Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Shamoon / Saudi Aramco

2012.08.27. 13:37 | _2501 | 5 komment

A világ legnagyobb olajipari vállata, a Saudi Aramco izolálta a hálózatát az internettől augusztus 15-én, miután a cég megközelítőleg 30000 (4 db nulla) munkaállomásán találtak valami kártevőt. Igen, a harminc ezer szerintem is soknak tűnik. A www.aramco.com jelenleg is offline, csakúgy mint a levelező szerverük. Az olaj kitermelését és feldolgozását végző eszközök nem érintettek mivel azok fizikailag szeparált rendszerek, így a kitermelés, a feldolgozás, és az olaj zavartalanul folyik továbbra is.

A kártevőre Shamoon néven hivatkoznak, miután sikerült a kódból a következő stringet kibugázni: "C:\Shamoon\ArabianGulf\wiper\release\wiper.pdb". Mi? Wiper? A Kaspersky-s srácok azt mondják hogy nem, inkább tűnik valami kiddik által tákolt silány replikának... legalábbis erre utalnak a kód lámaságai. A Symantec W32.Disttrack -néven hivatkozik rá. A kártevő elemzése még folyamatban van, de az már kiderült hogy ez az állat rombolásra lett kitenyészve: tönkrevágja a fájlokat, és ezekről küld listát a támadónak, továbbá ledarálja az MBR-t, így a következő újraindítás már szomorú lesz. A worm a hálózati megosztásokon keresztül terjed, és egy - az EldoS által aláírt - driver segítségével nyer alacsony szintű hozzáférést a lemezekhez.

A támadást egy bizonyos "Cutting Sword of Justice" nevű csoport vállalta magára. A cég levélben értesítette a felhasználóit:
aramco[1].jpg

Még találtam egy érdekes postot pastebinen, és ha ez igaz akkor ez a hálózat tényleg nagyon csúnyán meg lett erőszakolva:

- internet service routers are three and their info as follows:
Core router:   SA-AR-CO-1#  password (telnet): c1sc0p@ss-ar-cr-tl  / (enable): c1sc0p@ss-ar-cr-bl
Backup router: SA-AR-CO-3#  password (telnet): c1sc0p@ss-ar-bk-tl  / (enable): c1sc0p@ss-ar-bk-bl
Middle router: SA-AR-CO-2#  password (telnet): c1sc0p@ss-ar-st-tl  / (enable): c1sc0p@ss-ar-st-bl

- Khalid A. Al-Falih, CEO, email info as follows:
Khalid.falih@aramco.com      password:kal@ram@sa1960

- security appliances used:
Cisco ASA    #    McAfee #   FireEye : default passwords for all!!!!!!!!!!

Kiegészítés:

Elsiklottam egy másik pastebines post felett, ami viszont megint érdekes megvilágításba helyezi a sztorit. A támadók azt írják hogy 30000 kliens, köztük 2000 szerver lett kinullázva. A www.aramco.com és awww.saudiaramco.com két külön site, egyik sem elérhető jelenleg, és ha igaz amit írnak, akkor ennek a hátterében egy meglehetősen mogorva DDoS támadás áll. Erről egyéb techinkai részlet egyelőre nincs, de az Akamai és a Prolexic együttesen sem tudták a siteot online tartani. A támadók küldtek egy levelet a Prolexicnek, amit itt olvashattok.

Nem akarok konteózni mert nagyon nem egyszerű ez a történet, de ez a szövegezés nagyon nem az, amit kiddok-tól megszoktunk...

Címkék: worm kaspersky saudi symantec shamoon aramco

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

TARTYOM 2012.08.28. 11:59:15

nomad84!

TÁMADJUK MEG!

_2501 2012.08.28. 12:02:22

@TARTYOM: jó ötlet! te mész előre! ^__^
süti beállítások módosítása