Ciberataque inédito destrói dados de empresa no Oriente Médio

Ataques com alvos espefíficos são tipicamente sobre espionagem, roubo de informações ou protesto motivados politicamente. Contudo, o último que aconteceu desconstruiu essa característica. Identificado na última semana, o Shamoon visava a completa aniquilação de dados de empresas de energia, em vez de seu roubo.

Segundo a Symantec, o ataque tem apenas uma empresa como alvo, a qual não teve o nome revelado. O que se destaca mais na invasão é que o objetivo era destruir arquivos, dados e deformar as máquinas infectadas.

“Não víamos ataques maliciosos como esse em anos”, afirmou Liam Murchu, gerente de operações norte-americanas da Symantec Security Technology & Response, “com exceção do recente ataque no sistema da indútria de petróleo iraniana”, adicionou.

“Não houve vazamento de dados, nem espionagem, nem resgate, nem roubo de dinheiro e nem tentaram roubar informações: foi puramente malicioso”, afirmou.

Diferentemente do típico ataque hacktivista ou aqueles onde o invasor quer ganhar notoriedade, ninguém alegou a responsabilidade. Há referência de “wiper” em alguns módulos do malware, mas o Kaspersky Lab excluiu qualquer conexão entre o Shamoon e o original “Wiper”, que foi conectado ao incidente iraniano e com o Flame.

“Nossa opinião, tendo como base nossas pesquisas em inúmeros sistemas atacados pelo Wiper original, é de que não é o mesmo. O ‘Wiper’ original usava nomes de serviços determinados (“RAHD…”) juntamente com nomes específicos para seus drivers (“%temp%~dxxx.tmp”) o que não parece estar presente nesse malware. Além disso, o original usava um padrão determinado para limpar os discos o que, novamente, não é usado nesse malware atual. Parece mais com um imitador, uma inspiração”, afirma uma postagem de blog da Global Research & Analylis Team, da Kaspersky.

Pesquisadores não informaram o nome da organização vitimada e também não confirmaram se as notícias  de uma queda e ataque de vírus à Saudi Arabian Oil Co (Saudi Aramco) estaria relacionada ao Shamoon. Segundo a Reuters, a empresa afirmou que seus computadores foram desligados por um vírus no final da quarta-feira da semana passada (15/08), mas a queda não teve impacto em sua produção.

“Uma fonte oficial da Saudi Aramco confirmou que os sistemas eletrônicos de toda a empresa foram isolados hoje e o acesso externo foi cortado como precaução”, citou a Reuters, a partir de uma declaração oficial feita em árabe da Saudi Armaco, considerada a maior empresa de petróleo do mundo.

O Shammon também incluía um driver legítimo, assinado digitalmente em seu pacote: “Eles pegaram de outro pacote e o colocaram no sistema”, afirmou o especialista da Symantec.

A Kaspersky informou que o driver está assinado pela EldoS Corporation, que fornece componentes de software relacionados à segurança para desenvolvedores e o mercado corporativo.

Enquanto isso, o Shamoon, reconhecido como W32.Disttrack pela Symantec, não apenas estraga arquivos, mas também subscreve o Master Boot Record (MBR) do sistema para desabilitar o computador completamente. É formado de três componentes: um dropper, que também  desencadeia outros módulos; um wiper, que desempenha  a destruição dos elementos do ataque e um reporter (relator), que relata o progresso do ataque para o invasor.

O componente wiper também deleta o driver existente e subscreve o assinado.

O Shamoon busca por arquivos de downloads, imagens, documentos, músicas e vídeos para destruir, afirmou o esppecialista da Symantec, que finalizou explicando que a empresa ainda não conseguiu descobrir como os invasores inicializaram a infecção à organização vitimada.

Tradução: Alba Milena, especial para o IT Web | Revisão: Adriele Marchesini