サウジアラビアの民間航空局や他の湾岸諸国の組織の何千台ものコンピューターが、サウジアラムコのワークステーション数千台を消去してから約4年後に再び出現した「シャムーン」マルウェアによって消去された。
セキュリティ企業のファイア・アイ、クラウドストライク、マカフィー、パロアルト、シマンテックは、米国の諜報機関の職員がイランの仕業だと言っている高度な破壊工作マルウェアについて報告した。
2012年のシャムーン攻撃はサウジアラムコに壊滅的な打撃を与え、同社の企業用コンピューターの4分の3のデータが消去され、電子メールや文書が燃える米国国旗の画像に置き換えられた。イラン石油省、サウジアラムコが所有しイランの石油輸出の80%を処理するハルグ島の石油ターミナル、そしてその他の掘削リグもすべて問題を抱えた。
2012年の捜索は宗教的祝日の前夜に開始され、同社の従業員5万5000人が自宅待機することが確実となった。
シャムーンはイランの製品であるという米国の主張は、ハッカーが捜査官を誤導しようとヒントを落とすことが知られているため、技術的な証拠によって説得力のある形で確認されていない。
シャムーンのこの壊滅的な攻撃以来登場した唯一の変種は、昨年トルコのボドルムで溺死した3歳のシリア人少年アラン・クルディの遺体の恐ろしい写真を使用している以外、ほとんど変わっていない。
セキュリティ企業はいずれも、シャムーンが最近の一連の攻撃でどの組織や機関を標的にしたのかを公表していない。捜査に詳しい情報筋はブルームバーグに対し、サウジアラビアの民間航空総局が攻撃により「重要なデータ」を喪失し、業務が数日間停止したと伝えた。
匿名を条件に寄稿したファイア・アイの研究者らによると、高級フォレンジック企業マンディアントの同僚らが、11月中旬に湾岸諸国に拠点を置く無名の組織に対する新たな攻撃に対応したという。
「それ以来、マンディアントは同地域の他の組織における複数のインシデントに対応してきた」と同社の高度マルウェア対策チームは述べている。
シマンテックのマルウェアアナリストによると、Shamoon の作成者は、攻撃のために「相当な」準備作業を行っており、盗んだ内部パスワードをマルウェアに埋め込んで拡散を容易にした可能性が高いという。
Wiperマルウェアが表示するプロンプト。画像:Palo Alto。
パロアルトのセキュリティ専門家は、Disttrack と呼ばれるワイパー モジュールの分析で調査結果を補強し、その中に保存されている管理者とユーザーの認証情報は公開されておらず、ブルート フォース攻撃や辞書推測攻撃では取得できないほど強力であるため、結果としてフィッシングの成果である可能性が高いことを明らかにしました。
2012年も今と同様に、Shamoonは事前に設定された時刻にデータを消去するように起動されました。11月17日午後8時45分(サウジアラビア時間)に、マルウェアはディスク消去ペイロードを起動しました。研究者らによると、これはサウジアラビアの週の終わりである木曜日に実行されたため、発見される可能性を減らすための措置だった可能性が高いとのことです。
このマルウェアは依然としてモジュール式です。32 ビットおよび 64 ビットのドロッパー コンポーネントは、ワイパーがユーザー モードからハード ディスクにアクセスするために必要な Disttrack とその Eldos ドライバーをダウンロードする NtsSrv Windows サービスを作成します。
FireEye によると、後者のドライバは、攻撃者が無料試用ライセンスの下で使用した正規のツールであり、ディスク消去を実行するために、Shamoon の作成者は感染したコンピューターの時計を 2012 年 8 月に設定する必要がありました。
レポーター モジュールは、感染やディスク消去の成功の報告、新しい構成のダウンロードや実行時間など、コマンド アンド コントロール通信を処理しますが、それぞれのサーバーは非アクティブに見えます。
すべてのセキュリティ企業は、セキュリティ専門家が同一の Shamoon 感染を検出するために使用できる侵害の指標を公開しています。®
