Aggiornamenti recenti Maggio 9th, 2024 2:18 PM
Dic 14, 2018 Marco Schiaffino Attacchi, In evidenza, Malware, News, RSS 0
Prendete una situazione geopolitica complicata come quella del Medioriente, aggiungete le tensioni per le fluttuazioni del prezzo del petrolio, completate con un pizzico di strategia e mescolate bene: ecco servito il nuovo capitolo della vicenda Shamoon.
Il malware, comparso per la prima volta sui radar delle società di sicurezza 6 anni fa, è un classico caso di cyber-warfare, che vede come protagonisti i paesi del Golfo. Questa volta, però, a farne le spese è stata un’azienda italiana come Saipem.
Come riporta un comunicato sul sito ufficiale dell’azienda, l’attacco è avvenuto lo scorso 10 dicembre e ha causato la cancellazione dei dati in alcune infrastrutture IT del gruppo. L’attacco, nel dettaglio, avrebbe colpito più di 35.000 computer nele sedi in Medioriente, Scozia, India e (in misura minore) Italia.
Shamoon da un punto di vista tecnico è un wiper, cioè un malware programmato per fare piazza pulita di tutti i dati memorizzati sul computer che colpisce. Uno strumento, quindi, non tanto pensato per lo spionaggio, quanto per il sabotaggio.
Il malware era stato utilizzato in passato per colpire Aramco, una società petrolifera saudita, e aveva fatto parlare di sé ancora nel 2016, quando una nuova versione del wiper aveva fatto la sua comparsa sempre in Medioriente.
Nel 2017 era comparso invece Stonedrill, un malware con caratteristiche molto qualcosa di simili (ne abbiamo parlato in questo articolo) mentre l’ultima azione di sabotaggio su larga scala, anche se con caratteristiche diverse, è stata quella di NotPetya, che ha però preso di mira principalmente l’Ucraina.
L’attacco a Saipem, però, sembra inserirsi in quello che potremmo chiamare il “filone originale” di Shamoon. Prima di tutto perché Saipem, nelle ultime settimane, sembra essere in pole position per aggiudicarsi alcune commesse in collaborazione con Aramco.
In secondo luogo perché il malware che ha colpito la società italiana è senza dubbio una variante del malware originale comparso nel 2012.
L’analisi degli esperti, sotto questo punto di vista, non lascia dubbi e le conferme arrivano anche da alcuni (strani) dettagli, come la presenza di una data di attivazione inserita nel codice del malware, ma che sarebbe impostata per una data (passata) piuttosto lontana: il 7 dicembre 2017 alle ore 23:51.
Insomma: l’impressione è che qualcuno abbia copiato il codice di un malware pensato per agire come una “bomba a orologeria” e abbia impostato il timer su una data già trascorsa per fare in modo che si attivasse subito.
Ott 02, 2023 0
Gen 28, 2022 0
Gen 27, 2022 0
Gen 26, 2022 0
Mag 09, 2024 0
Mag 09, 2024 0
Mag 08, 2024 0
Mag 08, 2024 0
Mag 09, 2024 0
I sistemi Linux stanno diventando sempre più popolari e...Mag 08, 2024 0
Le aziende italiane continuano a essere uno degli obiettivi...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft: tra...Mag 06, 2024 0
Gli scanner di vulnerabilità, ovvero i software usati per...Mag 03, 2024 0
Sempre più spesso si discute delle crescenti capacità...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Ott 28, 2016 0
Il pirata informatico che ha creato il ransomware cerca...Mag 09, 2024 0
Le campagne sfruttano le vulnerabilità dei plugin di...Mag 09, 2024 0
I sistemi Linux stanno diventando sempre più popolari e...Mag 08, 2024 0
Le aziende italiane continuano a essere uno degli obiettivi...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Mag 07, 2024 0
A fine aprile i ricercatori di Kandji, piattaforma per