駭客攻擊 - 全球最大石油公司遭駭(75%電腦受感染)

全球最大石油公司Saudi Aramco日前被駭客攻擊，該公司約75%的電腦遭受病毒感染，歷經約兩周修復後，Saudi Aramco於8/27對外公告，該公司目前已經從攻擊中回復，受影響3萬部電腦中的病毒已經完全清除並恢復網路連結。

雖然Saudi Aramco未直接說明是遭受哪款病毒攻擊，但資安專家分析，Saudi Aramco此次大規模感染的原因，就是日前被發現的惡意程式Shamoon所造成。

該攻擊事件之所以會曝光，主因在於一個名為Cutting Sword of Justice的駭客組織於8/15在Pastebin網站上發文指出，他們攻擊了沙烏地阿拉伯的國營石油公司Saudi Arabia。Cutting Sword of Justice表示，Saudi Arabia石油公司支持了許多犯罪與暴力行為，因此發動此次攻擊以譴責其行為。

湊巧的是，安全公司當時紛紛偵測到惡意程式Shamoon的存在，如賽門鐵克(Symantec)在8/16就發出Shamoon(W32.Disttrack)的攻擊報告，資安專家根據攻擊方式與受害情況分析，該駭客組織應該就是用Shamoon展開攻擊。此外，Shamoon攻擊目標鎖定石油產業，預計受影響的公司應該不只Saudi Arabia。

Shamoon比較特別的是，除了竊取資料外，還會清除受感染電腦中的資料。伊朗安全公司Seculert指出，Shamoon的攻擊分成兩個階段，電腦受感染後，首先竊取系統中的資料，然後回傳到遠端的C&C(Command & Control)伺服器，接著，它會複寫檔案資料與感染電腦的主開機記錄(MBR, Master Boot Record)，以清除原先的資料，同時達到癱瘓電腦的目的。

Saudi Aramco執行長Khalid A. Al-Falih表示，已經快速處理此次攻擊事件，首先中斷受感染電腦的網路連結，並清除病毒。由於存放機密資料的系統都使用獨立網路環境，因此包括其開採、生產、出口、銷售、物流、財務與人力資源等系統，以及相關資料庫和產業控制系統等，都沒有被入侵，不過該公司的網站aramco.com截至目前為止仍舊關閉。

Al-Falih強調，雖然受感染電腦數量占整體比重高達75%，但是在既有的預先警示與多重保護系統的機制下，大幅減輕此次攻擊所帶來的損害，且目前已經在計畫如何提升系統的安全防禦能力。

資安專家分析，若根據駭客組織Cutting Sword of Justice自身的說法，此事件可視為駭客主義(Hacktivism)下的攻擊行動，即是基於政治與社會動機或為了表達不同意見，而發動的攻擊行為。

不過，有別於Anonymous、LulzSec等典型駭客主義組織，直接鎖定應用程式漏洞或採用DDoS的攻擊手法，Cutting Sword of Justice使用惡意程式Shamoon發動攻擊的方式也很不尋常。

Imperva安全策略總監Rob Rachwald表示，這是駭客主義攻擊首次使用病毒展開攻擊的案例，賽門鐵克表示，採取這種摧毀資料式的攻擊手法並不常見，而且這也不是典型的目標式攻擊手法，後續發展值得觀察。

友善連結 : http://www.informationsecurity.com.tw/article/article_detail.aspx?tv=12&aid=7012


更多產品資訊來源 : www.pronew.com.tw
正新電腦  TEL : 04-2473-8309