ايتنا - هکرهای ایرانی مظنون اصلی انتشار بدافزار پاک کننده داده‌ها به نام Shamoon

هکرهای ایرانی مظنون اصلی انتشار بدافزار پاک کننده داده‌ها به نام Shamoon

ایتنا - در تمام این موارد، سیستم‌های آلوده شده تبلیغات هدفمندی از جمله تصاویر سوزاندان پرچم آمریکا و یک کودک سوری غرق شده را نمایش می‌دادند.

سیل اخیر حملات دربرگیرنده خانواده بدافزار پاک کننده داده‌ها به نام Shamoon به گروه هک ایرانی APT33 انتساب داده شده است.

به گزارش ایتنا از شماران سیستم به نقل از ZDNet، تیم «جست‌وجوی تهدیدات پیشرفته» مک‌آفی اعلام کرد که گروهی به نام APT33 احتمالا عامل حملات اخیر علیه برخی از نقش‌آفرینان صنعتی در خاورمیانه و اروپا بوده است.

گفتنی است در اوائل ماه دسامبر بود که خبری درباره حضور بدافزار Shamoon بر روی شبکه‌های یک شرکت پیمانکار نفت و گاز ایتالیایی به نام Saipem مخابره شد.
این کمپانی در خاورمیانه، هند، ایتالیا، و اسکاتلند فعالیت دارد.

مک‌آفی در یک پست بلاگ خود اعلام کرد که مشخص شده است که حملات مبتنی بر Shamoon علاوه بر مشارکت در هجوم‌های مستقیم در پشتیبانی از زنجیره‌‌ای از حملات شناسایی شده‌اند.

گفتنی است Shamoon یک بدافزار فوق‌العاده مخرب است که برای پاک کردن سیستم‌های آلوده‌شده‌اش با بازنویسی اطلاعات بی‌ارزش بر روی اطلاعات موجود طراحی شده است.

تاکنون دو ورژن از این بدافزار در سال‌های اخیر به ثبت رسیده‌اند.
قدیمی‌ترین مورد دربرگیرنده Shamoon در سال 2012 علیه شرکت نفت آرامکوی سعودی بود که منتج به پاک شدن حداقل 30 هزار PC شد، در حالی که در طی سال‌های 2016 و 2017، هم یک پاک‌کننده Shamoon ارتقاء یافته و هم پاک‌کننده Stonedrill استفاده شدند.

در تمام این موارد، سیستم‌های آلوده شده تبلیغات هدفمندی از جمله تصاویر سوزاندان پرچم آمریکا و یک کودک سوری غرق شده را نمایش می‌دادند.

این پاک‌کننده دربرگیرنده سه آپشن است: اجرا در حالت ساکت، یک اسکریپت همیشه فعال افزایش بهره‌برداری، و یک ردگیر برای ثبت تعداد فولدرها و فایل‌های پاک شده.

در حالی که جدیدترین نسخه Shamoon شدیدا رمزنگاری شده است، ولی تولکیت بسته‌بند‌ی‌شده .NET آن که Shamoon v.3 و Filerase را گسترش می‌دهد از چنان حفاظتی برخوردار نیست.

پس از مهندسی معکوس این بسته، که مبهم‌سازی نشده بود، محققان نوشته مبتنی بر ASCII فوق را یافتند که شبیه متن عربی برگرفته از کتاب مقدس مسلمانان بود.

مک‌آفی می‌گوید: «انتساب این حمله کار دشواریست زیرا ما تمام قطعه‌های پازل را نیافته‌ایم. ما قویا معتقدیم که این جمله همراستا با تکنیک‌های Shamoon v.2 است. بیان‌های سیاسی بخشی از هر یک حملات Shamoon بوده‌اند. [...] اکنون ما آیه‌ای از قرآن را می‌بینیم، که می‌تواند گویای آن باشد که هکر مربوطه به یک منازعه دیگر خاورمیانه مرتبط است و می‌خواهد منظوری را برساند».

او سپس این ادعا را مطرح می‌کند که قطعا ممکن است هکرهای ایرانی در بطن این موضوع بوده باشند، به ویژه با توجه به تنش‌های سیاسی اخیر بین این کشور و ایالات متحده در رابطه با خروج دولت ترامپ، در ماه مه، از توافق هسته‌ای 2015 با ایران.