Shamoon, nuovo attacco in Arabia Saudita

Secondo fonti ufficiali ed esperti di sicurezza l’agenzia dell’aviazione dell’Arabia Saudita ha subito lo scorso mese cyberattacchi originati da fuori i propri confini e, presumibilmente, dall’Iran.

Al centro dell’offensiva sembra esservi di nuovo il worm Shamoon (conosciuto anche come W32.Disttrack e W32.EraseMBR ): progettato – si presume sulla base del codice del malware Flame – per cancellare il Master Boot Record e (quindi) la tabella delle partizioni del disco fisso installato sulle macchine infette. È in circolazione dal 2012 ed è stato già individuato come responsabile di numerosi attacchi informatici nei confronti di infrastrutture e governi mediorientali, tra cui già figurava l’azienda petrolifera di stato dell’Arabia Saudita (Saudi Aramco), ma anche Las Vegas Sands e Sony.

Ora, secondo quanto riferiscono i ricercatori di sicurezza di Palo Alto Networks e di Symantec, sembra essere tornato in auge ed utilizzato nuovamente per un attacco nei confronti di un’azienda dell’Arabia Saudita: stavolta è l’agenzia di aviazione nazionale ad essere stata presa di mira danneggiando migliaia di computer nel suo quartier generale , con la perdita “di dati critici e la conseguente interruzione per diversi giorni di azioni operative”, che tuttavia non hanno coinvolto il traffico aereo civile.

Le autorità saudite hanno confermato l’attacco e riferito che non si limita all’aviazione: “Diverse agenzie governative sono state oggetto degli attacchi proveniente da uno stato straniero”.

Secondo alcune fonti , l’attacco sarebbe sponsorizzato da uno stato straniero, presumibilmente l’Iran, già in passato collegato a Shamoon.

Claudio Tamburrino