在上周发现的Shamoon网络破坏恶意软件中发现的一个计时器,与一个黑客组织声称已禁用沙特阿拉伯国家石油公司(Saudi Aramco)网络上数千台电脑的确切时间和日期相吻合。沙特阿拉伯国家石油公司是沙特的国有石油公司。
“我们在几个国家使用被黑客入侵系统,侵入国家石油公司公司的系统,然后发送一个恶意病毒破坏三万电脑在这家公司联网,”一组名为“刀司法之剑”中说:Pastebin的帖子8月15日。“摧毁行动开始于周三,2012年8月15日上午11:08(沙特阿拉伯当地时间),将在几个小时内完成。”
背景:恶意Windows流氓软件“Shamoon”删除计算机内容,防止重启
就在同一天,沙特阿美确认该公司计算机网络的一些部门受到一种电脑病毒的影响,这种病毒感染了公司员工使用的工作站。不过,沙特阿美当时表示,该事件并未以任何方式影响石油生产业务。
这则消息之后,几个防病毒供应商宣布,包括赛门铁克,麦卡菲和卡巴斯基实验室约发现了一个新的恶意软件叫做Shamoon或Disttrack。
Shamoon包含一个所谓的刮水器模块,用于覆盖特定目录中的文件和硬盘驱动器的主引导记录(MBR)——磁盘上包含分区信息的特殊区域。
鉴于Shamoon的功能与黑客组织描述的沙特阿美受到的攻击有相似之处,有人猜测,该恶意软件可能是这家沙特阿拉伯公司最近出现的电脑问题的原因。
其他一些信息也指向了这个方向,比如赛门铁克的声明称,该恶意软件被用于对能源部门的一个匿名组织进行有针对性的攻击,或者在恶意软件中发现了一个路径字符串,其中包含一个名为“ArabianGulf”的目录。
然而,迄今为止发现的最具说服力的证据包括激活恶意软件文件的计时器和MBR清除功能。
“滴管确定指定的日期是否已经到来与否,”卡巴斯基实验室研究员梅德塔拉卡诺夫周二表示,在博客文章。“硬编码的日期是2012年8月15日08:08 UTC。”
This coincides with the exact time and date when the "Cutting Sword of Justice" hackers claimed the so-called destruction of Aramco computers began -- Wednesday, Aug 15, 2012, at 11:08 a.m. local time in Saudi Arabia (UTC+3:00).
卡巴斯基实验室首席安全专家亚历山大·格斯特夫(Alexander Gostev)周四通过电子邮件表示:“这只是一个迹象,表明这两起事件可能存在关联,而且只有在Pastebin的发布是合法的情况下。”“目前没有足够的具体证据将这两件事联系起来。”
其他细节不匹配。例如,由Shamoon样品中使用的内部网络的IP地址分析通过反病毒厂商不存在于在释放石油公司内部IP地址的列表单独Pastebin的帖子在8月17日被黑客攻击。
“这可能意味着,这些样品在不同实体的攻击的一部分,”特拉维夫拉夫,在安全厂商Seculert首席技术官,周四在电子邮件中说。“或者说,这确实是对石油公司的攻击的一部分,但攻击者决定不糊剂分享这个IP地址。”
还在另一个Pastebin的帖子拉夫说,可能是同一位黑客在周三发布的这些攻击,威胁要在8月25日格林尼治时间21:00对沙特阿美进行第二次攻击。
在其原来的公告中,“正义的切割剑”黑客行动主义组织说,它有针对性的石油公司,因为它是沙特阿拉伯的沙特政权,该组声明支持在像叙利亚,巴林,也门国家暴虐的政府行动的主要资金来源,黎巴嫩或埃及。
然而,并非所有人都相信其所谓的反政府压迫议程。“我听说猜测从多个源在沙特阿拉伯的恶意软件攻击沙特阿拉伯国家石油公司的网络是一个伊朗的行动阻止沙特Armaco增加其石油产量,以弥补伊朗石油供应减少由于制裁美国和欧盟,“网络安全专家和分析师杰弗里·卡尔周二说博客文章。
卡尔说:“在过去的‘铸铅行动’(Ashianeh安全组织)中,伊朗利用本国的黑客进行了国家支持的攻击。”“其他著名的和高技能的伊朗黑客包括伊朗网络军队和科莫多黑客。”
卡巴斯基的Gostev说:“在我们分析Shamoon恶意软件的过程中,我们注意到数据比较程序中的一个错误。”“根据我们的经验,这种编程错误在复杂的网络武器中并不常见;但是,我们目前还没有足够的确凿证据来确定沙莫恩背后有什么样的威胁分子或组织。”
今年4月,伊朗石油部的电脑也遭到了一种具有数据清除功能的恶意软件的攻击。该恶意软件从未被识别出来,但卡巴斯基实验室的研究人员上周根据已知的技术细节得出结论,沙文很可能没有参与这些攻击。
然而,Shamoon可能在伊朗使用的雨刮器的恶意软件是由黑客通过该事件引发的创造的山寨,卡巴斯基研究人员当时说。