🧑🏻‍🤝‍🧑🏻 🤵🏻 👨🏼‍⚕️ शमून - यह क्या था? 🤶🏿 🧕🏻 📥

तेल कंपनी सऊदी अरामको के कंप्यूटर सिस्टम पर 15 अगस्त 2012 को हमला किया गया था, इसके विवरण का खुलासा नहीं किया गया था। यह बताया गया कि कंपनी 10 दिनों के बाद सामान्य ऑपरेशन में वापस आ गई। अमेरिका के रक्षा सचिव लियोन पैनेटा ने 11 अक्टूबर, 2012 को न्यूयॉर्क में साइबर सुरक्षा पर एक सम्मेलन में बोलते हुए कहा कि सऊदी अरामको और कतरी गैस उत्पादन कंपनी रासगैस के कंप्यूटरों पर शामून मालवेयर द्वारा हमला किया गया था। कुछ वरिष्ठ अमेरिकी अधिकारियों का दावा है कि शामून ईरानी मूल का है, लेकिन उनके पास इसका कोई प्रत्यक्ष प्रमाण नहीं है। बदले में, ईरानी सरकार, शमून हमले की औपचारिक अंतर्राष्ट्रीय जांच करने पर जोर देती है। अखावन बहाबाड़ी (महदी अखावन बहाबाड़ी) - राष्ट्रीय केंद्र के सचिव, जो ईरान के साइबरस्पेस में लगे हुए हैं, ने पुष्टि की है कि, उनकी राय में, अमेरिकियों द्वारा ऐसे बयान राजनीतिक उद्देश्यों से संबंधित हैं, संयुक्त राज्य अमेरिका में आगामी राष्ट्रपति चुनावों के साथ और अधिक सटीक रूप से।

सऊदी अरामको पर हमले की जिम्मेदारी हैकिंग समूह द कटिंग स्वॉर्ड ऑफ़ जस्टिस पर ली गई, जिसने राजनीतिक कारणों से प्रेरित होकर सऊदी अरब पर सीरिया और बहरीन में अशांति के आयोजन का आरोप लगाया। कथित तौर पर pastedbin.com पर हमले के आरंभकर्ताओं द्वारा पोस्ट की गई असत्यापित जानकारी के अनुसार, सऊदी अरब में 30,000 से अधिक कंप्यूटर संक्रमित थे।

शामस्पून के नमूनों का विस्तार से विश्लेषण कास्परस्की लैब के कर्मचारियों द्वारा किया गया था; पहला लेख 21 अगस्त को प्रकाशित किया गया था। विशेषज्ञ इस निष्कर्ष पर पहुंचे कि हमला एक बिंदु जैसी प्रकृति का था, नमूने केएसएन (कैस्परस्की सुरक्षा नेटवर्क) में तय नहीं किए गए थे। VPO में कई मॉड्यूल शामिल हैं। उनमें से एक के अंदर एक पंक्ति है:

'C: \ Shamoon \ ArabianGulf \ wiper \ release \ wiper.pdb'। कार्यक्रम की मुख्य कार्यक्षमता विनाशकारी है। कई ऑनलाइन मीडिया गलत जानकारी प्रकाशित करते हैं कि शमून जानकारी एकत्र करता है और इसे दूरस्थ सर्वर पर भेजता है।

शमून कमांड सेंटर से 2 टीमें ले सकते हैं:
1. सर्वर से डाउनलोड की गई फ़ाइल चलाएं;
2. फाइलों के 'विनाश' का समय निर्धारित करें।

कमांड सेंटर के पते के रूप में, या तो प्रतीकात्मक नाम 'घर' या आईपी पते 10.1.252.19 का उपयोग किया जाता है। यह उल्लेखनीय है कि यह तथाकथित आंतरिक पता है जो विशेष श्रेणी 10.0.0.0/8 से संबंधित है, इंटरनेट पर उपयोग नहीं किया गया है। कमांड सेंटर से संपर्क करने के लिए पूरा URL इस तरह दिखता है: < प्रबंधन सर्वर > /ajax_modal/modal/data.asp?mydata = <_ iteration> & uid = <local IP> & state = <यादृच्छिक संख्या> । यह इंगित कर सकता है कि सर्वर को इंटरनेट सूचना सेवा के आधार पर तैनात किया जाना चाहिए।

लेखक की त्रुटि के कारण, डाउनलोड की गई फ़ाइल लॉन्च करने का कार्य काम नहीं करता है, क्योंकि बचत करते समय स्थानीय फ़ाइल का नाम सही ढंग से नहीं बनता है।

मालवेयर समय-समय पर यह देखने के लिए जाँच करता है कि क्या कोई निश्चित तारीख आ गई है। दिनांक को कमांड सेंटर के माध्यम से निर्दिष्ट किया जा सकता है, अन्यथा कोड के अंदर निर्दिष्ट दिनांक का उपयोग किया जाता है, 15 अगस्त 2012 08:08 यूटीसी। यह ध्यान दिया जाना चाहिए कि लेखक ने समय की जाँच के कार्य को कार्यान्वित करने में भी गलती की है, जो, फिर भी, इच्छित कार्यों में हस्तक्षेप नहीं करता है - एक निश्चित समय पर सूचना का विनाश। विनाश के लिए फाइलों की सूची दी गई टेम्प्लेट्स के आधार पर पहले से उत्पन्न होती है, उदाहरण के लिए, उपयोगकर्ता प्रोफाइल में फाइलें या एक्सटेंशन आईएनआई या एसआईएस के साथ फाइलें खोजी जाती हैं। परिणामस्वरूप, दो फाइलें 'f1.inf' और 'f2.inf'% WINDIR% \ System32 निर्देशिका में बनाई गई हैं। वे फ़ाइलों के लिए पूर्ण पथ होते हैं जो वसूली की असंभवता के लिए कचरे से भरे होते हैं। कचरा जलते हुए अमेरिकी स्टार-धारी ध्वज की JPEG छवि का एक टुकड़ा (192 Kbytes) है, जो Google के माध्यम से आसानी से पाया जा सकता है। जाहिर है, यह लेखक द्वारा इरादा किया गया था और हमले की एक निश्चित "राजनीतिक पृष्ठभूमि" का संकेत दे सकता है। अंत में, एमबीआर मिटा दिया जाता है। इसके लिए Windows Vista और उसके बाद के संस्करण में ड्राइव को सीधे एक्सेस की आवश्यकता होती है। इसे प्रदान करने के लिए, शमून एल्डोस रॉडीस्क सॉफ्टवेयर से कानूनी रूप से हस्ताक्षरित ड्राइवर का उपयोग करता है, इस दृष्टिकोण का वर्णनpropro.com पर एक लेख में किया गया था। ड्राइवर को काम करने के लिए एक प्राधिकरण कुंजी की आवश्यकता होती है। शमून में उपयोग की जाने वाली कुंजी ट्रायल है, इसलिए हर बार जब आप ड्राइवर फ़ंक्शन को कॉल करते हैं, तो वर्तमान सिस्टम का समय 1 अगस्त से 20 अगस्त, 2012 तक एक यादृच्छिक तिथि पर स्थानांतरित हो जाता है। ये त्रुटियां और कार्यान्वयन विशेषताएं हमें यह निष्कर्ष निकालने की अनुमति देती हैं कि शमून का लेखक एक उच्च योग्य प्रोग्रामर नहीं है।

स्व-वितरण के लिए, शमून डिफ़ॉल्ट रूप से विंडोज द्वारा बनाए गए प्रशासनिक संसाधनों में खुद को कॉपी करने की कोशिश करता है - ADMIN $, C $, D $, E $। यदि सफल होता है, तो NetScheduleJobAdd फ़ंक्शन का उपयोग करके एक कार्य बनाया जाता है, जो बाद में दूरस्थ कंप्यूटर पर ऑटोरन की अनुमति देता है। स्वाभाविक रूप से, इन कार्यों के लिए डोमेन व्यवस्थापक अधिकारों की आवश्यकता होती है। आईपी पते की सूची या तो कमांड लाइन मापदंडों से ली गई है, या वर्तमान आईपी पते से बनाई गई है, सीमा 1-254 (गणना) में अंतिम ओकटेट के मूल्यों को सेट करती है।

सितंबर 2012 में, सिमेंटेक ने शमून के एक नए संस्करण की खोज के बारे में जानकारी प्रकाशित की, संशोधन प्रकृति में कॉस्मेटिक हैं। इसलिए, कुछ पंक्तियों को प्रतिस्थापित किया जाता है, उदाहरण के लिए, फ़ाइल सूचियों को 'f1.inf' और 'f2.inf' के बजाय 'data.dat' और 's_data.dat' कहा जाता है। McSfee के अनुसार, NetScheduleJobAdd के माध्यम से रिमोट स्टार्ट विधि को psexec.exe के साथ बदल दिया गया है, लिखने के लिए कचरा छवि के हिस्से का उपयोग करने के बजाय यादृच्छिक रूप से उत्पन्न होता है।

हम निम्नलिखित संस्करण को मान सकते हैं: हमलावरों ने संगठन के नेटवर्क की परिधि के भीतर डोमेन नियंत्रकों में से एक का नियंत्रण प्राप्त किया, नेटवर्क टोपोलॉजी का अध्ययन किया और आईपी पते की एक सूची प्राप्त की (शामून कमांड लाइन मापदंडों के माध्यम से आईपी पते की सूची के हस्तांतरण के लिए प्रदान करता है)। विनाश के समय को नियंत्रित करने के लिए स्क्रिप्ट को आंतरिक सर्वरों में से एक पर रखा गया था और इसके पते (10.1.252.19) को मैलवेयर के अंदर एन्कोड किया गया था। डोमेन व्यवस्थापक अधिकारों की उपस्थिति ने प्रशासनिक संसाधनों के माध्यम से मैलवेयर के बड़े पैमाने पर वितरण की समस्या को हल करने की अनुमति दी। कोई विश्वसनीय डेटा नहीं है कि सऊदी अरामको ने शामून को संक्रमित किया और 30,000 से अधिक कंप्यूटरों को संक्रमित किया (उदाहरण के लिए, 10.1.252.19 पता pastedbin.com पर पोस्ट की गई सूचियों में नहीं है), लेकिन यह बताता है कि शमून इतनी बड़ी संख्या में कंप्यूटरों को कैसे संक्रमित कर सकता है। नेटवर्क सेवाओं की कमजोरियों के दोहन के किसी भी साधन की इसकी संरचना। इसके अलावा, जानकारी एकत्र करने के कार्य को आयोजित करने की कोई आवश्यकता नहीं थी, क्योंकि यह नियमित ओएस उपकरण का उपयोग करके किया जा सकता है, जिसमें उचित अधिकार हैं। तो, एक तरफ, यह एक एपीटी हमला है, दूसरी तरफ, इसका प्रशिक्षण स्तर पर्याप्त नहीं है।

शमून - यह क्या था?

More articles: