巴林国家石油公司Bapco袭击了新的伊朗数据擦除程序恶意软件

ZDNet从多个来源获悉,伊朗政府资助的黑客已在巴林的国家石油公司Bapco的网络上部署了一种新型的数据擦除恶意软件。

该事件发生在12月29日。攻击并未达到黑客想要的长期影响,因为Bapco的计算机机群只受到了一部分影响,该公司在该恶意软件爆炸后仍继续运行。

ZDNet从多个来源获悉,Bapco事件是沙特阿拉伯国家网络安全局上周发布的安全警报中描述的网络攻击。沙特官员将该警报发送给活跃于能源市场的本地公司,以警告即将发生的袭击,并敦促公司保护其网络。

Bapco安全事件在美国和伊朗上周政治紧张局势加剧之际得以曝光。

尽管Bapco事件似乎与当前的美国-伊朗政治紧张局势无关,但确实显示出伊朗在发动破坏性网络攻击方面的先进技术能力-美国国土安全部曾对此进行过处理在周末发布的警报中警告说。

THE DUSTMAN恶意软件

最近Bapco攻击的核心是一种名为Dustman的新型恶意软件。根据沙特阿拉伯网络安全机构的分析,Dustman是一种所谓的数据擦除程序-旨在启动受感染计算机后删除其数据的恶意软件。

垃圾邮件代表与德黑兰政权相关的第三种不同的数据擦除恶意软件。由伊朗政府支持的黑客在开发清除数据的恶意软件方面有着悠久的历史。

伊朗进军数据擦除恶意软件可以追溯到2012年,当他们开发Shamoon(又称Disttrack),一个恶意软件,这是负责在沙特阿拉伯抹在沙特阿美石油公司超过32,000电脑,在一个世界最臭名昭著的网络攻击。

在接下来的几年中,又发现了两个Shamoon版本:Shamoon v2(在2016年和2017年使用)和Shamoon v3(在2018年和2019年使用)。

根据IBM X-Force发布的一份报告,伊朗黑客还与另一种名为ZeroCleare的恶意软件菌株与数据擦除攻击有关,该恶意软件菌株于2019年9月在野外首次发现。

根据沙特CNA官员的说法,Dustman似乎是去年秋天发现的ZeroCleare刮水器的升级版和更高级版本-反过来,它与原始Shamoon具有多个代码相似之处。

这三个菌株之间的主要共享组件是EldoS RawDisk,这是一个用于与文件,磁盘和分区进行交互的合法软件工具包。这三种恶意软件菌株使用不同的漏洞利用和技术,将初始访问权限提升为管理员级别,从此处解压缩并启动EldoS RawDisk实用程序以擦除受感染主机上的数据。

由于Dustman被认为是ZeroCleare的演进版本,因此大多数代码都是相同的,但是分析该恶意软件的沙特CNA官员表示,Dustman具有两个重要区别:

与ZeroCleare一样,Dustman的破坏能力以及所有需要的驱动程序和装载程序都在一个可执行文件中提供,而不是在两个文件中提供。

垃圾工覆盖卷,而ZeroCleare通过用垃圾数据(0x55)覆盖卷来擦除卷

BAPCO定位

消息人士告诉ZDNet,以Dustman攻击Bapco符合已知的伊朗政府资助的骇客的常规作案手法。

从历史上看,在12月29日部署Dustman之前,伊朗黑客仅对石油和天然气领域的公司使用Shamoon和ZeroCleare。

过去的目标包括与沙特政权有联系的公司和沙特阿拉伯国家石油公司沙特阿美公司。伊朗和沙特阿拉伯自1970年代以来就一直紧张关系,原因是对伊斯兰的解释不同,以及它们在石油出口市场上的竞争。

Bapco是巴林政权全资拥有的公司,巴林政权与德黑兰政权关系紧张,并且是沙特阿美的知名商业伙伴。

攻击是如何发生的

在撰写本文时,Bapco似乎是Dustman恶意软件攻击的唯一受害者,尽管这并不意味着该恶意软件并未部署在其他目标网络上。

根据CNA的报告,攻击者当时似乎并没有计划部署Dustman,但似乎引发了数据擦除过程,这是他们犯下一系列错误后的最后一道隐瞒法医证据的工作那将表明他们在被黑网络中的存在。

匿名人士与ZDNet交谈的消息人士称,这家巴林公司在夏季遭受了损害。

沙特CNA官员以及我们的消息来源证实,入境点是该公司的VPN服务器。CNA报告引用“ 2019年7月披露的VPN设备中的远程执行漏洞”作为攻击者进入Bapco网络的切入点

尽管官员们没有责怪任何特定的设备,但他们最有可能参考了今年夏天发布的Devcore报告,该报告披露了许多企业级VPN服务器(例如Fortinet,Pulse Secure和Palo Alto的服务器)中的远程执行错误。网络。

这是我们消息来源分歧的地方。一些人说,黑客利用了Pulse Secure服务器中的漏洞,而其他人则将矛头指向了Fortinet VPN服务器。

使用BinaryEdge搜索引擎进行的搜索显示,确实vpn.bapco.net网络的一部分确实在Fortinet VPN设备上运行。但是,与此同时,Bapco过去也有可能运行过Pulse Secure服务器,但该服务器已被关闭。

无论哪种方式,尽管我们的来源在攻击中使用的确切VPN服务器上有所不同,但他们确实同意这是黑客入侵的地方。根据沙特CNA的报告,黑客获得了对VPN服务器的控制权,然后将其访问权限扩展到本地域控制器。

我们从报告中引用:

威胁参与者在受害者的网络上获得了域管理员和服务帐户,该帐户用于在所有受害者的系统上运行“ DUSTMAN”恶意软件。攻击者利用防病毒管理控制台服务帐户在网络上分发恶意软件。

[...]

威胁执行者访问了受害者的网络,并将恶意软件和远程执行工具“ PSEXEC”复制到了防病毒管理控制台服务器,该服务器由于其功能的性质而连接到了受害者网络内的所有计算机。几分钟后,攻击者访问了受害者的存储服务器,并手动删除了所有卷。

然后,攻击者在防病毒管理控件上执行了一组命令,将恶意软件分发到所有连接的计算机,并通过(PSEXEC)执行了恶意软件,并丢弃了(3)个其他文件,两个驱动程序和抽头。大部分连接的机器都被擦掉了。

成功的攻击导致所有擦除的系统显示蓝屏死机(BSOD)消息。

据沙特官员称,袭击者的行动带有紧迫感。紧急的原因不明。

沙特CNA官员说:“在将DUSTMAN恶意软件部署到受害人的网络上之前,它可能是在威胁执行者基础设施上进行了几分钟的编译。” “这与已知的破坏性攻击不一致,因为它们通常在部署之前经过测试。”

但是,这种匆忙和缺乏测试对擦除操作的成功产生了影响,并且该恶意软件在某些系统上无法正常运行。

沙特官员认为,攻击者也注意到失败的擦除操作,因为他们试图从这些系统中删除Dustman制品,然后在离开公司网络之前擦除VPN服务器上的访问日志。

Bapco官员在第二天即12月30日员工上班时得知了这次袭击。他们追溯了攻击并识别了Dustman恶意软件,因为在攻击发生时某些工作站处于睡眠模式。

当这些系统启动时,他们试图执行恶意软件,但是防病毒软件(在原始攻击时被禁用)检测到并阻止了该攻击。

垃圾工恶意软件样本已在线泄漏

在发现攻击的同一天,这些恶意软件样本之一就被上传到Hybrid-Analysis(在线沙箱分析环境)中。

这些文件最终于本周在VirusTotal和Twitter 上流行起来。

与ZDNet交谈过的安全专家无法将攻击与伊朗国家资助的特定组织联系起来,理由是该攻击缺乏完全的可见性。

就上下文而言,迈克菲将Shamoon攻击与一个名为APT33的伊朗黑客组织联系起来,而IBM将ZeroCleare与两个组织联系在一起-xHunt和APT34。

尽管反复尝试,Bapco官员仍未回应置评请求。

沙特CNA报告还包含针对活跃于石油和天然气领域的公司的缓解建议,这将成为Dustman恶意软件攻击的目标。在最近美国与伊朗的政治紧张局势升级之后,美国的石油和天然气公司也很有可能成为董事会成员。

相关推荐