Shamoon - pierwszy kryminalny trojan wzorowany na Stuxnet i Flame

Strona głównaShamoon - pierwszy kryminalny trojan wzorowany na Stuxnet i Flame
20.08.2012 15:49
Shamoon - pierwszy kryminalny trojan wzorowany na Stuxnet i Flame

Odkryto nowy typ konia trojańskiego. Wzorowanegy na Stuxnet i Flame program Shamoon jest używany przez przestępców - dokonuje kradzieży danych i blokuje komputer ofiary - poinformował Computerworld.

Analitycy z firmy zajmującej się zabezpieczeniami komputerowymi Seculert, którzy jako pierwsi opisali nowego konia trojańskiego, stwierdzają iż atakuje on zarówno komputery w sieciach firmowych, jak i należące do użytkowników indywidualnych. Z analizy jego kodu jednak wynika iż jest specjalnie adresowany do atakowania wybranych osób i firm. W tym ostatnim przypadku celem są przedsiębiorstwa sektora energetycznego.

Shamoon w pierwszej fazie ataku przejmuje kontrolę nad systemami przyłączonymi do Internetu i rozprzestrzenia się na wszystkich komputerach PC z systemem operacyjnym Windows –. niezależnie od jego wersji – pracujących w sieci zaatakowanej firmy. Następnie kopiuje dane z zaatakowanych komputerów, używając przejętego systemu firmowego a następnie przekazuje je do serwerów zarządzania i kontroli (serwery C&C). Analitycy pracujący zarówno dla firmy Seculert jak i dla innych firm z tej samej branży Symantec i Kaspersky Lab nie ustalili do tej pory, jakiego dokładnie typu danych poszukuje Shamoon.

W drugiej fazie ataku, po ściągnięciu wszystkich ważnych dla trojana danych zostaje uruchomiony mechanizm destrukcji –. nadpisywane są pliki systemowe w sektorach rozruchowych przejętych komputerów (MBR=Master Boot Record). Powoduje to, że systemu operacyjnego nie można już uruchomić.

Nadpisywanie plików MBR dotyczy zwłaszcza komputera z którego Shamoon komunikował się ze swoimi serwerami C&C, co zdaniem Aviva Raffa, analityka i współzałożyciela Seculert ma służyć zatarciu śladów, wiodących do serwera C&C. Lista nadpisanych plików jest bowiem także przekazywana na serwer C&C, prawdopodobnie dla sprawdzenia czy procedura zatarcia śladów przebiegała prawidłowo.

Jak zauważają analitycy Symantec atak kierowany na poszczególne cele, z procedurami destrukcyjnymi jest rzadko spotykany, a praktycznie nie stosowany od 200. roku. Trojany i malware działają „w ciszy”, a ich twórcom zależy aby nie ściągały na przejęte komputery niepotrzebnej uwagi.

Mimo podobieństwa pomiędzy Shamoon, a takimi znanymi malware jak Stuxent, Flame czy Gauss –. w przypadku tych ostatnich dwóch element aktywny tzw. głowica też posiadał procedury destrukcyjne – analitycy nie sądzą, aby nowego trojana i te, znane już malware, stworzyła ta sama grupa programistów.

Analitycy z Kaspersky Lab opublikowali listę wyraźnych różnic w kodzie między Stuxnetem i Flame oraz Shamoonem, które ich zdaniem przesądzają, iż te programy stworzyły dwie różne grupy programistów. Ich zdaniem Shamoon jest „niezbyt udaną kalką”. Stuxnet i Flame, pierwszą stworzoną przez grupę przestępczą. Potwierdzają to analitycy Seculert, uważający, że hackerzy mogą oferować przejęte przez Shamoon dane konkurencji zaatakowanych firm, lub usiłować sprzedać je na czarnym rynku.

Oceń jakość naszego artykułuTwoja opinia pozwala nam tworzyć lepsze treści.
Udostępnij:
Wybrane dla Ciebie
Komentarze (0)