A világ legnagyobb olajipari vállata, a Saudi Aramco izolálta a hálózatát az internettől augusztus 15-én, miután a cég megközelítőleg 30000 (4 db nulla) munkaállomásán találtak valami kártevőt. Igen, a harminc ezer szerintem is soknak tűnik. A www.aramco.com jelenleg is offline, csakúgy mint a levelező szerverük. Az olaj kitermelését és feldolgozását végző eszközök nem érintettek mivel azok fizikailag szeparált rendszerek, így a kitermelés, a feldolgozás, és az olaj zavartalanul folyik továbbra is.

A kártevőre Shamoon néven hivatkoznak, miután sikerült a kódból a következő stringet kibugázni: "C:\Shamoon\ArabianGulf\wiper\release\wiper.pdb". Mi? Wiper? A Kaspersky-s srácok azt mondják hogy nem, inkább tűnik valami kiddik által tákolt silány replikának... legalábbis erre utalnak a kód lámaságai. A Symantec W32.Disttrack -néven hivatkozik rá. A kártevő elemzése még folyamatban van, de az már kiderült hogy ez az állat rombolásra lett kitenyészve: tönkrevágja a fájlokat, és ezekről küld listát a támadónak, továbbá ledarálja az MBR-t, így a következő újraindítás már szomorú lesz. A worm a hálózati megosztásokon keresztül terjed, és egy - az EldoS által aláírt - driver segítségével nyer alacsony szintű hozzáférést a lemezekhez.

A támadást egy bizonyos "Cutting Sword of Justice" nevű csoport vállalta magára. A cég levélben értesítette a felhasználóit:

Még találtam egy érdekes postot pastebinen, és ha ez igaz akkor ez a hálózat tényleg nagyon csúnyán meg lett erőszakolva:

- internet service routers are three and their info as follows:
Core router:   SA-AR-CO-1#  password (telnet): c1sc0p@ss-ar-cr-tl  / (enable): c1sc0p@ss-ar-cr-bl
Backup router: SA-AR-CO-3#  password (telnet): c1sc0p@ss-ar-bk-tl  / (enable): c1sc0p@ss-ar-bk-bl
Middle router: SA-AR-CO-2#  password (telnet): c1sc0p@ss-ar-st-tl  / (enable): c1sc0p@ss-ar-st-bl

- Khalid A. Al-Falih, CEO, email info as follows:
Khalid.falih@aramco.com      password:kal@ram@sa1960

- security appliances used:
Cisco ASA    #    McAfee #   FireEye : default passwords for all!!!!!!!!!!

Kiegészítés:

Elsiklottam egy másik pastebines post felett, ami viszont megint érdekes megvilágításba helyezi a sztorit. A támadók azt írják hogy 30000 kliens, köztük 2000 szerver lett kinullázva. A www.aramco.com és awww.saudiaramco.com két külön site, egyik sem elérhető jelenleg, és ha igaz amit írnak, akkor ennek a hátterében egy meglehetősen mogorva DDoS támadás áll. Erről egyéb techinkai részlet egyelőre nincs, de az Akamai és a Prolexic együttesen sem tudták a siteot online tartani. A támadók küldtek egy levelet a Prolexicnek, amit itt olvashattok.

Nem akarok konteózni mert nagyon nem egyszerű ez a történet, de ez a szövegezés nagyon nem az, amit kiddok-tól megszoktunk...