Shamoon - pierwszy kryminalny trojan wzorowany na Stuxnet i Flame
Odkryto nowy typ konia trojańskiego. Wzorowanegy na Stuxnet i Flame program Shamoon jest używany przez przestępców - dokonuje kradzieży danych i blokuje komputer ofiary - poinformował Computerworld.
20.08.2012 15:49
Analitycy z firmy zajmującej się zabezpieczeniami komputerowymi Seculert, którzy jako pierwsi opisali nowego konia trojańskiego, stwierdzają iż atakuje on zarówno komputery w sieciach firmowych, jak i należące do użytkowników indywidualnych. Z analizy jego kodu jednak wynika iż jest specjalnie adresowany do atakowania wybranych osób i firm. W tym ostatnim przypadku celem są przedsiębiorstwa sektora energetycznego.
Shamoon w pierwszej fazie ataku przejmuje kontrolę nad systemami przyłączonymi do Internetu i rozprzestrzenia się na wszystkich komputerach PC z systemem operacyjnym Windows –. niezależnie od jego wersji – pracujących w sieci zaatakowanej firmy. Następnie kopiuje dane z zaatakowanych komputerów, używając przejętego systemu firmowego a następnie przekazuje je do serwerów zarządzania i kontroli (serwery C&C). Analitycy pracujący zarówno dla firmy Seculert jak i dla innych firm z tej samej branży Symantec i Kaspersky Lab nie ustalili do tej pory, jakiego dokładnie typu danych poszukuje Shamoon.
W drugiej fazie ataku, po ściągnięciu wszystkich ważnych dla trojana danych zostaje uruchomiony mechanizm destrukcji –. nadpisywane są pliki systemowe w sektorach rozruchowych przejętych komputerów (MBR=Master Boot Record). Powoduje to, że systemu operacyjnego nie można już uruchomić.
Nadpisywanie plików MBR dotyczy zwłaszcza komputera z którego Shamoon komunikował się ze swoimi serwerami C&C, co zdaniem Aviva Raffa, analityka i współzałożyciela Seculert ma służyć zatarciu śladów, wiodących do serwera C&C. Lista nadpisanych plików jest bowiem także przekazywana na serwer C&C, prawdopodobnie dla sprawdzenia czy procedura zatarcia śladów przebiegała prawidłowo.
Jak zauważają analitycy Symantec atak kierowany na poszczególne cele, z procedurami destrukcyjnymi jest rzadko spotykany, a praktycznie nie stosowany od 200. roku. Trojany i malware działają „w ciszy”, a ich twórcom zależy aby nie ściągały na przejęte komputery niepotrzebnej uwagi.
Mimo podobieństwa pomiędzy Shamoon, a takimi znanymi malware jak Stuxent, Flame czy Gauss –. w przypadku tych ostatnich dwóch element aktywny tzw. głowica też posiadał procedury destrukcyjne – analitycy nie sądzą, aby nowego trojana i te, znane już malware, stworzyła ta sama grupa programistów.
Analitycy z Kaspersky Lab opublikowali listę wyraźnych różnic w kodzie między Stuxnetem i Flame oraz Shamoonem, które ich zdaniem przesądzają, iż te programy stworzyły dwie różne grupy programistów. Ich zdaniem Shamoon jest „niezbyt udaną kalką”. Stuxnet i Flame, pierwszą stworzoną przez grupę przestępczą. Potwierdzają to analitycy Seculert, uważający, że hackerzy mogą oferować przejęte przez Shamoon dane konkurencji zaatakowanych firm, lub usiłować sprzedać je na czarnym rynku.