Symantec: Grupa Greenburg stoi za wirusem Shamoon?

Z raportu firmy Symantec wynika, że ​​seria ostatnich włamań w Arabii Saudyjskiej jest podobna do cyberataków z 2012 roku, kiedy zakłócone zostało funkcjonowanie wielu saudyjskich przedsiębiorstw energetycznych. Tajemniczy sprawcy destrukcyjnych cyberataków z 2012 roku byli wspomagani przez zaawansowany wirus Shamoon, rozprowadzany przez mniejsze grupy hakerów. Złośliwy szkodnik, jakim jest Shamoon, rozprowadzany jest w dwóch wersjach: starszej znanej jako W32.Disttrack i nowszej W32.Disttrack.B.

Według ekspertów Symanteca istnieją związki między wirusem Shamoon i grupą cyberszpiegowską, o nazwie Greenbug. Grupa ta wysyła maile phishingowe za pomocą których infekowane są komputery na celowniku hakerów. Z raportu Symanteca wynika, że często celem są instytucje lotnictwa Bliskiego Wschodu, instytucje rządowe, finansowe czy edukacyjne. W okresie od czerwca do listopada 2016 roku grupa Greenburg wielokrotnie wykorzystała Trojan.Ismdoor przeciwko wielu instytucjom z państw Środkowego Wschodu. Jego działanie polega na wyłudzaniu informacji z zainfekowanych komputerów.

Czytaj też: Wirus Shamoon znów atakuje

Naukowcy, którzy opracowali raport dla Symateca twierdzą, że istnieje co najmniej jeden przypadek, w którym zarówno Shamoon, jak i złośliwe oprogramowanie używane przez grupę Greenbug mogły być jednocześnie aktywne wewnątrz sieci komputerowej ofiary. Przez lata eksperci próbowali odpowiedzieć na pytanie, w jaki sposób Shamoon wprowadza złośliwe oprogramowanie. Możliwe że grupa Greenbug, działająca jako partner szpiegowski dla Shamoon, zbiera informacje potrzebne do przeprowadzania ataku, w którym dysk ofiary zostaje wyczyszczony. Greenbug może odpowiedzieć na pytanie, jak Shamoon uzyskuje dane uwierzytelniające niezbędne do wykonywania ataków, które niszczą dane na dyskach.

Grupa Greenbug uzyskuje niestandardowe informacje poprzez wprowadzenie Trojan.Ismdoor, jak również posiada szeroki wybór narzędzi hakerskich do kradzieży poufnych danych uwierzytelniających z zaatakowanych organizacji. Chociaż nie udowodniono ostatecznie powiązań między Greenbug i Shamoon, co najmniej jeden komputer z państwowych organizacji został zainfekowany przez W32.Disttrack.B w dniu 17 listopada 2016 r. Symantec uważa, że hakerzy mają wyłączny dostęp do malware Trojan.Ismdoor. Grupa wykorzystuje dodatkowe narzędzia do połączenia innych komputerów w sieci i kradzieży nazw użytkowników i haseł do systemów operacyjnych, kont e-mail oraz przeglądarek internetowych.

W okresie od czerwca do listopada 2016 roku Trojan.Ismdoor użyto przeciwko kilku celom w wielu sektorach na całym Bliskim Wschodzie. W ramach tego działania, do ataków na organizacje działające w sektorze energetycznym był używany do obsługi Ismdoor. Ataków dokonywano na wpływowe organizacje zaangażowane w lotnictwo, rząd, inwestycje i edukację. Regiony dotknięte tymi atakami obejmują Arabię Saudyjską, Iran, Irak, Bahrajn, Katar, Kuwejt i Turcję. Saudyjskiego organizacji w Australii również ukierunkowane.

Według ekspertów firmy Symantec, ataki zaczynają się od wiadomości e-mail z prośbą do odbiorcy, aby pobrać archiwum RAR zawierającego rzekomą propozycję biznesową. Dokumenty będące przynętą były hostowane na specjalnej stronie, która może być uprzednio zhakowana przez Greenbug. Ismdoor malware jest ukryty wewnątrz archiwum RAR. Następnie otwiera on tzw. „tylne drzwi” na zainfekowanym komputerze, wykorzystując Windows PowerShell dla dowodzenia i kontroli. Wtedy trojan ma możliwość zainstalowania innego złośliwego oprogramowania, a także pobranie danych systemowych zainfekowanych komputerów, których można użyć do określenia, jakie dodatkowe narzędzia są potrzebne do dalszego zbierania danych.

Eksperci z Symanteca próbują odpowiedzieć na pytanie czy grupa Greenbug jest odpowiedzialna za rozpowszechnianie wirusa Shamoon. Obecność Greenbug w sieci zaatakowanej organizacji przed destrukcyjnym atakiem z udziałem W32.Disttrack.B zapewnia jedynie chwilowe połączenie Shamoon. Symantec śledzi te grupy oddzielnie. Aktualnie bada ona doniesienia o nowej aktywności Shamoon na Bliskim Wschodzie. Czy dowody na aktywność Greenbug zostaną odkryte w trakcie kontroli, to się dopiero okaże. Jednak jedno jest pewne, destrukcyjne ataki przeprowadzane przez Shamoon nadal są bardzo niebezpieczne dla wielu organizacji i instytucji na Bliskim Wschodzie.

Biorąc pod uwagę geopolityczną rywalizację Arabii Saudyjskiej i Iranu, z dużą dozą prawdopodobieństwa można podejrzewać, że autorami złośliwego oprogramowania są irańscy hakerzy. Reżim ajatollahów, który był ofiarą zaawansowanego robaka Stuxnet, dynamicznie rozpoczął rozwój cyberzdolności. Atak na saudyjskie przedsiębiorstwo Aramco w 2012 roku miał być próbką możliwości irańskich hakerów oraz odwetem za amerykański atak cyfrowy na ośrodek wzbogacania uranu w Natanaz. Arabia Saudyjska i Iran toczą proxy wars w Syrii i Jemenie walcząc o prymat w świecie arabskim. Ta rywalizacja toczy się również w cyberprzestrzeni.