シャムーン

Shamoon [ a ] (ペルシア語: شمعون ) は、W32.DistTrack [ 1 ]としても知られるモジュラー型コンピュータウイルスで、2012年に発見され、当時最新の32ビット版NTカーネルを搭載したMicrosoft Windowsを標的としていました。このウイルスは、その破壊的な攻撃と復旧コストの高さで注目を集めました。Shamoonは、感染したマシンからネットワーク上の他のコンピュータに拡散する可能性があります。システムが感染すると、ウイルスはシステム上の特定の場所からファイルのリストを作成し続け、攻撃者にアップロードしてファイルを消去します。最終的に、ウイルスは感染したコンピュータのマスターブートレコードを上書きし、使用不能にします。[ 2 ] [ 3 ]

このウイルスは、サウジアラビアのサウジアラムコやカタールのラスガスなどの国営石油会社に対するサイバー戦争に使用されました。[4] [ 5 ] [ 2 ] [ 6 ] Cutting Sword of Justice というグループが、サウジアラムコのワークステーション3万台への攻撃の犯行声明を出しました。この攻撃により、同社はサービスの復旧に1週間以上を要しました。[ 7 ]このグループは後に、この攻撃にはシャムーンウイルスが使用されたと示唆しました。[ 8 ]ラスガスのコンピュータシステムも正体不明のコンピュータウイルスによってオフラインにされ、一部のセキュリティ専門家はシャムーンによる被害だと考えています。[ 9 ]これは後に「史上最大のハッキング」と評されました。[ 3 ]

シマンテックカスペルスキー研究所[ 10 ]Seculertは2012年8月16日にマルウェアの発見を発表しました。[ 2 ] [ 11 ]カスペルスキー研究所とSeculertはShamoonとFlameマルウェアの類似点を発見しました。[ 10 ] [ 11 ] Shamoonは2016年11月、 [ 12 ] 2017年1月、[ 13 ] 2018年12月に驚きの復活を遂げました。[ 14 ]

デザイン

Shamoonはハードドライブのデータを消去して破損したイメージで上書きし、感染したコンピュータのアドレスを会社のネットワーク内のコンピュータに報告するように設計されていました。[ 15 ]このマルウェアには、8月15日水曜日の午前11時8分(現地時間)にマスターブートレコードとデータ消去ペイロードをトリガーするロジックボムがありました。この攻撃は2012年のラマダン月に発生しました。この攻撃はほとんどのスタッフが休暇に出た後になるようにタイミングが計られたようで、最大の被害が発生する前に発見され、復旧が妨げられる前に攻撃が行われたようです。  

このウイルスは、ドロッパー、ワイパー、レポーターの3つのコンポーネントで構成されていました。感染源となるドロッパーは、「NtsSrv」という名前のサービスを作成し、感染したコンピュータ上で永続的に活動できるようにします。ドロッパーは32ビット版と64ビット版で構築されています。32ビット版のドロッパーが64ビットアーキテクチャを検出すると、64ビット版をドロップします。このコンポーネントは、感染したコンピュータにワイパーとレポーターをドロップし、自身を実行します。そして、ネットワーク共有や他のコンピュータに自身をコピーすることで、ローカルネットワーク全体に拡散します。[ 16 ]

ワイパーコンポーネント、Eldos社製のRawDiskと呼ばれるドライバを利用し、Windows APIを使用せずにハードドライブへの直接ユーザーモードアクセスを実現します。感染したコンピュータ上のすべてのファイルの場所を特定し、それらを消去します。破壊されたファイルに関する情報を攻撃者に送信し、消去されたファイルを破損データで上書きして復元不可能にします。このコンポーネントは画像の一部を使用しました。2012年の攻撃では燃える米国旗の画像が、2016年の攻撃ではアラン・クルディの遺体の写真が使用されました。[ 17 ] [ 18 ] [ 12 ]

攻撃前

このマルウェアは特異なもので、サウジアラビア政府を標的とし、国営石油会社サウジアラムコに破壊的な打撃を与えるために使用されました。攻撃者はワイパーロジック爆弾が発生する数時間前にPastebinペーストを投稿し、「抑圧」とサウジアラビア政府を攻撃の理由として挙げていました。[ 19 ]攻撃後にサウジアラムコのセキュリティアドバイザーを務め、アラムコ海外部門のセキュリティグループリーダーでもあるクリス・クベッカ氏によると、この攻撃は綿密に計画されたものだったとのことです。[ 3 ]この攻撃は、2012年半ば頃、サウジアラムコ・インフォメーションテクノロジーの匿名の従業員が開封したフィッシングメール攻撃によって開始され、攻撃グループは同社のネットワークに侵入しました。[ 20 ]

私たちは、世界各国、特にシリア、バーレーン、イエメン、レバノン、エジプトなどの近隣諸国で起きている犯罪や残虐行為、またこれらの国々に対する国際社会の二重のアプローチにうんざりしている反抑圧ハッカーグループを代表して、この行動によってこれらの惨事の主な支援者を打撃したいと考えます。 この惨事の主な支援者の一つは、イスラム教徒の石油資源を利用してこのような抑圧的な手段を支援している腐敗したサウード政権です。 サウードはこれらの犯罪を犯す共犯者です。その手は罪のない子供や人々の血に染まっています。 最初のステップとして、サウード政権の最大の資金源であるアラムコ社に対して行動を遂行しました。 このステップでは、か国でハッキングしたシステムを使用してアラムコ社のシステムに侵入し、次にこの会社でネットワーク化されている3万台のコンピューターを破壊するために悪質なウイルスを送り込みました。破壊活動は2012年8月15日水曜日午前11時8分(サウジアラビア現地時間)に開始され、数時間以内に完了する予定です。[ 21 ]

クベッカ氏は、ブラックハットUSAでの講演で、サウジアラムコがセキュリティ予算の大部分をICS制御ネットワークに投入し、ビジネスネットワークを重大なインシデントのリスクにさらしていると述べた。[ 20 ]

攻撃中

現地時間8月15日午前11時8分、3万台以上のWindowsベースのシステムが上書きされ始めた。シマンテックは、影響を受けたシステムの一部で、データが削除・上書きされている最中にアメリカ国旗の画像が表示されたことを発見した。[ 2 ]サウジアラムコはFacebookページで攻撃を発表し、2012年8月25日に声明が出るまで再びオフラインになった。この声明では、2012年8月25日に通常業務が再開されたと誤報されていた。しかし、中東のジャーナリストが2012年9月1日に撮影された、ハッキングされた業務システムのために依然として運用不能となっている何キロものガソリントラックが積み込み不能になっている写真をリークした。

サウジアラムコは、2012年8月15日に外部から侵入し約3万台のワークステーションに影響を与えた悪意のあるウイルスの影響を受けた主要な社内ネットワークサービスをすべて復旧しました。ワークステーションはその後、ウイルス駆除され、サービスが再開されました。予防措置として、オンラインリソースへのリモートインターネットアクセスは制限されていました。サウジアラムコの従業員は、イード(ユダヤ教の祝日)明けの2012年8月25日に職場復帰し、通常業務を再開しました。同社は、炭化水素の探査および生産に関する主要な企業システムは、分離されたネットワークシステムで運用されているため、影響を受けていないことを確認しました。生産工場も、これらの制御システムも分離されているため、完全に稼働していました。

2012年8月29日、Shamoonの背後にいる同じ攻撃者がPasteBin.comに別のパスティを投稿し、サウジアラムコが依然として同社のネットワークへのアクセスを保持していることを示す証拠を提示して、同社を挑発しました。投稿には、セキュリティ機器とネットワーク機器のユーザー名とパスワード、そしてアラムコCEOのハリド・アル=ファリフ氏の新しいパスワードが含まれていました。[ 22 ]攻撃者はパスティの中で、さらなる証拠としてShamoonマルウェアの一部にも言及していました。

8月29日月曜日、こんにちは、SHN/AMOO/lib/pr/~/reversed

土曜日の夜に関してサウジアラムコから何のニュースも出ていないのはおかしく奇妙だと思います。まあ、それは予想していましたが、より明確にし、約束を果たしたことを証明するために、同社のシステムに関する以下の事実(貴重なもの)を読んでみてください。

- インターネット サービス ルーターは 3 台あり、その情報は次のとおりです。

コアルータ: SA-AR-CO-1# パスワード (telnet): c1sc0p@ss-ar-cr-tl / (有効): c1sc0p@ss-ar-cr-bl
バックアップルータ: SA-AR-CO-3# パスワード (telnet): c1sc0p@ss-ar-bk-tl / (有効): c1sc0p@ss-ar-bk-bl
中間ルータ: SA-AR-CO-2# パスワード (telnet): c1sc0p@ss-ar-st-tl / (有効): c1sc0p@ss-ar-st-bl

- Khalid A. Al-Falih CEO の電子メール情報は次のとおりです。

Khalid.falih@aramco.com パスワード:kal@ram@sa1960

- 使用されるセキュリティ機器:

Cisco ASA # McAfee # FireEye :
すべてのデフォルトパスワード!!!!!!!!!!

我々の使命は完了したと確信しており、これ以上時間を無駄にする必要はないと考えています。SAが声を大にして国民に何かを発信すべき時が来たのだと思います。しかし、沈黙は解決策にはなりません。

楽しんでいただけたでしょうか。SHN/AMOO/lib/pr/~ に関する最終版をお待ちください。

怒れるインターネット愛好家たち #SH"

クベッカ氏によると、サウジアラムコは操業再開のため、自社保有の大規模な航空機群と利用可能な資金を投じて世界中のハードディスクドライブの大部分を購入し、価格を高騰させた。石油価格が投機の影響を受けないよう、できるだけ早く新しいハードディスクが必要とされた。2012年8月15日の攻撃から17日後、サウジアラビア国民にとってガソリン資源は枯渇しつつあった。ラスガス社も別の変異株の影響を受け、同様の形で機能不全に陥った。[ 20 ]

攻撃者が感染したPCを実際に破壊することに関心を持つ理由は不明です。カスペル​​スキー研究所は、この900KBのマルウェアが、4月にイランへのサイバー攻撃で使用されたWiperと関連している可能性を示唆しました。2日間の分析の後、同社はこのマルウェアはWiperに触発された「スクリプトキディ」によって作成された可能性が高いと誤った結論を下しました。 [ 23 ]その後、ユージン・カスペルスキーはブログ投稿で、Shamoonの使用はサイバー戦争に該当すると明確に述べています。[ 24 ]

参照

注記

  1. ^「Shamoon」は、ウイルスのワイパー コンポーネントで見つかったディレクトリ文字列の一部です。

参考文献

  1. ^ 「共同セキュリティ意識向上報告書(JSAR-12-241-01B):「Shamoon/DistTrack」マルウェア(アップデートB)」米国国土安全保障省ICS-CERT 2017年4月18日 2017年11月3日閲覧
  2. ^ a b c d Symantec Security Response (2012年8月16日). 「Shamoon攻撃」 . Symantec . 2012年8月19日閲覧
  3. ^ a b c Jose Pagliery (2015年8月5日). 「史上最大のハッキング事件の裏話」 . 2012年8月19日閲覧
  4. ^イアン・トンプソン (2012年8月17日). 「Expisionist ShamoonウイルスがPCを驚かせる」 The Register . 2017年11月3日閲覧。
  5. ^ Tim Sandle (2012年8月18日). 「Shamoonウイルスがサウジの石油会社を攻撃」 . Digital Journal . 2012年8月19日閲覧。
  6. ^ 「Shamoonウイルス、エネルギー部門のインフラを標的に」 BBCニュース、2012年8月17日。 2012年8月19日閲覧
  7. ^ Nicole Perlroth (2012年10月23日). 「サウジ企業へのサイバー攻撃、米国に不安」ニューヨーク・タイムズ. A1ページ. 2012年10月24日閲覧
  8. ^ Elinor Mills (2012年8月30日). 「カタールのガス会社RasGasのコンピューターがウイルスに感染」 . CNET . 2012年9月1日閲覧
  9. ^ 「コンピュータウイルスが2社目のエネルギー会社を襲う」 BBCニュース、2012年8月31日。 2012年9月1日閲覧
  10. ^ a b GReAT (2012年8月16日). 「Shamoon the Wiper — Copycats at Work」 . 2012年8月20日時点のオリジナルよりアーカイブ2012年8月19日閲覧。
  11. ^ a b Seculert (2012年8月16日). 「Shamoon、2段階の標的型攻撃」 Seculert . 2012年8月20日時点のオリジナルよりアーカイブ。 2012年8月19日閲覧
  12. ^ a b Symantec Security Response (2016年11月30日). 「Shamoon:復活、相変わらずの破壊力」 . Symantec . 2016年12月6日閲覧
  13. ^ 「シャムーン再出現を受け、サウジアラビアがサイバー防衛に警告」ロイター2017年1月23日. 2017年1月26日閲覧
  14. ^ Stephen Jewkes、Jim Finkle (2018年12月12日). 「Saipem氏、Shamoonの亜種が数百台のコンピューターを麻痺させたと語る」ロイター. 2020年9月24日閲覧
  15. ^ポルシェIII、アイザック・R.(2020年)『サイバー戦争:情報化時代の紛争入門』アーテックハウス、264頁。ISBN 978-1-5231-3277-5
  16. ^ Mackenzie, Heather (2012年10月25日). 「ShamoonマルウェアとSCADAセキュリティ – その影響とは?
  17. ^ Sean Gallagher (2016年12月1日). 「Shamoonワイパーマルウェアが復讐とともに復活」 . Ars Technica . 2017年7月3日閲覧。
  18. ^ Nicole Perlroth (2012年8月24日). 「サウジアラムコのサイバー攻撃によるデジタル画像の断片の中に、燃える米国国旗の画像が見つかる」 . Bits . The New York Times . 2017年7月3日閲覧
  19. ^ Cutting Sword of Justice (2012-08-15). 「パスティ:『無題』」. 2018年2月20日時点のオリジナルよりアーカイブ2017年11月3日閲覧。
  20. ^ a b c Christina Kubecka (2015年8月3日). 「サイバーメルトダウン後のITセキュリティ対策」 YouTube . 2017年11月3日閲覧PDFスライドYouTubeビデオ
  21. ^リド、トーマス(2013年)『サイバー戦争は起こらない』オックスフォード大学出版局、63ページ。ISBN 978-0-19-936546-3
  22. ^ 「サウジアラムコ、再び抱擁」 2012年8月29日. 2017年11月3日閲覧
  23. ^ Wolfgang Gruener (2012年8月18日). 「サイバー攻撃:ShamoonマルウェアがMBRを感染、盗み、消去」 . Tom's Hardware . 2017年3月22日閲覧
  24. ^ユージン・カスペルスキー(2017年3月6日). 「StoneDrill: 強力な「Shamoon風」ワイパー型マルウェア「StoneDrill」を発見 – 深刻です」 . 2017年11月3日閲覧
「 https://en.wikipedia.org/w/index.php?title=Shamoon&oldid=1321104363」から取得