Phần mềm độc hại Shamoon là gì và Mục tiêu của nó là gì?

Phần mềm độc hại và vi rút là một trong những vấn đề khó khăn nhất mà các chuyên gia bảo mật máy tính phải đối mặt. Khi ngày càng có nhiều hoạt động kiểm soát công nghiệp và thương mại trên thế giới được thực hiện bằng máy tính, thì mối đe dọa lây nhiễm hệ thống và những hậu quả của nó đã tăng lên theo cấp số nhân. Sự xuất hiện của ransomware đe dọa xóa dữ liệu của máy tính nếu không đáp ứng được yêu cầu của những kẻ tấn công là một biến thể có thể dẫn đến thiệt hại tài chính nghiêm trọng ảnh hưởng đến những người dùng bị ảnh hưởng.



Các loại virus khác được thiết kế đơn giản để thực hiện các hành vi phá hoại trên các máy mà chúng lây nhiễm. Không có yêu cầu tiền chuộc có thể lưu dữ liệu trên máy bị nhiễm. Mục tiêu của kiểu tấn công này là phá hủy chức năng của các máy được nhắm mục tiêu.

Một trong những loại virus nguy hiểm nhất hiện đang gây ra tình trạng hỗn loạn và tàn phá được biết đến với tên gọi Shamoon. Nó tấn công các máy tính đang chạy hệ điều hành Microsoft Windows. Hãy cùng xem xét kỹ loại vũ khí có khả năng tàn phá này trong kho vũ khí của các chiến binh mạng.



cách khôi phục tập tin ppt chưa được lưu

Shamoon là gì và nó hoạt động như thế nào?

Shamoon, còn được gọi là W32.Distrack, là một chương trình phần mềm độc hại xóa sạch đĩa tích cực, lần đầu tiên được nhìn thấy trong các cuộc tấn công vào lĩnh vực năng lượng của Ả Rập Xê Út năm 2012 . Việc phát hiện ra phần mềm độc hại đã được công bố bởi Symantec , Seculert và Kaspersky Labs vào tháng 8 năm 2012. Trong các cuộc tấn công năm 2012, các máy tính bị nhiễm phần mềm độc hại đã bị xóa sạch bản ghi khởi động chính và được thay thế bằng hình ảnh lá cờ Hoa Kỳ đang cháy. Các biến thể của Shamoon sử dụng các hình ảnh khác khi ghi đè các tệp của máy tính.

Shamoon không yêu cầu tiền chuộc và đây là một ví dụ về phần mềm độc hại được vũ khí hóa được thiết kế để sử dụng trong chiến tranh mạng. Nó sử dụng sự kết hợp của một số thành phần để lây nhiễm vào máy tính. Họ đang:

  • Dropper - Đây là thành phần đầu tiên và được sử dụng để tạo một dịch vụ liên tục trên máy tính bị nhiễm có tên NtsSrv. Nó có các phiên bản 32 và 64 bit và giảm tải trọng dựa trên kiến ​​trúc mà nó phát hiện ra. Nó tự sao chép sang các máy tính khác trong mạng để phát tán mã độc của nó.
  • Wiper - Thành phần tiếp theo của Shamoon là cần gạt nước, được sử dụng để thả thành phần thứ ba. Đây là trình điều khiển Eldos và được sử dụng để ghi đè lên bản ghi khởi động chính (MBR) của đĩa cứng bằng hình ảnh hiện tại được nhúng trong phần mềm độc hại. Trình điều khiển cho phép truy cập ở chế độ người dùng vào đĩa cứng mà không cần sử dụng API cửa sổ. Sau khi MBR bị ghi đè, hệ thống không sử dụng được.
  • The Reporter - Thành phần cuối cùng này thiết lập giao tiếp với một máy chủ điều khiển và chỉ huy. Những kẻ tấn công vận hành máy chủ này và có thể sử dụng nó để tải xuống mã bổ sung, thay đổi thời gian xóa đĩa được định cấu hình trước và gửi báo cáo để xác minh rằng một đĩa cụ thể đã bị phá hủy.

Ai là người đứng sau Shamoon?

Bản chất phá hoại và mục tiêu được lựa chọn chính xác của các vụ xâm nhập Shamoon hiện tại cho thấy rằng đó là công việc của một nhóm tin tặc phối hợp. Dựa theo infoworld.com , các chuyên gia bảo mật tại McAfee tin rằng nhóm ban đầu đằng sau phần mềm độc hại đã được thay thế bằng khả năng chiến tranh mạng của một quốc gia giả mạo. Mặc dù công ty không nêu rõ tên thủ phạm, nhưng bằng chứng cho thấy các nhóm hacker Iran có thể có liên hệ với chính phủ của họ.

Dòng thời gian phần mềm độc hại Shamoon (thông qua Kaspersky)

Làn sóng tấn công đầu tiên của Shamoon

Khi mới nuôi cái đầu xấu xí, Shamoon bị phát hiện đã lây nhiễm vào máy tính của công ty dầu mỏ Ả Rập Saudi Saudi Aramco. Dựa theo cnet.com , hơn 30.000 máy trạm tại công ty đã bị ảnh hưởng bởi phần mềm độc hại này. Một nhóm tự xưng là Cut Sword of Justice đã lên tiếng nhận trách nhiệm về vụ tấn công.



Lời biện minh của họ cho việc nhắm mục tiêu vào công ty năng lượng là mối quan hệ chặt chẽ mà công ty này có với chính phủ Ả Rập Xê Út. Lý do của cuộc tấn công là để trả thù cho những tội ác được cho là người Ả Rập Xê Út đã gây ra cho các nước láng giềng trong khu vực như Syria và Lebanon. Chính phủ Iran bị nghi ngờ là sự trả đũa cho việc Saudi Aramco cam kết sản xuất thêm dầu để duy trì nguồn cung trong thời gian Hoa Kỳ-Liên minh châu Âu cấm vận Iran.

Cuộc tấn công này được coi là lần đầu tiên sử dụng phần mềm độc hại đáng kể để tiến hành một cuộc tấn công. Các sáng kiến ​​hacktivist trước đây thường được thực hiện thông qua các cuộc tấn công từ chối dịch vụ (DDoS) phân tán. Mặc dù không thể chứng minh được liên kết chính xác, vài ngày sau cuộc tấn công Shamoon, các chi tiết nhạy cảm bao gồm mật khẩu quản trị liên quan đến giám đốc điều hành của Saudi Aramco đã được đăng trên Pastebin. Đây có thể là sự trùng hợp ngẫu nhiên hoặc kết quả của việc thành phần báo cáo của Shamoon sao chép các chi tiết quan trọng lên Internet trước khi tiến hành quy trình xóa đĩa.

Các sự kiện gần đây liên quan đến kỳ nghỉ

Shamoon tái xuất vào năm 2016 trong một phiên bản mới cũng tập trung vào các mục tiêu của Ả Rập Xê Út. Nó đã được thiết lập để bắt đầu phá hủy đĩa vào tối thứ Năm, trùng với kết thúc tuần làm việc của Ả Rập Xê Út để gây ra thiệt hại tối đa trước khi bị phát hiện. Phần mềm độc hại cũng được cấu hình với mật khẩu bị đánh cắp từ các tổ chức được nhắm mục tiêu. Một số kế hoạch nghiêm túc đã bắt đầu thực hiện cuộc tấn công này, điều này cho thấy một nhóm được tổ chức tốt đang thúc đẩy hành động.

Phần mềm độc hại này dường như đã biến mất sau các cuộc tấn công vào năm 2016, chỉ xuất hiện trở lại vào cuối năm 2018. Có vẻ như mã đang được sử dụng lại định kỳ sau khi trải qua các sửa đổi khiến nó thậm chí còn có sức hủy diệt lớn hơn. Dựa theo symantec.com , phiên bản mới nhất của phần mềm độc hại này có tính năng xóa mới xóa các tệp khỏi máy tính bị nhiễm trước khi xóa bản ghi khởi động chính.

Trình gạt nước mới khiến việc khôi phục dữ liệu thường trú trên các máy bị nhiễm không thể thực hiện được. Trong chiêu bài trước đây, Shamoon khiến máy móc không thể sử dụng được, nhưng vẫn có tiềm năng khôi phục dữ liệu từ các máy bị tê liệt. Đây không phải là trường hợp của phiên bản mới, phiên bản này cũng chứa danh sách các máy tính được gắn mạng để tạo điều kiện dễ dàng cho việc lây lan vi-rút sau khi nó đã lây nhiễm vào một máy tính. Một thành phần mới trong Shamoon được gọi là Spreader tham khảo danh sách máy tính và sao chép thành phần xóa vào tất cả các thiết bị trong danh sách.

Các cuộc tấn công mới này cũng tập trung vào các công ty liên quan đến ngành công nghiệp khí đốt và dầu mỏ. Doanh nghiệp dịch vụ dầu khí Saipem của Ý đã bị hàng trăm máy chủ đặt tại Trung Đông tấn công. Các tổ chức khác ở Các Tiểu vương quốc Ả Rập Thống nhất và Ả Rập Xê Út cũng bị ảnh hưởng trong cùng tuần.

Nghiên cứu về Bảo vệ Chống lại Virus Shamoon

Các biến thể mới của Shamoon đang được ngụy trang thành các gói phần mềm hợp pháp, theo bleepingcomputer.com . Các biến thể gần đây chứa các chứng chỉ kỹ thuật số đã hết hạn từ công ty công nghệ Baidu của Trung Quốc. Tên tệp nội bộ chỉ ra rằng các tệp được liên kết với việc thiết lập điểm phát sóng Baidu. Có vẻ như các thế lực đằng sau phần mềm độc hại đang mài giũa các phương pháp phân phối của họ với hy vọng tránh bị phát hiện.

root có nghĩa là gì trên điện thoại

Các chuyên gia khôi phục dữ liệu rõ ràng quan tâm đến khả năng hỗ trợ khách hàng của họ sau khi họ gặp sự cố mất dữ liệu. Sự phá hủy do Shamoon ban đầu gây ra chỉ giới hạn trong MBR của máy bị ảnh hưởng. Việc tháo ổ cứng và đặt nó vào một máy tính khác có thể dẫn đến việc khôi phục dữ liệu của nó. Các biến thể hiện tại của phần mềm độc hại đặt ra vấn đề thêm về các tệp đã bị xóa.

Các kỹ sư tại CleverFiles đang tiến hành nghiên cứu sâu rộng về khả năng các thuật toán của họ có thể khôi phục thành công dữ liệu bị xóa do nhiễm Shamoon. Phần mềm khôi phục dữ liệu Disk Drill của họ có thể khôi phục các tệp vô tình bị xóa cũng như dữ liệu từ các đĩa đã được định dạng. Nghiên cứu hiện tại đang tập trung vào việc đạt được khả năng khôi phục dữ liệu từ các máy đã bị tấn công bởi Shamoon.

Thật không may, sự hiện diện của phần mềm độc hại phá hoại chỉ có khả năng phát triển theo thời gian. Việc bảo vệ khỏi các cuộc tấn công tàn phá này cần bao gồm tính năng phát hiện để ngăn chặn sự xâm nhập của phần mềm độc hại cũng như các công cụ giúp khôi phục máy tính bị hỏng. Hoạt động song song, phần mềm chống vi-rút và khôi phục dữ liệu có thể giúp các hệ thống kỹ thuật số quan trọng của chúng tôi vẫn an toàn.