شرکت ایتالیایی سایپم از آلوده شدن حدود 10 درصد از سرورهایش در کشورهای عربستان سعودی، امارات متحده عربی، کویت، هند، اسکاتلند و ایتالیا به نسخه جدیدی از بدافزار مخرب Shamoon خبر داده است.
سایپم، از جمله پیمانکاران شناخته شده در صنعت نفت و گاز است.
به گزارش شرکت مهندسی شبکه گستر، بدافزار Shamoon که با نام DistTrack نیز شناخته میشود، اولین بار در سال ۱۳۹۱ مشاهده شد. در آن سال، انتشار این بدافزار منجر به تخریب سیستمهای عامل 30 هزار دستگاه شد. با توجه به آمار آلودگیهای گزارش شده در آن زمان، شرکتهای ضدویروس، هدف اصلی این بدافزار را سازمانهای فعال در حوزه انرژی (نفت و گاز)، از جمله، شرکت نفت عربستان سعودی، آرامکو اعلام کردند.
در اواخر 1395 دو نسخه جدید از Shamoon باز هم عربستان سعودی را هدف قرار دادند.
Shamoon با جایگزین کردن بخشهای Master Boot Record و Boot Sector دیسک سخت دستگاه و فایلهای موجود در برخی پوشههای بااهمیت با دادههایی خراب، سبب بالا نیامدن سیستم آلوده شده میشود.
برخی منابع، این بدافزار را محصول هکرهای ایرانی می دانند.
اکنون بهنظر میرسد که نوییسندگان Shamoon مجددا پس از غیبتی چندساله، فعالیت خود را از سر گرفتهاند.
یکی از شرکتهای زیرمجموعه گوگل نیز از شناسایی فایلی آلوده به این بدافزار خبر داده که در 19 آذر ماه همزمان با اجرای حمله سایبری بر ضد سرورهای سایپم بر روی سایت VirusTotal ارسال شده است. نشانی IP دستگاهی که فایل از روی آن ارسال شده متعلق به کشور ایتالیا گزارش شده است. با این حال جزییاتی در خصوص سازنده فایل مذکور و ارسالکننده آن به سایت VirusTotal منتشر نشده است.
سایپم اعلام کرده که فرایند بازگردانی اطلاعات با استفاده از نسخههای پشتیبان در حال اجراست.
اطلاعات بیشتر در خصوص بدافزار Shamoon در اینجا قابل دریافت و مطالعه است.
نمونه ارسالی به VirusTotal نیز با نامهای زیر قابل شناسایی میباشد:
Bitdefender:
– Gen:Trojan.Brresmon.Gen.1
McAfee:
– Trojan-Wiper!DE07C4AC94A5
Sophos:
– Troj/Wonton-AES