Önceleri “beceri”, sonra “mafia/dolandırıc çalışma usulü” olarak karşımıza çıkan virüsler son 2-3 yıldır artık “siber savaş” ya da “sanal saldırı” araçları olarak karşımıza çıkıyor.
Daha da ilginci ya da beteri, bu araçların sadece bilgisayarda dosya silme, çalma gibi fonksiyonlardan öteye geçmeye başlamış olmaları ve şimdi endüstriyel tesisleri etkilemeye başlamaları.
Önce İran’daki nükleer tesislerde etkili olan virüsleri duyduk. Sonra havalimanlarını hedefleyen virüsleri öğrendik. Şimdi de enerji sektörüne yönelik bir virüsten yani Shamoon’dan bahsediliyor. Uzmanların yeni ortaya çıkardıkları virüsün en az 1 tesise saldırmış olabileceği raporlanıyor. Shamoon ağı kapatıp, ağdaki bilgisayarları tarıyor ve dosyaları silebiliyor.
Suudi Arabistan ulusal petrol şirketi bayram öncesinde bir saldırıya uğradıklarını ve networklerinde kesintiler olduğunu teyit etti. Ancak saldırının Shamoon olup olmadığını açıklamadı. Sadece, kişisel bir bilgisayardan bulaşan virüsten bahsedildi, bu virüsün networkün ana bileşenlerini ya da üretimi etkilemediği not edildi.
Bu virüsün gözlemek ve bilgi toplamak yerine bilgisayarın Master Boot Record’ları üzerine yazmak ve silmek için tasarlanmış olduğu belirtiliyor.
Uzmanlar, arkada bıraktığı izlere bakarak, Shamoon saldırının 2 kademeli işlem yaptığını iddia ediyorlar;
- Saldırgan, internete doğrudan bağlı bir makinanın kontrolünü alıyor ve makinayı dışardaki bir Kumanda ve Kontrol (c2) sunucusunun proxy’si olarak kullanıyor. Bu proxy üzerinden, internete bağlı olmayanlar da dahil, diğer iç makinalar ele geçiriliyor.
- İçerdeki makinaları ele geçirme işlemleri tamamlandıktan sonra, saldırgan Shamoon virüsünü kullanarak tüm saldırgan yazılım ve çalınma verilerinin delillerini yok ediyor. Sonuçlar da C2 sunucusuna raporlanıyor.
Saldırının arkasında kim olduğu ya da olabileceği henüz bilinmiyor.
Kaynak : 