Shamoon foi feita por um grupo extremista na Ar√°bia Saudita

Pesquisadores de seguran√ßa nos Estados Unidos declararam repetidamente que o software malicioso Shamoon usado em ataques cibern√©ticos contra a Saudi Aramco √© obra do Ir√£. No entanto, novas evid√™ncias sugerem que poderia ser o trabalho de um grupo extremista isl√Ęmico baseado na Ar√°bia Saudita.

As autoridades dos EUA disseram que o malware desenvolvido por amadores n√£o poderia destruir cerca de 30.000 computadores, como foi o caso da Shamoon no caso da Saudi Aramco. Seus assuntos giravam em torno de um estado, mais especificamente o Ir√£.

saudi_aramco

No entanto, o QI da Defesa publicou um relat√≥rio assinado por John Bumgarner, CEO da Cyber ‚Äč‚ÄčConsequences Unit. O relat√≥rio faz algumas suposi√ß√Ķes interessantes sobre a origem do malware.

Por exemplo, o Shamoon estava programado para ser ativado em 15 de agosto de 2012. No mesmo dia, a Ar√°bia Saudita comemorou o Laylat al-Qadr, um importante evento religioso em parte do Ramad√£.

Al√©m disso, o malware est√° definido para entrar no jogo √†s 11h08. Hora √°rabe e isso poderia ser uma refer√™ncia ao cap√≠tulo 11, vers√≠culo 8 do Alcor√£o Sagrado, que fala de puni√ß√Ķes.

Este vers√≠culo diz: ‚ÄúSe nos atrasarmos em puni-los a partir do tempo determinado, eles perguntar√£o: ‘O que impediu o castigo?’ No dia em que a puni√ß√£o chegar, ningu√©m poder√° escapar dela e aqueles que zombaram ser√£o cercados por todos os lados. “

Também é importante notar que o nome da equipe responsável pelos ataques à Saudi Aramco, Cutting Sword of Justice, pode estar relacionado a várias coisas, como a espada yataghani da bandeira da Arábia Saudita.

Al√©m disso, o autor do malware armazenou o c√≥digo do v√≠rus em uma pasta chamada Golfo P√©rsico, nome usado por muitos que vivem na Ar√°bia Saudita, Emirados √Ārabes Unidos, Bahrein, Kuwait, Om√£ e Catar no Golfo P√©rsico.

Especialistas acreditam que o uso da string “wiper” no c√≥digo Shamoon n√£o significa que seja proveniente do malware Wiper encontrado no Ir√£ em abril de 2012. Em vez disso, pode ser uma t√°tica de engano que chama a aten√ß√£o deles. interessado no Ir√£.