هکرهای ایرانی مظنون انتشار بدافزار پاک کننده داده‌ها به نام شامون

شماران سیستم – در تمام این موارد، سیستم‌های آلوده شده تبلیغات هدفمندی از جمله تصاویر سوزاندان پرچم آمریکا و یک کودک سوری غرق شده را نمایش می‌دادند.

سیل اخیر حملات دربرگیرنده خانواده بدافزار پاک کننده داده‌ها به نام SHAMOON به گروه هک ایرانی APT33 انتساب داده شده است.

به گزارش شماران سیستم به نقل از ZDNet، تیم «جست‌وجوی تهدیدات پیشرفته» مک‌آفی اعلام کرد که گروهی به نام APT33 احتمالا عامل حملات اخیر علیه برخی از نقش‌آفرینان صنعتی در خاورمیانه و اروپا بوده است.

گفتنی است در اوائل ماه دسامبر بود که خبری درباره حضور بدافزارShamoon بر روی شبکه‌های یک شرکت پیمانکار نفت و گاز ایتالیایی به نام Saipem مخابره شد.این کمپانی در خاورمیانه، هند، ایتالیا، و اسکاتلند فعالیت دارد.

مک‌آفی در یک پست بلاگ خود اعلام کرد که مشخص شده است که حملات مبتنی برShamoon علاوه بر مشارکت در هجوم‌های مستقیم در پشتیبانی از زنجیره‌‌ای از حملات شناسایی شده‌اند.

گفتنی است Shamoon یک بدافزار فوق‌العاده مخرب است که برای پاک کردن سیستم‌های آلوده‌شده‌اش با بازنویسی اطلاعات بی‌ارزش بر روی اطلاعات موجود طراحی شده است.
تاکنون دو ورژن از این بدافزار در سال‌های اخیر به ثبت رسیده‌اند.
قدیمی‌ترین مورد دربرگیرندهShamoon در سال 2012 علیه شرکت نفت آرامکوی سعودی بود که منتج به پاک شدن حداقل 30 هزار PC شد در حالی که در طی سال‌های 2016 و 2017، هم یک پاک‌کننده SHAMOON ارتقا یافته و هم پاک کننده Stonedrill استفاده شدند.

در تمام این موارد، سیستم‌های آلوده شده تبلیغات هدفمندی از جمله تصاویر سوزاندان پرچم آمریکا و یک کودک سوری غرق شده را نمایش می‌دادند.
 این پاک‌کننده دربرگیرنده سه آپشن است: اجرا در حالت ساکت، یک اسکریپت همیشه فعال افزایش بهره‌برداری، و یک ردگیر برای ثبت تعداد فولدرها و فایل‌های پاک شده.

در حالی که جدیدترین نسخهShamoon شدیدا رمزنگاری شده است، ولی تولکیت بسته بندی شده NET. آن که shamoon v.3 و Filerase را گسترش میدهد از چنان محافظتی برخوردار نیست.

پس از مهندسی معکوس این بسته، که مبهم‌سازی نشده بود، محققان نوشته مبتنی بر ASCII فوق را یافتند که شبیه متن عربی برگرفته از کتاب مقدس مسلمانان بود.

مک‌آفی می‌گوید: «انتساب این حمله کار دشواریست زیرا ما تمام قطعه‌های پازل را نیافته‌ایم. ما قویا معتقدیم که این جمله همراستا با تکنیک‌های Shamoon v.2 است. بیان‌های سیاسی بخشی از هر یک حملات Shamoon بوده اند.

اکنون ما آیه‌ای از قرآن را می‌بینیم، که می‌تواند گویای آن باشد که هکر مربوطه به یک منازعه دیگر خاورمیانه مرتبط است و می‌خواهد منظوری را برساند».
او سپس این ادعا را مطرح می‌کند که قطعا ممکن است هکرهای ایرانی در بطن این موضوع بوده باشند، به ویژه با توجه به تنش‌های سیاسی اخیر بین این کشور و ایالات متحده در رابطه با خروج دولت ترامپ، در ماه مه، از توافق هسته‌ای 2015 با ایران.