جدیدترین نوع بدافزار Shamoon دارای اطلاعات اعتباری پیشفرض برای وارد شدن به یکی از راهکارهای مجازیسازی دسکتاپ شرکت Huawei میباشد.
به تازگی شواهدی مبنی بر بازگشت یک برنامهی سایبری مخرب ارائه شده است که در سال 2012 باعث از بین رفتن دادههای بیش 30,000 کامپیوتر در شرکت ملی نفت عربستان سعودی شده بود و قادر است دسکتاپهای مجازیِ Host شده بر روی سرورها را تحت تاثیر قرار دهد.
این بدافزار (Malware) تحت عنوان Shamoon یا Disttrack نام دارد و به عنوان جزئی از مجموعه برنامههای مخرب پاککننده دیسک یا Disk Wiper شناخته میشود. در سالیان اخیر شرکت Sony Pictures Entertainment و چندین بانک و سازمان توسط این بدافزار مورد حمله قرار گرفتنهاند.
این بدافزار اولین بار پنج سال پیش، در یک حمله سایبری به شرکت سعودی Aramco مشاهده شد و با استفاده از اطلاعات اعتباری ربوده شده در میان کامپیوترهای شبکه Local انتشار یافته و با فعال نمودن قابلیتی، باعث پاک شدن تمامی اطلاعات موجود بر روی دیسک در تاریخ مورد نظر خود گردید.
محققان حوزهی امنیت شرکت Symantec سال گذشته از یافتن نسخهی جدیدی از بدافزار Shamoon خبر دادند که در موج جدیدی از حملات به برخی سازمانها در عربستان سعودی استفاده شده بود. این نسخه به گونهای طراحی شده بود که کار بازنویسی دادهها بر روی هارد دیسک را در یک تاریخ و ساعت مشخص (زمانی که اکثر کارکنان تعطیلات آخر هفته را سپری میکردند) آغاز مینمود.
همچنین محققان شرکت Palo Alto Networks نیز گونه دیگری از بدافزار Shamoon را شناسایی کردهاند که با بدافزار کشف شده توسط Symantec تفاوت داشته و احتمال میرود برای حمله به یک هدف دیگر در عربستان سعودی به کار رفته شده باشد. به گفته محققان این شرکت، نسخهی سوم Shamoon از اکانتهای Hard-Coded برای نفوذ به ساختار استفاده مینماید و تاریخ معینی برای پاک کردن دادهها مشخص مینماید.
برخی از این اطلاعات اعتباری برای حسابهای کاربری موجود در Windows و تعداد کمی از آنها نیز نامهای کاربری و رمز عبور پیشفرض برای راهکار زیرساخت دسکتاپ مجازی (VDI) شرکت Huawei با نام FusionCloud بودند.
محصولات VDI مانند Huawei FusionCloud این امکان را برای سازمانها فراهم میکند تا فرآیند نصب چندین دسکتاپ مجازی را در دیتاسنتر اجرا نماید. پس از آن کاربران قادر خواهند بود با استفاده از راهکارهایی مانند Thin Client به این PCهای مجازی دسترسی یابند که این امر تا حد زیادی موجب تسهیل مدیریت Workstationها در بین شعب و دفاتر مختلف میگردد.
از مزایای دیگر راهکارهای VDI میتوان به تهیه مداوم Snapshot از دسکتاپ های مجازی اشاره نمود که در صورت وقوع مشکل امکان بازیابی دسکتاپهای مجازی را به راحتی فراهم مینماید.
واضح است که مهاجمان حاضر در کمپین اخیر بدافزار Shamoon از این موضوع آگاه بودهاند که سازمان هدف آنها از محصول VDI متعلق به شرکت Huawei استفاده کرده و پاک کردن دادههای PCهای مجازی تنها با استفاده از اکانتهای سرقت شدهی ویندوزی در دامین امکان پذیر نبوده است.
محققان فعال در حوزه شبکه در Palo Alto عنوان کردند: این واقعیت که مهاجمان Shamoon این نامهای کاربری و رمزهای عبور را در اختیار داشتهاند نشان دهنده این موضوع میباشد که هدف مهاجمان دسترسی به اینگونه تکنولوژیها در سازمان هدف به منظور افزایش تاثیر حملات تخریبی در آن سازمان بوده است. اگر چنین فرضیهای درست باشد، پیشرفت بزرگی برای مهاجمان به شمار رفته و سازمانها باید به فکر افزودن فرآیندهای محافظتی بیشتر جهت محافظت از اطلاعات اعتباری مربوط به پیادهسازی ساختار VDI خود باشند.
هرچند که این روش تنها در نوع خاصی از حملات سایبریِ هدفمند با هدف تخریب دادهها مشاهده شده است، اما ممکن است به راحتی توسط ارائه دهندگان باجافزارها در آیندهای نزدیک مورد استفاده قرار گیرد. امروزه برخی باجافزارها در تلاش هستند تا قبل از رمزگذاری دادههای فعلی، دادههای مربوط به پشتیبانگیری را نیز پاک کنند؛ بنابراین تمرکز بر آسیبرسانی به Snapshotهایی که از ساختار VDI گرفته میشود میتواند جزو پیشرفتهای این روش در آینده محسوب شود.
اسامی هیچ یک از سازمانهایی که تحت حمله اخیر قرار گرفتند از سوی شرکتهای Symantec و Palo Alto Networks اعلام نشده است.
