Нефтяники восстановили 30 тысяч «убитых» вирусом компьютеров за 10 дней // 07 Декабря 2012

25 августа крупнейшая нефтяная компания мира Saudi Aramco, принадлежащая правительству Саудовской Аравии, сообщила, что «восстановила и вернула к работе» более 30 тысяч компьютеров, лишившихся данных на жестких дисках в результате масштабной вирусной атаки, проведенной 15 августа. Ответственность за атаку взяла на себя группировка «Разящий меч правосудия», заявившая, что атака проведена в ответ на поддержку Саудовской Аравией «зверств и преступлений» в Сирии, Египте и других мусульманских странах.

Как мы уже писали, в середине августа фирма Symantec, а также компании McAfee и «Лаборатория Касперского», сообщили об обнаружении нового опасного вируса, затирающего главную загрузочную запись и данные на жестком диске. Имена пострадавших от вирусной атаки компаний не разглашались, лишь вскользь упоминалась об их принадлежности к энергетическому сектору.

Вирус тщательно затирал информацию на жестком диске инфицированной машины и распространялся через общие сетевые папки. Он сообщал своим создателям IP-адрес зараженного компьютера и сведения о количестве уничтоженных файлов. Для низкоуровневого доступа к жесткому диску использовался системный драйвер, подписанный закрытым ключом шифрования, принадлежащим компании EldoS. Любопытно, что EldoS является партнером Microsoft в качестве независимого производителя ПО и занимается разработкой программных компонентов для систем безопасности.

Инцидент начался 15 августа текущего года, когда ранее неизвестная группировка «Разящий меч правосудия» заявила в интернете о запуске вирусной атаки на компанию Saudi Aramco в ответ на поддержку коррумпированным режимом Саудовской Аравией зверств и преступлений в Сирии, Египте и других мусульманских странах на деньги, полученные от нефтедобычи. В тот же день Saudi Aramco заявила, что отключила свою основную компьютерную сеть от интернета для борьбы с проникшим в нее вирусом. Представителей Saudi Aramco также сообщили, что система управления производственными мощностями компании не пострадала, поскольку конструктивно изолирована от основной сети.

25 августа Saudi Aramco выпустила пресс-релиз, в котором заявила, что полностью восстановила и вернула к работе более 30 тысяч пострадавших компьютеров, а также заверила, что вирусная атака никоим образом не отразилась на основной деятельности компании по разведке, добыче, переработке и поставке нефти и газа. В настоящее время компания продолжает расследование и уверена, что вирус проник в ее сеть из внешних источников.

По материалам сайтов Ars Technica и Reuters.