Кибератака была осуществлена 29 декабря, однако злоумышленникам удалось повредить только часть компьютерной сети Bapco, сообщило Национальное управление по кибербезопасности Саудовской Аравии (National Cybersecurity Authority).
В ходе недавней атаки преступники использовали новое вредоносное ПО под названием Dustman, представляющее собой вайпер для удаления данных на зараженных компьютерах. По словам представителей CNA, Dustman представляет собой обновленную и улучшенную версию вайпера ZeroCleare, обнаруженного осенью прошлого года.
Общим компонентом данных вредоносов является легитимный набор инструментов EldoS RawDisk для взаимодействия с файлами, дисками и разделами. Вредоносы используют различные эксплоиты и методы для повышения привилегий до уровня администратора, после чего они распаковывают и запускают утилиту EldoS RawDisk для очистки данных на зараженных хостах.
Однако у Dustman есть определенные отличия от других вайперов. Все необходимые драйверы и загрузчики поставляются в одном исполняемом файле, а не в двух файлах, как в случае с ZeroCleare. Также Dustman перезаписывает том, тогда как ZeroCleare стирает том, перезаписывая его мусорными данными (0x55).
Преступники эксплуатировали уязвимости удаленного выполнения кода в VPN-устройствах компании, что позволило им проникнуть в сеть Bapco. Согласно отчету CNA, злоумышленники, предположительно, инициировали процесс очистки данных в качестве последней попытки скрыть улики после того, как ряд совершенных ошибок выявил их присутствие во взломанной сети.
Специалисты пока не смогли определить, какая именно группировка причастна к кибератаке.