Un nuovo malware è stato scoperto in Medio Oriente, che mira alle aziende del settore. A differenza di Stuxnet, Duqu o Flame, che hanno inseguito lo stesso percorso, questo è puramente e stranamente distruttivo. Soprannominato “Shamoon” dopo il nome del file ritrovato nel suo codice, lo spyware infetta tutti i computer di una rete interna, quindi effettivamente li cancella, ma non prima di raccogliere i nomi dei file che non vengono sovrascritti, ma mandati a un server sconosciuto.
Potrebbe essere già colpito Saudi Aramco, in Arabia Saudita, società di proprietà statale che si occupa di produzione di olio. La società ha riferito che mercoledì ha chiuso i suoi sistemi informatici principali, dopo un intrusione di malware non specificato. Symantec ha detto che il malware, che chiama “W32: Disttrack“, aveva contagiato meno di 50 macchine in tutto il mondo.
Shamoon (“Simon” in arabo) si spinge fino al punto di sovrascrivere, in una macchina infetta, il record di avvio principale, la prima cosa che un computer cerca all’avvio.
Perché accade tutto questo?
È possibile che Shamoon funzioni come una “squadra di pulizia” con un altro pezzo di malware e serve solo a coprire l’esistenza di altri malware. Ma quasi tutti i malware, sia criminali che controllati dallo Stato, cercano di volare sotto il radar e rimanere il meno invadenti possibili.
Ad esempio, Flame, lo spyware scoperto all’inizio di questa estate, era liberamente in circolazione da circa 5 anni prima che i ricercatori di malware lo individuassero. Shamoon incorpora una funzione denominata “Wiper“, un segno distintivo anche di Flame, che dopo aver ripulito il tutto, cancella le tracce delle proprie attività. Tuttavia, Kaspersky Lab, una delle organizzazioni che hanno trovato Flame, dice che il “pulitore” di Shamoon è completamente diverso e che Shamoon può essere opera di dilettanti. Ci sono delle tracce sepolte nel codice di Shamoon che potrebbero, o non potrebbero, fornire indizi sull’identità del suo autore o almeno la nazionalità.
Il malware utilizza un frammento di un’immagine più grande per sovrascrivere tutti i file di documenti, musica, immagini e video che riesce a trovare. L’immagine, che può essere vista sul sito web di Symantec, sembra rappresentare una parte della bandiera americana:
La caratteristica che cancella il record di avvio principale vede collegamenti alla scheda di sicurezza della ditta londinese EldoS. Kaspersky ha detto nel suo post di blog che certificato digitale di EldoS era o rubato o contraffatto per creare Shamoon, che implica un certo livello di abilità da parte dei suoi autori. Tuttavia, l’analisi di Symantec ha fatto notare che il boot-record è un “driver del disco pulito” che “può essere utilizzato per scopi legittimi“.
In un post sul blog venerdì, Eugene Mayevski, chief technology officer di EldoS, si è rabbiosamente scagliato contro le affermazioni di Kaspersky per le quali il certificato è stato rubato.