Bij de aanval op het grootste oliebedrijf ter wereld zijn veel meer computers uitgeschakeld dan het bedrijf in eerste instantie vertelde. Dat beweert een boodschap op Pastebin die van de aanvallers afkomstig zou zijn. Het Saoedische Saudi Aramco werd vorige week getroffen door een virus dat een aantal computers infecteerde. Uit voorzorg haalde de oliegigant de eigen website offline, die een week na de aanval nog steeds niet operationeel is.

Volgens het bericht op Pastebin zijn er in totaal 30.000 computers getroffen, waarvan 28.000 clients en 2.000 servers. Het virus probeerde eerst gegevens van besmette computers te stelen, waarna de harde schijf werd overschreven. De impact is veel groter dan Aramco doet voorkomen, zo beweren de aanvallers. Het netwerk zou nog altijd offline zijn en in tegenstelling tot wat Aramco zegt, had de aanval ook gevolgen voor de olieproductie.

Als bewijs publiceerden de aanvallers namen van getroffen computers, inclusief besturingssysteem, service pack en IP-adres. De aanvallers beweren nog steeds toegang tot het Aramco-netwerk te hebben. "Het IT-personeel van Aramco onderzoekt alleen de Microsoft Windows clients en servers. Het lijkt erop dat ze de meer dan 300 Linux-servers in het netwerk vergeten zijn, maar de hackers hebben dat niet."

Hacktivisme
Rob Rachwald van beveiligingsbedrijf Imperva stelt dat de aanval van groot belang is. Het zou namelijk de eerste keer zijn dat hacktivisten op zo'n succesvolle wijze malware inzetten. Daarnaast laat het ook zien dat anti-virus niet werkt. Als er inderdaad 30.000 machines besmet zijn geraakt, betekent dat 75% van alle Aramco computers zijn getroffen.

"Dit keer waren het hacktivisten die voor politieke en sociale redenen toesloegen. Een groep hobbyisten en hacktivisten met een aantal vastberaden ontwikkelaars en hackers hebben hetzelfde gedaan dat eerder naar verluidt alleen overheden deden."

Of hacktivisten daadwerkelijk achter de aanval zitten is nog altijd niet bevestigd. Bij de analyse van de malware stelde Kaspersky Lab dat het waarschijnlijk om scriptkiddies gaat.

Wissen
Om de gegevens op besmette computers te wissen gebruikt Shamoon een commerciële driver van de Franse EldoS Corporation. Het bedrijf is woedend op verschillende anti-virusbedrijven omdat in de analyse werd gesteld dat de aanvallers de driver met de gestolen privésleutels van EldoS hadden getekend, terwijl in werkelijkheid de software gestolen was.

"Dat misleidt mensen en stuurt het onderzoek in de verkeerde richting", aldus Eugene Mayevski. Hij merkt op dat geen van de anti-virusbedrijven het bedrijf hebben benaderd om te helpen met het vinden of identificeren van de bron van de signature en driver.