Za napadom na Saudi Aramco bržčas Iran

Analiza napada na računalniške sisteme največjega svetovnega podjetja Saudi Aramco, ki se je zgodil 15. avgusta letos, razkriva verjetne vzroke, namene in storilce. Napad, ki je bil med najbolj uničujočimi med zabeleženimi, je bržkone izvedel Iran kot odgovor na Stuxnet, Flame in druge dovršene trojance, s katerimi sta jih napadala Izrael in ZDA.

Ni presenetljivo, da so za datum izbrali prav 15. avgusta, saj so muslimani letos tedaj obhajali praznik lejletu-l-kadr (27. noč ramadana) in ostali doma. Tistega dne je neznani storilec z dostopom do računalniškega sistema v Saudi Aramcu nanj priključil USB-ključ, ki je vseboval virus Shamoon. Ta se je bliskovito razširil po omrežju in se ob 11.08 uri sprožil. Povzročil je ogromno škode.

Virus se je razširil po poslovnem delu omrežja, ki ga uporabljajo za komunikacijo in poslovanje v podjetju, k sreči pa ni uspel priti do industrijskega dela, ki krmili črpanje in pretok surove nafte in zemeljskega plina. Pobrisal je podatke na trdih diskih (dokumente, preglednice, slike, elektronsko pošto) in jih zamenjal s sliko goreče ameriške zastave. Ameriški preiskovalci zatrjujejo, da so bili napadalci sodeč po indicih v kodih najverjetneje Iranci.

Ko so v podjetju zaznali okužbo, so izključili interno omrežje in se lotili napornega čiščenja. Zamenjati so morali več deset tisoč trdih diskov, na pomoč so poklicali tudi strokovnjake iz ZDA, Symantec pa je hitro začel analizirati kodo virusa. Ugotovili so, da je imel modul za brisanje ime Wiper, kar je enako kot pri trojancu Flame. Američani verjamejo, da so avtorji res Iranci, čeprav je v kodi nekaj poimenovanj, ki naj bi jih zavedle. Perzijski zaliv je poimenovan kot Arabski zaliv, medtem ko se Iran v svoji uradni retoriki striktno drži prvega poimenovanja in je Googlu celo zagrozil s tožbo zaradi netočnih napisov na Google Maps.

To pa ni edini primer napadov. Kasneje so se neznani napadalci lotili tudi katarskega podjetja RasGas, ki proizvaja zemeljski plin. Sumijo, da so tudi za tem napadom, ki se je zgodil dva tedna pozneje, stali Iranci. Posledice napada na Saudi Aramco še vedno niso v celoti odstranjene, saj na primer VPN na službeno omrežje ni več mogoč, dokler se IT-služba ne odloči, kaj bodo storili. ZDA pa ugotavljajo, da se je Iran odzval precej hitreje, precej manj prefinjeno in precej boljo ostro, kot so to pričakovali. In ker so napade začeli sami, so Pandorino skrinjico na nek način odprli sami.