Malware Shamoon - Attacco di cyber sabotaggio contro Saipem - Rocco Balzamà | Comunicazione & Cybersecurity | Ethical & Growth Hacker | Graphics and Web Designer - Marketing e Data Protection Management
Mostra tutti

Malware Shamoon – Attacco di cyber sabotaggio contro Saipem

Malware Shamoon – Attacco di cyber sabotaggio contro la infrastrutture critiche e la Saipem

Shamoon è tornata….. una delle famiglie di malware più distruttive che nel 2012 ha causato danni al più grande produttore di petrolio dell’Arabia Saudita e questa volta ha preso di mira organizzazioni del settore energetico che operano principalmente in Medio Oriente.

All’inizio di questa settimana, la compagnia italiana di perforazione petrolifera Saipem è stata attaccata e i file sensibili su circa il 10% dei suoi server sono stati distrutti, soprattutto in Medio Oriente, tra cui Arabia Saudita, Emirati Arabi Uniti e Kuwait, ma anche in India e Scozia.

Saipem ha ammesso mercoledì che il virus informatico utilizzato nell’ultimo attacco cibernetico contro i suoi server è una variante di Shamoon, un malware di pulizia del disco che è stato utilizzato nei più dannosi attacchi cibernetici della storia contro Saudi Aramco e RasGas Co Ltd e ha distrutto dati su più di 30.000 sistemi.

L’attacco informatico contro Saudi Aramco, che è il più grande cliente di Saipem, è stato attribuito all’Iran, ma non è chiaro chi c’è dietro gli ultimi attacchi informatici contro Saipem.
Nel frattempo, Chronicle, la filiale di cybersecurity di Google, ha scoperto anche un file contenente un campione di Shamoon che è stato caricato sul servizio di analisi di file VirusTotal il 10 dicembre (lo stesso giorno in cui Saipem è stata attaccata) da un indirizzo IP in Italia, dove Saipem ha la sua sede centrale.

Analizziamo il Malware Shamoon

Shamoon, noto anche come W32.DisTrack, è un virus informatico modulare scoperto da Seculert nel 2012, rivolto alle recenti versioni del kernel NT a 32 bit di Microsoft Windows. È stato osservato che il virus ha un comportamento diverso da altri attacchi malware, a causa della natura distruttiva e del costo dell’attacco e del recupero.

Conosciuto anni dopo come il più grande hack della storia

il virus era apparentemente destinato alla guerra informatica. Shamoon può diffondersi da una macchina infetta ad altri computer in rete. Una volta che un sistema è infetto, il virus continua a compilare un elenco di file da posizioni specifiche sul sistema, caricarli sull’aggressore e cancellarli. Infine, il virus sovrascrive il master boot record del computer infetto, rendendolo inutilizzabile. Il virus è stato utilizzato per una guerra informatica contro le compagnie petrolifere nazionali dell’Arabia Saudita e del Qatar RasGas.

Shamoon Payload

Shamoon è stato scoperto per la prima volta nel 2012, e poi, dopo un lungo periodo di silenzio, una versione evoluta del malware è stata utilizzata in attacchi contro varie organizzazioni saudite nel 2016 e 2017, rivolgendosi a molteplici settori industriali, compresi il settore dei servizi pubblici e finanziari.
Non è ancora chiaro chi abbia effettivamente creato Shamoon, ma i ricercatori della sicurezza sono ampiamente convinti che i gruppi di hacking iraniani OilRig, Rocket Kitten e Greenbug che lavorano per conto del governo iraniano fossero alla base dei precedenti attacchi di Shamoon, anche se l’Iran ha fortemente negato.

Shamoon utilizza una serie di componenti per infettare i computer. Il primo componente è un “dropper”, che crea un servizio con il nome ‘NtsSrv’ per rimanere persistente sul computer infetto. Si diffonde in una rete locale copiandosi su altri computer e installa componenti aggiuntivi sui computer infetti. Il “dropper” è disponibile nelle versioni a 32 bit e 64 bit.

Il malware Shamoon  contiene anche un componente di disk wiping, che utilizza un driver prodotto da Eldos noto come RawDisk per ottenere l’accesso diretto in modalità utente a un disco rigido senza utilizzare le API di Windows. Il componente sovrascrive i file con porzioni di un’immagine.

La sua scoperta è stata annunciata il 16 agosto 2012 da Symantec, Kaspersky Lab, e Seculert. Kaspersky Lab e Seculert hanno evidenziato similitudini tra Shamoon e il malware Flame.

Tuttavia, il Chronicle non era sicuro di chi ha creato i campioni Shamoon appena scoperti o chi li ha caricati sul sito di scansione dei virus.
L’ultimo attacco contro Saipem ha paralizzato più di 300 dei suoi server e circa 100 personal computer su un totale di circa 4.000 macchine, anche se la società ha confermato di aver già eseguito il backup dei computer interessati, quindi non c’è alcuna possibilità di perdita di dati nell’attacco informatico.
“Saipem riferisce che l’attacco informatico ha colpito i server basati in Medio Oriente, India, Aberdeen e, in modo limitato, l’Italia attraverso una variante del malware Shamoon”, ha detto Saipem nel suo comunicato stampa. “Le attività di ripristino, in modo graduale e controllato, sono in corso attraverso le infrastrutture di backup e, una volta completate, ripristineranno il pieno funzionamento dei siti colpiti”. Shamoon, noto anche come Disttrack, funziona disabilitando i sistemi sovrascrivendo i file chiave del computer, compreso il master boot record (MBR), rendendo impossibile l’avvio dei computer.

Il malware può anche propagarsi rapidamente attraverso le reti infette utilizzando il protocollo Windows Server Message Block (SMB), simile ad altri malware distruttivi conosciuti come WannaCry e NotPetya.

 

Rocco Balzamà

Rocco Balzamà

Admin & CEO Rocco Balzamà Studio & Agency at Rocco Balzama Digital Agency
Ethical & Growth Hacker | CEH | OSCP | Information Security Senior Manager | Data Governance & Privacy Solutions | Marketing Manager | Cyber Coaching | Penetration Tester... Tutto ebbe inizio nell'estate del 1983, quando le mie mani toccarono per la prima volta una tastiera... ancora oggi, con lo stesso entusiasmo che avevo da bambino aiuto le aziende a proteggersi ed evolversi nel mondo digitale.
Rocco Balzamà