Shamoon geri döndü 🙂
Shamoon; Suudi Arabistan’ın en büyük petrol üreticisine 2012’de zarar veren ve bu kez Orta Doğu’da faaliyet gösteren enerji sektörü kuruluşlarını hedef alan en yıkıcı kötü amaçlı yazılım ailelerinden biri.
Bu haftanın başlarında, İtalyan petrol sondaj şirketi Saipem saldırıya uğradı ve Suudi Arabistan, Birleşik Arap Emirlikleri ve Kuveyt başta olmak üzere, Hindistan ve İskoçya başta olmak üzere, başta Orta Doğu olmak üzere, sunucularının yaklaşık yüzde 10’unun hassas dosyaları yok edildi.
Saipem itiraf sunucularında karşı son siber saldırıda kullanılan bilgisayar virüsü 30.000’den fazla verileri Suudi Aramco ve Rasgas Co Ltd karşı tarihinin en zarar verici siber saldırılarda kullanılan ve tahrip edildi. Saipem’in en büyük müşterisi olan Suudi Aramco’ya karşı siber saldırı İran’a atfedildi, ancak Saipem’e karşı yapılan son siber saldırıların ardında kim olduğu belli değil. Bu arada, Chronicle, Google’ın siber güvenlik yan kuruluşu da vardır keşfetti içeren bir dosya Shamoon örnek Saipem merkezli 10 Aralık İtalya’da bir IP adresinden (Saipem saldırıya uğradı aynı gün), üzerinde VirusTotal dosya analiz hizmetine yüklendi. Ancak, Chronicle yeni keşfedilen Shamoon örneklerini kimin yarattığını veya bunları virüs tarama sitesine yüklediğinden emin değildi.
Saipem’e yapılan son saldırı, 300’den fazla sunucusunu ve yaklaşık 100 kişisel bilgisayarı toplamda yaklaşık 4,000 makineden mahrum bıraktığını bildirdi. Ancak şirket, zaten etkilenen bilgisayarları yedeklediğini doğruladı. siber saldırı. Saipem, “Saipem, siber saldırının sunucuları Orta Doğu, Hindistan, Aberdeen ve sunucuları sınırlı bir şekilde, Shamoon kötü amaçlı yazılımlar yoluyla vurarak vurduğunu bildirdi.” “Restorasyon faaliyetleri, kademeli ve kontrollü bir şekilde, yedek altyapılardan geçiyor ve tamamlandığında, etkilenen sitelerin tam operasyonunu yeniden kuruyor.” Disttrack olarak da bilinen Shamoon, bilgisayarların başlatılmasını imkansız hale getiren ana önyükleme kaydı (MBR) de dahil olmak üzere önemli bilgisayar dosyalarının üzerine yazarak sistemleri devre dışı bırakarak çalışır.
Kötü amaçlı yazılımlar, WannaCry ve NotPetya gibi bilinen diğer yıkıcı zararlı yazılımlara benzer şekilde Windows Server İleti Bloğu ( SMB ) protokolünü kullanarak virüs bulaşmış ağlarda hızla yayılabilir. Shamoon ilk olarak 2012’de ortaya çıktı ve ardından uzun bir sessizlik döneminden sonra, kötü amaçlı yazılımın evrimsel bir versiyonu, 2016 ve 2017 yıllarında çeşitli kamu kesimi ve finansal hizmetler sektörleri de dahil olmak üzere çeşitli Suudi örgütlerine yönelik saldırılarda kullanıldı. Hala Shamoon’ı kimin yarattığı belli değil, ancak güvenlik araştırmacıları, İran hükümetinin, İran hükümeti adına çalışan OilRig, Roket Kitten ve Greenbug’ın daha önceki Shamoon saldırılarının arkasında olduğunu düşünmelerine rağmen, İran’ın şiddetle inandığına inanıyor.