Комп'ютерні системи нафтової компанії Saudi Aramco 15 серпня

2012 року зазнали атаки, її подробиці не розкривали. Повідомлено, що

компанія повернулася до нормальної роботи через 10 днів. Міністр
оборони США Леон Панетта 11 жовтня 2012 року, виступаючи на
конференції з кібернетичної безпеки в Нью-Йорку, повідомив, що
комп'ютери компанії Saudi Aramco і Катарської компанії з виробництва
газу RasGas були атаковані шкідливою програмою Shamoon. Деякі
високопосадовці США стверджують, що Shamoon має іранське
походження, проте прямих доказів цього вони не мають. Уряд Ірану,
своєю чергою, наполягає на проведенні офіційного міжнародного
розслідування атаки Shamoon. Акхаван Бахабаді (Mahdi Akhavan
Bahabadi) – секретар Національного центру, який займається
кіберпростором Ірану, підтвердив, що, на їхню думку, подібні
висловлювання американців пов'язані з політичними мотивами, точніше з
майбутніми виборами на пост президента США.

Відповідальність за атаку на Saudi Aramco взяла на себе хакерська

група "Розтинаючий меч правосуддя" (The Cutting Sword of Justice),
мотивувавши свій вчинок політичними причинами, звинувативши
Саудівську Аравію в організації заворушень у Сирії та Бахрейні. За
неперевіреною інформацією у Saudi Aramco було заражено понад 30.000
комп'ютерів.

Зразки Shamoon були детально проаналізовані співробітниками

Лабораторії Касперського. Експерти дійшли висновку, що атака мала
точковий характер

Багато Інтернет ЗМІ публікують неправильну інформацію, що

Shamoon збирає інформацію та відправляє її на віддалений сервер.
 Shamoon може приймати 2 команди від командного центру:

1. запустити завантажений із сервера файл;

2. встановити час 'знищення' файлів.

Список файлів для знищення попередньо формується на основі

заданих шаблонів. В результаті створюються два файли. Вони містять
повні шляхи до файлів, що заповнюються сміттям, для неможливості
відновлення. Сміття являє собою фрагмент (192 Кбайт) JPEG-картинки
зоряно-смугастого прапора США, що горить, який можна легко знайти
через Google.

Характер помилок показує, що вони, швидше, любителі, що, втім, не

завадило їм створити цілком придатну деструктивну шкідливу програму,
що самопоширюється. Використання фрагмента картинки палаючого
прапора США підказує, що автори Shamoon керувалися політичними
мотивами у створенні та використанні цієї шкідливої програми. Більше
того, вони бажали, щоб їхній протест, внесений таким чином у код
шкідливої програми, не залишився непоміченим.

На жаль, доводиться констатувати, що застереження, що легітимні

програми рівня ядра можуть бути використані в шкідливих цілях,
засновані не на порожньому місці. Розробники драйверів завжди повинні
пам'ятати, що люди, які створюють шкідливі програми, шукають
приховані шляхи, щоб вийти на Ring0. Легітимні, тим більше підписані
драйвери, які допоможуть їм у цьому, — дуже бажана знахідка. Зрозуміло,
що ефективно перешкоджати виклику функцій драйвера від недовірених
додатків – непросте завдання. Але багато хто справляється з цим
завданням і вже зараз впроваджують складні методи авторизації коду,
перевірки викликів тощо. У наші дні недостатньо додати простенькі
помітні умови, так би мовити, «захист на дурня» — такий захист легко
обходиться і не спрацює, коли це буде потрібно. Звичайно, дуже
неприємно, коли твоя програма зі слабкими перевірками без твого відома
бере участь у кампаніях, які завдають комусь шкоди. Краще заздалегідь
потурбуватися про гідний захист легітимних драйверів і зробити все
можливе, щоб запобігти таким ситуаціям.