انتشار شده در تاریخ 1397/09/24 - 08:12

اطلاعات تکمیلی از حمله به شرکت سایپم

نوع تازه ای از بدافزار شمعون، همزمان با حمله سایبری علیه شرکت سایپم، از کشور ایتالیا بر روی وبگاه ویروس توتال، آپلود شده است.

به گزارش کارگروه حملات سایبری سایبربان؛ همزمان با جریان حمله سایبری گسترده به شرکت خدمات نفتی سایپم، نسخه جدید نرم افزار مخرب شمعون (Shamoon)، موسوم به دیست ترک (DistTrack) از کشور ایتالیا بر روی وبگاه آنالیز بدافزار ویروس توتال (VirusTotal)، منتشر شد. این در حالی است که متخصصان هنوز ارتباطی میان این بدافزار و حمله سایبری یاد شده، نیافته اند.

این بدافزار، قادر به پاک کردن کلیه اطلاعات از روی حافظه سیستم های آلوده است و رایانه های مورد حمله آن، غیر قابل استفاده می شوند. این بد افزار نیز مانند دیگر انواع مشابهش، از طریق شبکه در میان رایانه های متصل به هم، گسترش می یابد.

کد شمعون، شامل فهرستی از اعتبارنامه های دامنه هارد کد می شود، برای هدف قرار دادن سازمان های خاص و سرقت گواهینامه ها، به کار می رود. با این وجود، بدافزار آپلود شده اخیر در ویروس توتال، فاقد چنین کدهایی بوده است.

شرکت امنیت سایبری گوگل (Google)، کرونیکل (Chronicle)، ویروس شمعون را در فایل آپلود شده در وبگاه ویروس توتال کشف کرد.

بر اساس گزارش وبگاه اکسیوس (Axios)، نسخه جدید شمعون، در تاریخ 7 دسامبر 2017، در ساعت 11:51 فعالیت خود را آغاز کرده، اما در روزهای اخیر آپلود شده است.

برندون لون (Brandon Levene) رئیس بخش اطلاعات کرونیکل، در این مورد گفت:

«ممکن است، مهاجمان برای آغاز سریع عملیات هکری خود، تاریخ حمله را به گذشته تغییر داده باشند. احتمال دیگر این است که این بدافزار، در گذشته به عنوان بخشی از روند آماده سازی برای حمله بعد، ساخته شده باشد.»

نسخه جدید، برخلاف شمعون 2، حاوی لیست بلندتری از فایل های مربوط به کدهای دستوری است. این مسئله با گونه های گیشین این نرم افزار مخرب همخوانی ندارد.

تفاوت دیگر شمعون جدید، با نمونه های پیشین این است که نسخه اخیر همه اطلاعات ارزشمند را رمزگذاری می کند. این در حالی است که شمعون در گشته، همه فایل ها را با عکس و محتوای سیاسی مدنظر خود تغییر می داد.