Shamoon

Introducción

La operación contra Aramco fue el primer gran ataque cibernético que presumiblemente llevó a cabo Irán. Saudi Aramco es la mayor empresa energética del mundo, principalmente de carácter petrolero y perteneciente al estado saudí. Este ataque borró los datos de aproximadamente 35.000 sistemas en un solo día – según el New York Times aproximadamente el 75% de los equipos de la empresa – y mostró en las pantallas una bandera de Estados Unidos quemándose.

El ataque

El acceso inicial se obtuvo presumiblemente de dos maneras distintas. En agosto de 2012, mientras se celebraba una fiesta nacional de carácter religioso en la que no trabajaban muchos empleados, uno de ellos interactuó inocentemente con un phishing diseñado para explotar diversas vulnerabilidades, infectando así la red corporativa de la empresa. También se ha hablado de que era muy probable que la infección se iniciara de la mano de un insider (un empleado de la empresa), que insertó un dispositivo USB que contenía el wiper (malware de destrucción). Una vez obtenido el acceso inicial, el adversario se movió lateralmente, estableció persistencia, consiguió credenciales para escalar privilegios y extendió la infección a otros servidores y equipos dentro de la red de Aramco. Emplearon un ordenador de la red como servidor de Comando y Control (C2), que actuaba como repetidor y extendía las instrucciones a otros equipos.

Cuando el adversario había extendido la infección lo suficiente, activó la funcionalidad de wiper, eliminando así una parte crítica del sistema informático conocida como controlador de disco. Esto sirve para que el sistema operativo pueda administrar la lectura y escritura de archivos en el disco duro. Más tarde, el wiper buscaba carpetas relevantes y las sobrescribía, dificultando así la recuperación del contenido original. Por último, el wiper borraba el registro de arranque principal (master boot record), haciendo que los equipos no pudieran funcionar de manera correcta.

El ataque nunca ha sido atribuido con alta confianza a un país o adversario específico, se cree que fue Irán quien llevó a cabo este ataque, aunque como es común, no se sabe a ciencia cierta. El grupo hacktivista que reclamó la autoría en 2012 (Cutting Sword of Justice) desapareció tras el ataque. Esto podría indicar que, con un grado de probabilidad bastante alto, el adversario que realmente llevó a cabo el ataque creó al grupo hacktivista con el propósito de dificultar la atribución. En resumen, es altamente probable que Irán creara ese grupo hacktivista para llevar a cabo un ataque de falsa bandera y desviar la atención. La atribución de este tipo de ataques siempre ha sido una tarea pendiente en el sector.