Tal Pavel

Shamoon the Wiper – נוזקה חדשה ?

/ב /על ידי

היום, ה-16 פורסם מחקר חדש של חברת קספרסקי בדבר נוזקה אפשרית חדשה המכונה לעת עתה – Shamoon the Wiper.

המחקר גורס כי סביר להניח שלא מדובר בנוזקה Wiper אשר תקפה את תעשיית הנפט האיראנית ואשר היתה הבסיס לגילוי ה-Flame, אלא בפעילות אשר נעשתה בהשראת ה-Wiper.

השיוך המזרח תיכוני של נוזקה זו הוא לעת עתה בשמה בלבד – Shamoon – אשר מקורו בנתיב של אחד המודולים – C:ShamoonArabianGulfwiperreleasewiper.pdb, כמו גם ההתייחסות ל"מפרץ הערבי".

לעת עתה לא נמסר על תפוצתה של נוזקה זו לא מבחינה גאוגרפית ולא מגזרים אשר נפגעו ממנה.

חברת סינמטק הוציאה בתחילה הודעה קצרה בנושא המתייחסת לנוזקה הנקראת על ידה – W32.Disttrack. בהמשך הערב פורסמה בבלוג הרשמי של החברה סקירה מקיפה יותר ובה שני מאפיינים ראשונים של הנוזקה;

  • נעשה בה שימוש בהתקפות ממוקדות נגד לפחות ארגון אחד מתעשיית האנרגיה.
  • מדובר בנוזקה הרסנית המשחיתה קבצים במחשב המטרה וזאת במטרה להפוך את המחשב לבלתי שמיש.

המחקר מגלה עוד כי הנוזקה מורכבת משלושה חלקים;

  • Dropper – הרכיב המרכזי והמקור להדבקה המקורית.
  • Wiper – אחראי לפעולת ההרס של מחשב המטרה.
  • Reporter – מודול האחראי על דיווח המידע אודות ההדבקה חזרה לגורם התוקף.

הסקירה של סימנטק נחתמת בקביעה כי איומים ובהם מטען הרסני שכזה הם יוצאי דופן ואינם אופייניים להתקפות ממוקדות.

עם זאת, מתעודת הזהות שיצרה חברת סימנטק לנוזקה זו, ניתן ללמוד כי רמת הסיכון שלה מוגדרת כ"נמוכה ביותר", כמו גם רמת התפוצה הגאוגרפית והנזק. יכולת ההכלה וההסרה של הנוזקה מתוארים כ"קלים" ומספר ההדבקות מוגדרות כ-0-49 ב-0-2 אתרים.

דיווחים נוספים התייחסו, תוך הסתייגות, לאפשרות כי הדיווח של חברת קספרסקי בדבר פגיעה ממוקדת של נוזקה זו בתעשית האנרגיה, קשור בדיווח אחר לפיו חברת הנפט הסעודית ARAMCO השביתה חלק ממערך מחשביה ביום רביעי האחרון וניתקה את הגישה החיצונית לכלל מערכות המחשב, זאת בשל וירוס אשר לטענתה לא פגע במלאכת הפקת הנפט.

פוסט זה זמין גם ב: English