حمله جدید بدافزار شعمون «Shamoon» به شرکت‌های نفت و گاز ایتالیایی

بدافزار شعمون «Shamoon» در جدیدترین حملات خود، شرکت‌های نفت و گاز ایتالیایی را مورد هدف خود قرار داده است. بدافزار شعمون برای اولین‌بار در سال ۲۰۱۲ یکی از بزرگ‌ترین تولیدکنندگان نفت در عربستان سعودی را مورد هدف قرار داده بود.

شعمون «Shamoon» بدافزاری که در سال ۲۰۱۲ برای اولین‌بار صنایع نفت و گاز در عربستان سعودی را مورد حمله خود قرار داده بود، با اهدافی جدید بازگشته است.

براساس خبرهای منتشر شده، اوایل هفته گذشته شرکت نفتی سایپم «Saipem» در ایتالیا توسط این بدافزار مورد حمله قرار گرفته و در حدود ۱۰ درصد از اطلاعات موجود در سرورهای این شرکت در کشورهایی مانند عربستان سعودی، امارات متحده عربی، کویت و همچنین هند و اسکاتلند را از بین برده است.

هرچند که ایران متهم اصلی حملات شعمون شناخته می‌شود، اما هنوز مشخص نیست که چه کسی یا چه گروه‌هایی اقدام به این حمله جدید کرده‌اند. با این حال، محققان سایبری باور دارند که برخی گروه‌های هک مانند OilRig ،Rocket Kitten و Greenbug که وابسته به حکومت ایران هستند، عوامل پشت‌پرده حملات قبلی شعمون بوده‌اند.

در همین حال، کرونیکل، یکی از شرکت‌‌های امنیت سایبری وابسته به گوگل نیز فایلی حاوی نمونه شعمون را از یک IP در ایتالیا که مقر اصلی شرکت سایپم است، در بررسی فایل‌های ویروس‌توتال در تاریخ ۱۰ دسامبر، همزمان با آغاز حملات شناسایی کرده است.

هرچند که کرونیکل هنوز نمی‌داند که چه کسی شامون جدید را ایجاد کرده و آن‌ را در سرویس ویروس‌توتال بررسی کرده است، اما احتمال اینکه این حملات از مبدا ایتالیا و خود شرکت سایپم آغاز شده باشد، وجود دارد.

براساس گزارش‌های موجود، این حمله به سایپم به بیش از ۳۰۰ سرور و ۱۰۰ کامپیوتر شخصی در کنار ۴۰۰۰ دستگاه دیگر آسیب‌هایی وارد کرده است. البته شرکت سایپم اعلام کرده که نسخه پشتیبان از اطلاعات این سیستم‌ها را در اختیار دارد که این موضوع به بازیابی بخشی از اطلاعات کمک می‌کند.

بدافزار شعمون که تحت عنوان Disttrack نیز شناخته می‌شود، از طریق دستکاری رکورد راه‌انداز اصلی دیسک (MBR)، منجر به عدم راه‌اندازی مجدد سیستم‌ها می‌شود. این بدافزار همچنین می‌تواند به سرعت در سراسر شبکه‌های آلوده و با استفاده از پروتکل SMB، مشابه سایر بدافزارهای مخرب شناخته شده پخش شود.

نسخه جدید شعمون، برخلاف نسخه‌های پیشین خود، اطلاعات دستگاه‌های آلوده را رمزگذاری می‌کند. این در حالی است که شعمون در گذشته اطلاعات دستگاه‌های آلوده را حذف می‌کرد.

 

 

توضیحات بیشتر در:

New Shamoon Malware Variant Targets Italian Oil and Gas Company