Nov virus Shamoon napada energetsko infrastrukturo
Matej Huš
20. avg 2012 ob 00:14:07
Odkritja virusov, ki ne napadajo vse povprek, temveč imajo posebej določene tarče in naloge, se v zadnjem času kar vrstijo. Spoznali smo že Stuxnet, DuQu, Flame, Madi in Gauss, ki so vsi napadali bližnjevzhodne cilje, sedaj pa so raziskovalci odkrili še en primerek. Shamoon je napadel Saudsko Arabijo oziroma njihovo energijsko omrežje.
V sredo je njihovo državno naftno podjetje sporočilo, da je zaradi napada njihova računalniška mreža nedelujoča. Okuženi računalnik so kmalu odkrili in ga izolirali - šlo naj bi za virus, ki je okužil osebne računalnike v podjetju, infrastrukturna hrbtenica pa naj ne bi bila prizadeta. Dan pozneje so na internetu odkrili virus Shamoon, ki je prizadel vsaj eno podjetje v energetskem sektorju.
Gre za virus, ki je spet natančno umerjen in se še posebej rad loti infrastrukturnih sistemov. Zanimivo pa je, da se takoj razkrije, saj se sila destruktiven. Virus prepiše zagonski sektor na disku (MBR) in nato pobriše še ostale datoteke. Pred tem njihov seznam pošlje na krmilno-nadzorne strežnike, od koder ga dobi pisec virusa. Po brisanju datotek jih prepiše z JPG-slikami, tako da so prepisane in jih ni mogoče obnoviti. Virus komunicira z drugimi računalniki v mreži, tako da se v sistem naseli prek interneta, nato pa okuži tudi računalnike, ki na internet niso neposredno priključeni.
Ni znano, zakaj je virus tako agresiven, da se takoj izda, niti kdo stoji za njim. Na Seculertu ugotavljajo, da je takšno vedenje sicer redko, ni pa neznano. Tudi Wiper je podobno brisal datoteke, njegova analiza pa je kasneje pomagala odkriti soroden Flame. Za zdaj je na spletu malo poročil o Shamoonu, tako da kaže, da gre za specialno dizajniran program za točno določen napad. Meri pa skoraj megabajt, tako da so se avtorji kar potrduili (Stuxnet denimo meri pol megabajta).