‘Zeer destructieve malware Shamoon is het werk van Iraanse hackers’

Een reeks aanvallen met de malware Shamoon lijkt zijn oorsprong te vinden in een Iraanse hackersgroep. Het McAfee Advanced Threat Research Team stelt dat APT33 – of een groep die zich voordoet als de gelijknamige Iraanse hackersgroep – verantwoordelijk is voor een recente reeks aanvallen gericht op industrieën in Europa en het Midden-Oosten.

De afgelopen tijd vonden er een aantal hackaanvallen plaats met Shamoon. Onder meer de netwerken van de Italiaanse olie- en gasmaatschappij Saipem, dat actief is in het Midden-Oosten, India, Italië en Schotland raakten geïnfecteerd. De aanvallen zijn niet alleen gericht op bedrijven individueel, maar ook op supply chain aanvallen.

Zeer destructieve malware

Shamoon is zeer destructieve malware, die erop gericht is om data van geïnfecteerde systemen te wissen. Dat doet de malware door data te overschrijven met andere gegevens. In de afgelopen jaren waren er al twee andere varianten van de malware actief. Een daarvan in 2012, die zich richtte op Aramco, een oliebedrijf waarvan minstens 30.000 computers gewist werven, en in 2016 en 2017 was er nog een versie actief.

In alle gevallen raken de geïnfecteerde apparaten besmet met propaganda. Denk aan beelden van een Amerikaanse vlag die verbrand wordt en foto’s van een verdronken Syrisch kind. De nieuwe variant van Shamoon richt zich de afgelopen weken op bedrijven die actief zijn in de olie- en gasindustrie, energiebedrijven, telecomaanbieders en overheden.

De malware infecteert systemen op vrij traditionele methoden, door slachtoffers over te halen hun accountgegevens op te geven. Daarna wist het programma Filerase de data van een systeem. Die kan drie zaken doen: in stille modus draaien; met een privilige escalation script of draaien met een tracker die bijhoudt welke documenten en mappen gewist zijn.

Maanden in de maak

McAfee denkt dat er meerdere ontwikkelaars bezig zijn geweest met de nieuwste Shamoon-aanval. Deze zou “maanden van te voren” voorbereid zijn. “De aanval aan iemand toewijzen is moeilijk, omdat we niet alle puzzelstukken hebben. Maar we zien wel dat deze aanval overeenkomsten vertoont met de Shamoon v.2-technieken. Politieke statements maken onderdeel uit van elke Shamoon-aanval. Nu zien we een vers uit de Koran, wat erop wijdt dat de aanvaller verbonden is aan een van de kanten in een conflict in het Midden-Oosten en een statement wil maken.”