Shamoon - pierwszy kryminalny trojan wzorowany na Stuxnet i Flame

Odkryto nowy typ konia trojańskiego. Wzorowanegy na Stuxnet i Flame program Shamoon jest używany przez przestępców - dokonuje kradzieży danych i blokuje komputer ofiary - poinformował Computerworld.

Analitycy z firmy zajmującej się zabezpieczeniami komputerowymi Seculert, którzy jako pierwsi opisali nowego konia trojańskiego, stwierdzają iż atakuje on zarówno komputery w sieciach firmowych, jak i należące do użytkowników indywidualnych. Z analizy jego kodu jednak wynika iż jest specjalnie adresowany do atakowania wybranych osób i firm. W tym ostatnim przypadku celem są przedsiębiorstwa sektora energetycznego.


Shamoon w pierwszej fazie ataku przejmuje kontrolę nad systemami przyłączonymi do Internetu i rozprzestrzenia się na wszystkich komputerach PC z systemem operacyjnym Windows – niezależnie od jego wersji – pracujących w sieci zaatakowanej firmy. Następnie kopiuje dane z zaatakowanych komputerów, używając przejętego systemu firmowego a następnie przekazuje je do serwerów zarządzania i kontroli (serwery C&C). Analitycy pracujący zarówno dla firmy Seculert jak i dla innych firm z tej samej branży Symantec i Kaspersky Lab nie ustalili do tej pory, jakiego dokładnie typu danych poszukuje Shamoon.

W drugiej fazie ataku, po ściągnięciu wszystkich ważnych dla trojana danych zostaje uruchomiony mechanizm destrukcji – nadpisywane są pliki systemowe w sektorach rozruchowych przejętych komputerów (MBR=Master Boot Record). Powoduje to, że systemu operacyjnego nie można już uruchomić.

Nadpisywanie plików MBR dotyczy zwłaszcza komputera z którego Shamoon komunikował się ze swoimi serwerami C&C, co zdaniem Aviva Raffa, analityka i współzałożyciela Seculert ma służyć zatarciu śladów, wiodących do serwera C&C. Lista nadpisanych plików jest bowiem także przekazywana na serwer C&C, prawdopodobnie dla sprawdzenia czy procedura zatarcia śladów przebiegała prawidłowo.

Jak zauważają analitycy Symantec atak kierowany na poszczególne cele, z procedurami destrukcyjnymi jest rzadko spotykany, a praktycznie nie stosowany od 2005 roku. Trojany i malware działają „w ciszy”, a ich twórcom zależy aby nie ściągały na przejęte komputery niepotrzebnej uwagi.

Mimo podobieństwa pomiędzy Shamoon, a takimi znanymi malware jak Stuxent, Flame czy Gauss – w przypadku tych ostatnich dwóch element aktywny tzw. głowica też posiadał procedury destrukcyjne – analitycy nie sądzą, aby nowego trojana i te, znane już malware, stworzyła ta sama grupa programistów.

Analitycy z Kaspersky Lab opublikowali listę wyraźnych różnic w kodzie między Stuxnetem i Flame oraz Shamoonem, które ich zdaniem przesądzają, iż te programy stworzyły dwie różne grupy programistów. Ich zdaniem Shamoon jest „niezbyt udaną kalką” Stuxnet i Flame, pierwszą stworzoną przez grupę przestępczą. Potwierdzają to analitycy Seculert, uważający, że hackerzy mogą oferować przejęte przez Shamoon dane konkurencji zaatakowanych firm, lub usiłować sprzedać je na czarnym rynku.

Za: wp.pl