بدافزار سایبری که در سال 2012 باعث پاک شدن اطلاعات بیش از 30.000 کامپیوتر شرکت نفت کشور عربستان شد، دوباره بازگشته و می تواند سرورهای میزبان ماشین های مجازی را هدف قرار دهد.
این بدافزار به نام Shamoon و یا Disttrack شناخته می شود و جزء بدافزار های پاک کننده دیسک شناخته می شوند. همین ابزار در سال 2013 در آمریکا بر علیه Sony Pictures Entertainment استفاده شده و همچنین بر علیه بسیاری از بانک ها و سازمان ها در کره شمالی نیز استفاده شده است.
Shamoon اولین بار در سال 2012 و حمله به Saudi Aramco مورد استفاده قرار گرفت. این بدافزار بر روی کامپیوترهای دیگر در شبکه و با استفاده از سرقت مجوزها پخش شده و اطلاعات را پاک می نماید.
در نوامبر سال گذشته، محققان شرکت Symantec در گزارشی اعلام کردند که نوع جدیدی از Shamoon را پیدا نموده که در موج حمله جدید به کشور عربستان مورد استفاده قرار گرفته است. این نسخه به گونه ای برنامه ریزی شده بود که در تاریخ 17 نوامبر در ساعت 20:45 به وقت محلی عربستان کار خود را آغاز کند. دقیقا زمانی کوتاه بعد از اتمام کار کارمندان و آغاز تعطیلات آخر هفته.
محققان شرکت Palo Alto Networks نیز یک نوع دیگری از آن را پیدا نموده که هدف آن متفاوت بوده است. این نسخه یک تاریخ آغاز داشته است. روز 29 نوامبر کار پاک کردن اطلاعات را آغاز می نموده است به همراه مجوز کاربران همان شرکت هدف، که بتواند به راحتی در شبکه گسترش پیدا کند.
بعضی از این اطلاعات مربوط به کاربران Windows domain بوده اما بعضی از آنها نام کاربری و رمز عبور پیش فرش Huawei FusionCloud که یک راهکار ماشین مجازی ( VDI ) می باشد بوده است.
محصولات VDI مانند Huawei FusionCloud اجازه می دهد تا چندین ماشین مجازی بر روی مرکز داده نصب شوند. سپس کاربران بوسیله thin clients و با اطلاعات حساب کاربری خود به آن متصل می شوند. با این کار مدیریت ایستگاه های کاری در شعب مختلف راحتتر می شود.
مزیت دیگر آن گرفتن snapshot از ماشین های مجازی می باشد و به مدیر شبکه این امکان را می دهد تا در صورت بروز مشکل به راحتی، به یک حالت درست بازگردد.
ظاهرا هکرها در خصوص این شرکت اطلاعات داشته و می دانستند که از Huawei VDI استفاده می کنند و پی برده اند که تنها با استفاده از اطلاعات به سرقت رفته کاربران نمی توانند کار خود را به درستی انجام دهند.
محققان Palo Alto Networks می گویند: ” این واقعیت که هکرهای Shamoon اطلاعات نام کاربری و رمز عبور داشته اند نشان می دهد که آنها قصد دسترسی به این تکنولوژی ها را داشته تا تاثیر مخرب را افزایش دهند. اگر این چنین باشد، یک پیشرفت بزرگ بوده و شرکت ها باید راهکارهای امنیتی بیشتری در خصوص استفاده از VDI ها به کار گیرند.”
در آینده ممکن است باج افزارها از این نقص استفاده نمایند. در حال حاضر نیز بعضی از باج افزار ها قبل از رمز کردن فایل ها ابتدا فایل های پشتیبان را پاک می کنند. ممکن است از همین ترفند برای پاک کردن snapshot ها استفاده نمایند.
نام هیچ کدام از شرکت های مورد حمله در ماه نوامبر فاش نشده است.