https://twcert2024.informationsecurity.com.tw/

觀點

全球最大石油公司遭駭 75%電腦受感染

2012 / 09 / 03
編輯部
全球最大石油公司遭駭  75%電腦受感染

全球最大石油公司Saudi Aramco日前被駭客攻擊,該公司約75%的電腦遭受病毒感染,歷經約兩周修復後,Saudi Aramco8/27對外公告,該公司目前已經從攻擊中回復,受影響3萬部電腦中的病毒已經完全清除並恢復網路連結。雖然Saudi Aramco未直接說明是遭受哪款病毒攻擊,但資安專家分析,Saudi Aramco此次大規模感染的原因,就是日前被發現的惡意程式Shamoon所造成。

 

該攻擊事件之所以會曝光,主因在於一個名為Cutting Sword of Justice的駭客組織於8/15Pastebin網站上發文指出,他們攻擊了沙烏地阿拉伯的國營石油公司Saudi ArabiaCutting Sword of Justice表示,Saudi Arabia石油公司支持了許多犯罪與暴力行為,因此發動此次攻擊以譴責其行為。

 

湊巧的是,安全公司當時紛紛偵測到惡意程式Shamoon的存在,如賽門鐵克(Symantec)8/16就發出Shamoon(W32.Disttrack)的攻擊報告,資安專家根據攻擊方式與受害情況分析,該駭客組織應該就是用Shamoon展開攻擊。此外,Shamoon攻擊目標鎖定石油產業,預計受影響的公司應該不只Saudi Arabia

 

Shamoon比較特別的是,除了竊取資料外,還會清除受感染電腦中的資料。伊朗安全公司Seculert指出,Shamoon的攻擊分成兩個階段,電腦受感染後,首先竊取系統中的資料,然後回傳到遠端的C&C(Command & Control)伺服器,接著,它會複寫檔案資料與感染電腦的主開機記錄(MBR, Master Boot Record),以清除原先的資料,同時達到癱瘓電腦的目的。

 

Saudi Aramco執行長Khalid A. Al-Falih表示,已經快速處理此次攻擊事件,首先中斷受感染電腦的網路連結,並清除病毒。由於存放機密資料的系統都使用獨立網路環境,因此包括其開採、生產、出口、銷售、物流、財務與人力資源等系統,以及相關資料庫和產業控制系統等,都沒有被入侵,不過該公司的網站aramco.com截至目前為止仍舊關閉。

 

Al-Falih強調,雖然受感染電腦數量占整體比重高達75%,但是在既有的預先警示與多重保護系統的機制下,大幅減輕此次攻擊所帶來的損害,且目前已經在計畫如何提升系統的安全防禦能力。

 

資安專家分析,若根據駭客組織Cutting Sword of Justice自身的說法,此事件可視為駭客主義(Hacktivism)下的攻擊行動,即是基於政治與社會動機或為了表達不同意見,而發動的攻擊行為。

 

不過,有別於AnonymousLulzSec典型駭客主義組織,直接鎖定應用程式漏洞或採用DDoS的攻擊手法,Cutting Sword of Justice使用惡意程式Shamoon發動攻擊的方式也很不尋常。Imperva安全策略總監Rob Rachwald表示,這是駭客主義攻擊首次使用病毒展開攻擊的案例,賽門鐵克表示,採取這種摧毀資料式的攻擊手法並不常見,而且這也不是典型的目標式攻擊手法,後續發展值得觀察。