Министерство транспорта Российской Федерации
ФГУП «ЗащитаИнфоТранс»

ЦЕНТР КИБЕРБЕЗОПАСНОСТИ ФГУП «ЗАЩИТАИНФОТРАНС» СООБЩАЕТ

Мировые эксперты в области информационной безопасности опасаются новых кибератак на промышленные заводы по всему миру, подобные той, что была осуществлена на нефтехимическую компанию в Саудовской Аравии в августе 2016 года.

Компьютеры компании были атакованы вредоносной программой Shamoon. В ходе расследования специалисты обнаружили на одном из компьютеров странный файл, который выглядел как часть контроллера Schneider, но предназначался для саботажа системы. Всего за несколько минут злоумышленники уничтожили жесткие диски на компьютерах и удалили все данные. Восстановление систем заняло несколько месяцев.

Можно предположить следующую версию: злоумышленники получили управление над одним из контроллеров домена внутри периметра сети организации, изучили топологию сети и получили список IP адресов (Shamoon предусматривает передачу списка IP адресов через параметры командной строки). Скрипт для управления временем уничтожения был размещен на одном из внутренних серверов и его адрес (10.1.252.19) был закодирован внутри вредоносного программного обеспечения. Наличие прав администратора домена позволило решить проблему массового распространения атаки через административные ресурсы.

Shamoon содержит три основных компонента: дропер, компонент для коммуникаций с управляющим сервером и компонент для стирания данных, основанный на драйвере RawDisk компании EldoS. Благодаря RawDisk программе практически не нужно взаимодействовать с Windows, он сразу обращается к жестким дискам.

Вредоносное программное обеспечение содержит несколько модулей. Внутри одного из них присутствует строка:

'C:\Shamoon\ArabianGulf\wiper\release\wiper.pdb'. Основной функционал программы — деструктивный. Многие Интернет СМИ публикуют неверную информацию, что Shamoon собирает информацию и отправляет ее на удаленный сервер.

Shamoon может принимать 2 команды от командного центра:

1. запустить загруженный с сервера файл;

2. задать время 'уничтожения' файлов.

Как считают специалисты, цель атаки заключается не просто в уничтожении данных или нарушении функционирования заводов, а в саботаже его операций, на примере нефтеперерабатывающего завода это могло бы привести к мощному взрыву. Взрыва не произошло лишь по той причине, что в коде злоумышленников содержалась ошибка, работа завода была нарушена на длительное время. 

В начале 2017 года власти страны заявили, что началась вторая волна атак с обновленным ПО Shamoon 2.0.

Вследствие рассмотренного материала, можно сделать вывод о том, что за прошедшее время злоумышленники могли усовершенствовать вредоносное ПО, и есть большая вероятность, что хакеры могут осуществить новые более серьезные атаки на иные стратегически важные информационные системы. Последствия от совершения новых возможных атак могут быть катастрофическими. 

Эксперты Центра кибербезопасности рекомендуют специалистам в области информационной безопасности совершенствовать постоянно навыки по обнаружению вредоносного ПО с использованием правил детектирования целевых атак, так как именно этот метод позволил выявить вирус Shamoon 2.0 и StoneDrill