Вредонос Shamoon, стирающий данные с жестких дисков, снова активен

Специалисты Symantec и Palo Alto Networks обнаружили активность старого вредоноса Shamoon (также известного под названием Disttrack). Эту малварь впервые нашли в 2012 году, когда вредонос атаковал саудовскую нефтяную компанию Aramco. Shamoon изучали специалисты компаний Websense (нынешняя Forcepoint), Seculert, и «Лаборатории Касперского». Тогда вредонос был настроен на стирание данных с 30 000 компьютеров и затирание MBR (Master Boot Record). Кроме того, по окончании работы малварь демонстрировала изображение горящего американского флага.

Четыре года спустя исследователи Symantec и Palo Alto Networks предупреждают, что Shamoon вернулся. Вредонос снова был нацелен на как минимум одну неназванную компанию в Саудовской Аравии и содержал в настройках жестко закодированные учетные данные от компьютеров ее сотрудников, чтобы угроза могла распространиться быстро и нанести как можно больше вреда. Как и в 2012 году малварь затирает информацию на дисках и переписывает MBR. В конце Shamoon демонстрирует известное фото погибшего Айлана Курди — сирийского мальчика трех лет, который был беженцем курдского происхождения. Курди погиб вместе с несколькими родственниками 2 сентября 2015 года, когда его семья пыталась пересечь Средиземное море.


По данным специалистов, атака произошла вечером 17 ноября 2016 года, и эта дата тоже была выбрана не случайно: в это время в Саудовской Аравии отмечают Ночь предопределения, то есть атака началась одновременно с праздничными выходными.

Исследователи пишут, что сама малварь практически аналогична образчику 2012 года. Shamoon по-прежнему содержит три основных компонента: ****ер, компонент для коммуникаций с управляющим сервером и компонент для стирания данных, основанный на драйвере RawDisk компании EldoS. Благодаря RawDisk вредоносу практически не нужно взаимодействовать с Windows, он сразу обращается к жестким дискам. Этот же драйвер использовался в 2014 году во время атаки на Sony Pictures. Также специалисты отмечают, что во время новой атаки компонент для связи c C&C-сервером был отключен, то есть настроен на IP-адрес 1.1.1.1, где нет и никогда не было инфраструктуры Shamoon.

По мнению экспертов, за новой атакой стоит та же группа хакеров, что и в 2012 году. На это указывает тот факт, что RawDisk подменяет системное время на август 2012 года, — эта дата является дедлайном, после которого истекает временная лицензия, которая так же использовалась для атаки в 2012 году.