ocurrir después de que la mayoría del personal se haya ido de vacaciones, lo que reduce la posibilidad de descubrimiento antes de que se pueda causar un daño máximo, lo que dificulta la recuperación.

Shamoon usa una cantidad de componentes para infectar computadoras. El primer componente es un cuentagotas, que crea un servicio con el nombre 'NtsSrv' para permanecer persistente en la computadora infectada. Se propaga a través de una red local al copiarse en otras computadoras y eliminará componentes adicionales de las computadoras infectadas. El cuentagotas viene en versiones de 32 bits y 64 bits. Si el dropper de 32 bits detecta una arquitectura de 64 bits , abandonará la versión de 64 bits. El malware también contiene un componente de limpieza de disco , que utiliza un controlador producido por Eldos conocido como RawDisk para lograr el acceso directo modo de usuario a un disco duro sin usar las API de Windows.. El componente sobrescribe archivos con porciones de una imagen; el ataque de 2012 utilizó una imagen de una bandera estadounidense en llamas, mientras que el ataque de 2016 usó una foto del cuerpo de Alan Kurdi.

Ver también