Saudi Arabias nasjonale oljeselskap kunngjorde søndag at deres interne pc-nettverk omsider er friskmeldt.
Da hadde det gått nesten to uker siden de måtte isolere maskinparken etter de ble rammet av et ødeleggende virusutbrudd den 15. august.
Verdens største oljeprodusent bekrefter for først gang angrepets omfang.
- Et ondsinnet virus som stammer fra eksterne kilder rammet om lag 30.000 arbeidsstasjoner, heter det i en pressemelding fra Saudi Arabian Oil Company (Saudi Aramco).
Det bekreftede antallet infiserte maskiner er interessant, da det er identisk med hva en politisk motivert hackergruppe kalt «Cutting Sword of Justice» tidligere har hevdet i kunngjøringer på nettstedet Pastebin.
- Vi trengte oss inn i et Aramco-system via hackede systemer i flere land. Deretter plantet vi et ondsinnet virus for å ødelegge 30.000 datamaskiner. Ødeleggelsene begynte onsdag 15. august kl 11.08 lokal tid og vil være fullført i løpet av få timer, skrev gruppen allerede den 15. august.
Oljegiganten sysselsetter nær 55.000 ansatte. Ifølge søndagens pressemelding skal alle pc-er nå være renset og tilbake i ordinær drift. Likevel er selskapets nettsider aramco.com fortsatt nede med en feilmelding.
Ingen kritiske operasjoner, som kontrollsystemer for oljeleting eller produksjon, skal ha vært berørt fordi disse befinner seg i adskilte og sikrede nettverk, gjentar selskapet.
- Vi håndterte trusselen umiddelbart. Våre prosedyrer og ulike sikkerhetssystemer har bidratt til hindre videre spredning fra disse beklagelige kybertruslene, sier Saudi Aramco-president Khalid A. Al-Falih.
Målrettet ødeleggelse
Saudi Aramco har ikke kommentert hva slags datavirus eller -orm de ble rammet av. Men angrepet sammenfaller med oppdagelsen av skadevaren Shamoon, også kalt Disttrack.
Shamoon blir beskrevet som en destruktiv Windows-spesifikk skadevare, som blant annet overskriver Master Boot Record (MBR) noe som gjør det umulig å starte opp datamaskinen. MBR er den første sektoren på harddisken og et område som leses inn før operativsystemet lastes inn.
- Dette er en ny trussel som brukes i målrettede angrep mot minst én organisasjon i energisektoren, skriver antivirusselskapet Symantec i et blogginnlegg.
Kaspersky Labs redegjør i et eget blogginnlegg for at Shamoon-viruset inneholder en hardkodet verdi for angrepsdatoen, som sammenfaller med tidspunktet for angrepet mot det saudiarabiske oljeselskapet.
Øvrige kilder:
Darkreading
New York Times
Les også:
- [28.01.2013] Pentagon femdobler kyberstyrken
- [11.12.2012] – Gudskjelov lyktes de ikke
- [31.08.2012] Gasskjempe slått ut av virus
- [17.08.2012] Oljegigant isolert etter kyberangrep
- [07.08.2012] Iran logger av
- [24.07.2012] – Iranske atomanlegg angrepet på nytt
- [18.07.2012] Kyberspion herjer i Midtøsten
- [20.06.2012] - Flame skulle bremse Irans atomprogram