Shamoon

Shamoon, chiamato anche W32.Disttrack, è un virus informatico utilizzato per lo spionaggio informatico, in particolare nel settore energetico. Il malware è stato scoperto per la prima volta nell'agosto 2012, quando ha compromesso migliaia di computer in Arabia Saudita. Shamoon attacca i computer che eseguono Windows NT, Windows 9x e Windows Me.

Sono state trovate somiglianze tra Shamoon e il virus Flame, che è stato scoperto all'inizio del 2012 e ha preso di mira organizzazioni governative, istituzioni educative e privati, principalmente in Medio Oriente e in particolare in Iran. Shamoon opera in più fasi:

  • Un aggressore lancia Shamoon su una rete.
  • Il virus si diffonde ai dischi rigidi di altri computer della rete tramite una funzione chiamata "dropper".
  • Il virus compila elenchi di file su ogni computer infetto.
  • Una funzione chiamata "reporter" invia le informazioni sui file e sull'attività del malware all'aggressore.
  • Una funzione chiamata "wiper" cancella alcuni o tutti i file compromessi.
  • Il virus sovrascrive il record di avvio principale (MBR) del computer in modo che non possa riavviarsi.

Un gruppo di giovani attivisti che si fa chiamare "Cutting Sword of Justice" ha rivendicato la responsabilità di un attacco alle postazioni di lavoro Saudi Aramco utilizzando il virus Shamoon nell'agosto 2012. Questo attacco ha compromesso circa 30,000 computer. Il restauro ha richiesto circa due settimane. Anche i sistemi informatici di RasGas sono stati colpiti nello stesso mese da un virus che alcuni esperti ritengono fosse Shamoon.