SHAMOON Geri Geldi!

APT zararlıları arasında dikkat çeken SHAMOON’un geri döndüğü tayit edildi. Suudi Arabistan USOM’u (Ulusa Siber Olaylara Müdahale merkezi – Saudi Arabia CERT) 22 kuruluşun SHAMOON saldırısına uğradığını doğruladı.
2012 yılında Suudi Arabistan’da ciddi hasara yol açan SHAMOON zararlısı bulaştığı sistemin MBR (Master Boot Record) bilgilerini silerek açılmasını engelliyor. SHAMOON’un ilk sürümü 2012 yılında petrol üreticisi ARAMCO’ya ait binlerce bilgisayarı devre dışı bırakıp ekranlarında yanan bir A.B.D. bayrağı görseli göstermişti. İlk incelemelerde bu zararlı yazılımın arkasında İran’lı gruplar olabileceği ihtimali konuşuluyordu.
SHAMOON’un bu yeni sürümü hepimizin hatırladıkça içini sızlatan Alan Kurdi’nin sahilde çekilmiş o acı fotoğrafını gösteriyor.

SHAMOON; “dropper”, “wiper” ve “reporter” olarak adlandırılan 3 farklı bileşenden oluşuyor. Dropper olarak adlandırılan ilk bileşen zararlı yazılımın sisteme bulaştığında yüklediği parça. Bu modül hem ek bileşenleri indiriyor hem de yerel ağda yayılıyor. İkinci bileşen diskteki verileri silip küçük Alan’ın fotoğrafını kaydediyor. Üçüncü bileşen ise komuta sunucusuyla iletişimi sağlayarak silme işleminin başlayacağı zamanla ilgili talimatları alıyor ve işlem tamamlandığında bilgi veriyor. APT zararlılarının bir çoğunun aksine gizli kalıp bilgi sızdırmak için değil, bulaştığı sistemi devre dışı bırakıp iş süreçlerini aksatmak için geliştirilmiş olması SHAMOON’u farklılaştıran en önemli özelliği.