سیل اخیر حملات دربرگیرنده خانواده بدافزار پاک کننده دادهها به نام Shamoon به گروه هک ایرانی APT33 انتساب داده شده است.
به گزارش وبینوکس از شماران سیستم به نقل از ZDNet، تیم «جستوجوی تهدیدات پیشرفته» مکآفی اعلام کرد که گروهی به نام APT33 احتمالا عامل حملات اخیر علیه برخی از نقشآفرینان صنعتی در خاورمیانه و اروپا بوده است.
گفتنی است در اوائل ماه دسامبر بود که خبری درباره حضور بدافزار Shamoon بر روی شبکههای یک شرکت پیمانکار نفت و گاز ایتالیایی به نام Saipem مخابره شد.
این کمپانی در خاورمیانه، هند، ایتالیا، و اسکاتلند فعالیت دارد.
مکآفی در یک پست بلاگ خود اعلام کرد که مشخص شده است که حملات مبتنی بر Shamoon علاوه بر مشارکت در هجومهای مستقیم در پشتیبانی از زنجیرهای از حملات شناسایی شدهاند.
گفتنی است Shamoon یک بدافزار فوقالعاده مخرب است که برای پاک کردن سیستمهای آلودهشدهاش با بازنویسی اطلاعات بیارزش بر روی اطلاعات موجود طراحی شده است.
تاکنون دو ورژن از این بدافزار در سالهای اخیر به ثبت رسیدهاند.
قدیمیترین مورد دربرگیرنده Shamoon در سال 2012 علیه شرکت نفت آرامکوی سعودی بود که منتج به پاک شدن حداقل 30 هزار PC شد، در حالی که در طی سالهای 2016 و 2017، هم یک پاککننده Shamoon ارتقاء یافته و هم پاککننده Stonedrill استفاده شدند.
در تمام این موارد، سیستمهای آلوده شده تبلیغات هدفمندی از جمله تصاویر سوزاندان پرچم آمریکا و یک کودک سوری غرق شده را نمایش میدادند.
این پاککننده دربرگیرنده سه آپشن است: اجرا در حالت ساکت، یک اسکریپت همیشه فعال افزایش بهرهبرداری، و یک ردگیر برای ثبت تعداد فولدرها و فایلهای پاک شده.
در حالی که جدیدترین نسخه Shamoon شدیدا رمزنگاری شده است، ولی تولکیت بستهبندیشده .NET آن که Shamoon v.3 و Filerase را گسترش میدهد از چنان حفاظتی برخوردار نیست.
پس از مهندسی معکوس این بسته، که مبهمسازی نشده بود، محققان نوشته مبتنی بر ASCII فوق را یافتند که شبیه متن عربی برگرفته از کتاب مقدس مسلمانان بود.
مکآفی میگوید: «انتساب این حمله کار دشواریست زیرا ما تمام قطعههای پازل را نیافتهایم. ما قویا معتقدیم که این جمله همراستا با تکنیکهای Shamoon v.2 است. بیانهای سیاسی بخشی از هر یک حملات Shamoon بودهاند. [...] اکنون ما آیهای از قرآن را میبینیم، که میتواند گویای آن باشد که هکر مربوطه به یک منازعه دیگر خاورمیانه مرتبط است و میخواهد منظوری را برساند».
او سپس این ادعا را مطرح میکند که قطعا ممکن است هکرهای ایرانی در بطن این موضوع بوده باشند، به ویژه با توجه به تنشهای سیاسی اخیر بین این کشور و ایالات متحده در رابطه با خروج دولت ترامپ، در ماه مه، از توافق هستهای 2015 با ایران.
ورود به سایت