Shamoon, la brutta copia di Flame

Nella sequela infinita di (presunti) cyber-attacchi a infrastrutture e stati mediorientali si registra ora un nuovo episodio, un codice malevolo le cui caratteristiche fanno ipotizzare una provenienza molto più modesta rispetto alle intelligence avanzate (NSA e Mossad) che parrebbero aver dato vita a Stuxnet, Flame e compagnia.

Il nuovo esemplare di worm con il pallino dei climi caldi si chiama Shamoon (o anche “W32.Disttrack” e “W32.EraseMBR”), ed è progettato per cancellare il Master Boot Record e (quindi) la tabella delle partizioni del disco fisso installato sulle macchine infette.

Shamoon sovrascrive anche alcuni file vitali per il funzionamento di Windows con dati provenienti da una immagine JPEG di pubblico dominio, e al suo interno i ricercatori di sicurezza hanno individuato termini (“wiper”, “ArabianGulf”) che proverebbero il collegamento tra il nuovo malware e il succitato Flame.

Diversamente da Flame, però, il livello della programmazione di Shamoon è amatoriale : il malware non funziona come dovrebbe, e i ricercatori tendono a considerarlo una copia malriuscita di codice inizialmente presente in Flame, piuttosto che una nuova arma per la cyberwar.

Anche se c’è la possibilità che abbia fatto danni presso l’azienda petrolifera di stato dell’Arabia Saudita (Saudi Aramco), Shamoon si può considerare come un vero e proprio atto vandalico e poco altro.

Alfonso Maruccia