De aanval op de Saoedische oliegigant Saudi Aramco, waarbij 30.000 computers beschadigd werden, is niet het werk van de Iraanse overheid of Iraanse hackers, zoals de Amerikaanse overheid beweert. Shamoon infecteerde Saudi Aramco en maakte daarbij van allerlei systemen gegevens buit. Vervolgens werden 30.000 computers en servers volledig gewist.

Volgens nieuw bewijs is de aanval niet het werk van Iraniërs, maar het werk van fundamentalisten met anti-Amerikaanse opvattingen. Dat beweert beveiligingsbedrijf Defence IQ. De eerste versie van het Shamoon-virus gebruikte een brandende Amerikaanse vlag om de harde schijven van besmette computers te overschrijven.

De aanval werd opgeeist door een groep die zichzelf “Cutting Sword of Justice” noemt. De groep zegt dat de aanval tegen Saudi Aramco was gericht vanwege 'onderdrukkende maatregelen' in het Midden-Oosten, die door geld van de oliegigant worden ondersteund.

Koran
Volgens Defence IQ werd het virus actief op 15 augustus 2012, wat een datum met een religieuze betekenis voor moslims is. Het virus zou zelf ook op een specifieke tijd actief worden, namelijk om 11:08 uur in de ochtend.

Dat zou mogelijk een verwijzing naar een vers uit Koran zijn. In het vers wordt gesproken over het straffen van iemand op een bepaalde tijd. "In het geval van Saudi Aramco kwam de straf in de vorm van cyberaanvallen die op een specifieke tijd plaatsvonden", zegt John Bumgarner.

Code
In de code zouden ook sterke anti-Amerikaanse sentimenten zijn aangetroffen, gaat de beveiliger verder. Het gaat dan om de brandende vlag. Daarnaast bevat het virus ook een string met daarin de tekst "ArabianGulf". In verschillende Arabische landen is het onbeleefd om de term Perzische Golf te gebruiken.

Bumgarner stelt dan ook dat het zeer waarschijnlijk is dat de auteur uit Saudi-Arabië of een ander land in de Arabische Golf afkomstig is. "De aanvaller was waarschijnlijk een werknemer van Saudi Aramco met 'high-level' toegang tot de computersystemen van het bedrijf."

Terrorisme
Wat betreft de verdenkingen tegen Iran zou de auteur op een eerder incident inspelen. In april 2012 lieten Iraanse functionarissen weten dat de systemen van een oliebedrijf door een virus genaamd 'wiper' waren geïnfecteerd. Bumgarner denkt dat het Saoedi Arabische virus bewust de naam 'wiper' heeft gebruikt als afleidingstactiek.

Toch heeft Saudi Aramco geluk gehad dat het virus slechts minimale verstoringen opleverde en geen permanente schade aan de oliefaciliteiten veroorzaakte, gaatt de beveiligingsexpert verder. "Anders had de wereldeconomie miljoen vaten olie moeten missen." Saudi Aramco is de grootste olieproducent ter wereld.

De aanval is volgens Bumgarner niet als een normaal hack-incident af te doen. "Deze aanval was waarschijnlijk het eerste wapenfeit van cyberterrorisme."