شعمون «Shamoon» بدافزاری که در سال ۲۰۱۲ برای اولینبار صنایع نفت و گاز در عربستان سعودی را مورد حمله خود قرار داده بود، با اهدافی جدید بازگشته است.
براساس خبرهای منتشر شده، اوایل هفته گذشته شرکت نفتی سایپم «Saipem» در ایتالیا توسط این بدافزار مورد حمله قرار گرفته و در حدود ۱۰ درصد از اطلاعات موجود در سرورهای این شرکت در کشورهایی مانند عربستان سعودی، امارات متحده عربی، کویت و همچنین هند و اسکاتلند را از بین برده است.
هرچند که ایران متهم اصلی حملات شعمون شناخته میشود، اما هنوز مشخص نیست که چه کسی یا چه گروههایی اقدام به این حمله جدید کردهاند. با این حال، محققان سایبری باور دارند که برخی گروههای هک مانند OilRig ،Rocket Kitten و Greenbug که وابسته به حکومت ایران هستند، عوامل پشتپرده حملات قبلی شعمون بودهاند.
در همین حال، کرونیکل، یکی از شرکتهای امنیت سایبری وابسته به گوگل نیز فایلی حاوی نمونه شعمون را از یک IP در ایتالیا که مقر اصلی شرکت سایپم است، در بررسی فایلهای ویروستوتال در تاریخ ۱۰ دسامبر، همزمان با آغاز حملات شناسایی کرده است.
هرچند که کرونیکل هنوز نمیداند که چه کسی شامون جدید را ایجاد کرده و آن را در سرویس ویروستوتال بررسی کرده است، اما احتمال اینکه این حملات از مبدا ایتالیا و خود شرکت سایپم آغاز شده باشد، وجود دارد.
براساس گزارشهای موجود، این حمله به سایپم به بیش از ۳۰۰ سرور و ۱۰۰ کامپیوتر شخصی در کنار ۴۰۰۰ دستگاه دیگر آسیبهایی وارد کرده است. البته شرکت سایپم اعلام کرده که نسخه پشتیبان از اطلاعات این سیستمها را در اختیار دارد که این موضوع به بازیابی بخشی از اطلاعات کمک میکند.
بدافزار شعمون که تحت عنوان Disttrack نیز شناخته میشود، از طریق دستکاری رکورد راهانداز اصلی دیسک (MBR)، منجر به عدم راهاندازی مجدد سیستمها میشود. این بدافزار همچنین میتواند به سرعت در سراسر شبکههای آلوده و با استفاده از پروتکل SMB، مشابه سایر بدافزارهای مخرب شناخته شده پخش شود.
نسخه جدید شعمون، برخلاف نسخههای پیشین خود، اطلاعات دستگاههای آلوده را رمزگذاری میکند. این در حالی است که شعمون در گذشته اطلاعات دستگاههای آلوده را حذف میکرد.
توضیحات بیشتر در:
- New Shamoon Malware Variant Targets Italian Oil and Gas Company