27 Августа, 2012

Нефтяная компания Saudi Aramco восстановилась после кибератаки (Shamoon Worm)

Андрей Комаров
Одна из крупнейших нефтяных компаний Саудовской Аравии восстановилась после эффекта кибератаки 15 августа. Более 30 000 компьютеров внутренней сети были заражены вредоносным кодом.  



По оценке специалистов самой компании, данный инцидент носит характер масштабного, более 3/4 всех узлов сетевой инфраструктуры были скомпрометированы.

Злоумышленники выявили топологию компании и имели представление о размещении узлов корпоративной сети, более 3 000 IP было опубликовано в свободном доступе:

  1. 10.1.124.21     DAM07013-FPSP05    Windows Server® 2008 Enterprise      Service Pack 2
  2. 10.1.124.211    DAM07013-MSXPCC    Windows Server 2003                  Service Pack 2
  3. 10.1.124.214    DAM07013-MSXPCD    Windows Server 2003                  Service Pack 2
  4. 10.1.124.222    DAM07013-EMRQ01    Windows Server 2003                  Service Pack 2
  5. 10.1.124.24     DAM07013-FPSP06    Windows Server® 2008 Enterprise      Service Pack 2
  6. 10.1.124.242    DAM07013-MSXPF3    Windows Server 2003                  Service Pack 2
  7. 10.1.124.30     DAM07013-FPSP07    Windows Server® 2008 Enterprise      Service Pack 2
При этом, никакие промышленные элементы не были затронуты. Назначение вредоносного кода указывает на реализацию деструктивных функций по уничтожению информации.

Подробнее о Shamoon Worm:
http://www.symantec.com/connect/blogs/shamoon-attacks
http://blog.seculert.com/2012/08/shamoon-two-stage-targeted-attack.html
comments powered by Disqus