Shamoon

Shamoon, ook wel W32.Disttrack genoemd, is een computervirus dat is gebruikt voor cyberspionage, met name in de energiesector. De malware werd voor het eerst ontdekt in augustus 2012, toen het duizenden computers in Saudi-Arabië aantastte. Shamoon valt computers aan met Windows NT, Windows 9x en Windows Me.

Er zijn overeenkomsten gevonden tussen Shamoon en het Flame-virus, dat eerder in 2012 werd ontdekt en gericht was tegen overheidsorganisaties, onderwijsinstellingen en particulieren, voornamelijk in het Midden-Oosten, en met name in Iran. Shamoon werkt in verschillende fasen:

  • Een aanvaller lanceert Shamoon op een netwerk.
  • Het virus verspreidt zich naar de harde schijven van andere computers in het netwerk door middel van een functie genaamd "dropper."
  • Het virus stelt lijsten samen van bestanden op elke geïnfecteerde computer.
  • Een functie genaamd "reporter" stuurt informatie over de bestanden en de activiteit van de malware terug naar de aanvaller.
  • Een functie genaamd "wiper" wist sommige of alle gecompromitteerde bestanden.
  • Het virus overschrijft de master boot record (MBR) van de computer zodat deze niet opnieuw kan opstarten.

Een activistische jeugdgroep die zichzelf "Cutting Sword of Justice" noemt, eiste de verantwoordelijkheid op voor een aanval op werkstations van Saudi Aramco met behulp van het Shamoon-virus in augustus 2012. Bij deze aanval werden ongeveer 30.000 computers gecompromitteerd. Het herstel nam ongeveer twee weken in beslag. Computersystemen bij RasGas werden in dezelfde maand ook getroffen door een virus dat volgens sommige deskundigen Shamoon was.