Keyfacts
- entdeckt: August 2012
- sicher aktiv seit: August 2012
- letzte Aktivität: August 2012
- Verbreitung: Öl & Energiefirmen in Saudi Arabien
- Infektion: shared hard drives
- Hauptziel: Sabotage, 10 Tage lang stark beeinträchtigt, ca. 30.000 Rechner gestört
- vermutliche Herkunft: Iran
Relevante Dokumente
- Shamoon the Wiper – Copycats at Work (Q: Securelist.com)
- Shamoon The Wiper: further details (Part II) (Original-Artikel)
- U.S.: Hackers in Iran responsible for cyberattacks (Original-Artikel)
Shamoon ist eine Malware die sich ausschließlich gegen Öl- und Energieanlagen in Saudi-Arabien richtete und dessen Ziel in einer Sabotage von Anlage der Firmen Aramco und RasGas bestand. Dazu wurden zentrale Rechner in Computersystemen mit Shamoon, über die weitere, an das Netzwerk angeschlossene Systeme infiziert werden konnten. Auf diese Weise war es möglich bis zu 30.000 Rechner zu infizieren. Nachdem sich Shamoon in einem Netzwerk ausgebreitet hatte wurde der eigentlich Schadcode ausgelöst der im Löschen kritischer, für das Betriebssystem relevanter Dateien und Festplattenbereiche (der sog. Master Boot Record) bestand. Derartig beschädigte Computer stürzen ab und sind ohne manuelle Reperatur nicht mehr verwendbar. Dieses wenig sensible und offene Vorgehen von Shamoon hebt ihn aus den sonstigen bekannten Vorfällen, deren Ziel zumeist im Diebstahl relevanter Daten besteht ab.
Bedeutsam an Shamoon ist weiterhin, dass dessen Herkunft durch die US-Regierung dem Iran zugeschrieben wird: „Ohne die Hilfe offizieller Stelle hätten die Angreifer im Iran gar nicht die für die Attacken notwendigen Ressourcen, so die Quellen des Wall Street Journals“. Der damalige US-Verteidigungsminister Leon Panetta nahm diesen Vorfall zum Anlass um auf die gewachsene Cyberbedrohung durch den Iran hinzuweisen.