Het nieuwe Shamoon-virus illustreert eens te meer de opkomst van gerichte aanvallen tegen ‘nieuwe’ doelwitten.
Het nieuwe Shamoon-virus illustreert eens te meer de opkomst van gerichte aanvallen tegen ‘nieuwe’ doelwitten.
Het Shamoon (of Disttrack) virus blijkt bestanden in Windows pc’s te overschrijven, gevolgd door de master boot records. Hierdoor zijn de bestanden niet te recupereren en kan de pc niet worden heropgestart zonder deze te herinstalleren. Na de besmetting treden modules in werking die respectievelijk ‘wiper’ en ‘reporter’ heten. De eerste zorgt voor het wissen van de bestanden, en de tweede rapporteert binnen het zelfde netwerk aan een ander systeem welke bestanden werden getroffen. In het bijzonder de naam van de ‘wiper’ module baarde zorgen, want dat zou kunnen gewezen hebben op een link met de Stuxnet/Duqu/Flame familie van geavanceerde malware. Na analyse bleek dat niet het geval te zijn, en lijkt het erop dat ‘scriptkiddies zich allicht lieten inspireren door de heisa rond ‘wiper’. De malware werd door Symantec en vervolgens ook Kaspersky Lab onderzocht.
‘Nieuwe’ doelwitten Omdat de werking van het virus niet bijzonder subtiel is, en het evenmin duidelijk is of data wordt gelekt naar de buitenwereld (er wordt wel geopperd dat het een ‘tweetraps’ aanval is), is ook niet meteen duidelijk wat het nut en het doel van de aanval was. Het kan dan ook net zo goed om een aanval door een paar sullige tieners gaan, als om een aanval door een concurrent, of wie ook, zo lijkt de algemene opinie. De malware werd ook slechts op een erg klein aantal machines aangetroffen.
Toch kreeg de nieuwe malware meteen veel aandacht omdat het een gerichte aanval betrof “tegen op z’n minst één organisatie in de energiesector”, aldus Symantec. Bovendien werd in de code een verwijzing naar de ‘Arabian Gulf’ gevonden, wat dan weer doet denken aan de digitale onrust in het Midden Oosten. Daar ligt volgens Kaspersky Lab blijkbaar het epicentrum van de digitale oorlogsvoering.
Zorgwekkend is wel dat Shamoon eens te meer een voorbeeld betreft hoe vandaag niet alleen ‘klassieke’ doelwitten als banken en de overheid worden geviseerd. Elk bedrijf in elke sector die belangrijk is voor de kritieke nationale infrastructuur van een land, kan onder vuur komen. Of Shamoon nu het werk was van scriptkiddies, of een digitale oorlogshandeling door een vijandig land – de twee uitersten van het spectrum – hoeft daarbij niet van belang te zijn. Het voortdurende gebrek aan bescherming binnen heel wat bedrijven, en in het bijzonder in afdelingen die in het verleden als immuun voor aanvallen van buitenaf werden beschouwd, wordt ook door aanvallen op blijkbaar kleine schaal als Shamoon scherp in de verf gezet.
