تعبيرية
سيمانتيك تكشف عن المتهم الذي يقف وراء فيروس شمعون .. فيديو
وجهت شركة سيمانتيك أصابع الاتهام إلى مجموعة قرصنة وتجسس إلكتروني تدعى “جرين بج” والتي تعتقد سيمانتيك أنها الجهة التي تقف وراء فيروس “شمعون” الذي عاد ليضرب في الساعات الماضية عددًا من الجهات الرسمية في المملكة العربية السعودية. واستندت سيمانتيك في اتهامها على تحليل تقني معمق.
وكانت سيمانتيك قد اكتشفت مجموعة القرصنة والتجسس الإلكتروني “جرين بج” أثناء تحقيقها في هجوم تسبب في تدمير ومسح بيانات استخدم فيه فيروس W32.Disttrack.B المعروف باسم شمعون Shamoon. وتصدر فيروس W32.Disttrack الأخبار لأول مرة في عام 2012 عندما استخدم في هجوم إلكتروني استهدف شركات الطاقة في المملكة العربية السعودية. وظهر الفيروس بوجه جديد في نوفمبر 2016 بإسم W32.Disttrack.B ليستهدف مرة أخرى شركات في المملكة العربية السعودية.
إلا أن فيروس W32.Disttrack يحمل فقط أوامر المسح، ويلزمه ملفات أخرى ليستطيع الدخول والانتشار في شبكات الشركات المستهدفة، وهذه الملفات يجب أن تكون مبنية على ملفات الشركة المصرح بها. وفي الوقت الذي تمت تغطية الهجمات في وسائل الإعلام، تبقى الإجابة على السؤال التالي غامضة: كيف استطاع القراصنة المهاجمين الاستيلاء على هذه الملفات المعتمدة وتوجيه W32.Disttrack إلى الشبكات المستهدفة؟!
هل يمكن أن تكون مجموعة “جرين بج” مسؤولة عن سرقة هذه الملفات وتزويد فيروس شمعون بها؟
تم اكتشاف مجموعة “جرين بج” عندما استهدفت مجموعة من المؤسسات في الشرق الأوسط، منها شركات تعمل في مجالات مثل الطيران والطاقة والاستثمار والتعليم وحتى الحكومية. واستخدمت المجموعة برمجية من نوع “حصان طروادة” (Trojan (RAT لسرقة المعلومات عن بعد والمعروفة بإسم Trojan.Ismdoor، بالإضافة إلى مجموعة من أدوات القرصنة التي ساعدتها على سرقة ملفات معتمدة حساسة من المؤسسات المخترقة.
ولا يوجد دليل قاطع على صلة مجموعة “جرين بج” بفيروس “شمعون”، إلا أن المجموعة سيطرت على حاسوب رئيسي واحد على الأقل في هجمة شمعون التي سبقت هجمة W32.Disttrack.B والتي استهدفت شبكة المؤسسة في 17- نوفمبر- 2016.
تحليل الهجمات
نشطت مجموعة القرصنة والتجسس “جرين بج” في شهر يونيو 2016، وتعتمد المجموعة في هجماتها على البريد الإلكتروني لتتمكن من اختراق المؤسسة. وترى سيمانتيك أن هذه المجموعة تملك صلاحيات دخول حصرية على البرمجية الخبيثة Trojan.Ismdoor. وتستخدم المجموعة أدوات إضافية للسيطرة على أجهزة الحاسوب الأخرى المتصلة بالشبكة وسرقة اسم المستخدم وكلمة السر الخاصة بكل حاسوب من داخل نظام التشغيل نفسه أو حساب البريد الإلكتروني ومتصفح الإنترنت.
واستخدمت برمجية Trojan.Ismdoor الخبيثة بين يونيو ونوفمبر 2016 ضد عدد من الأهداف وعلى نطاق واسع في منطقة الشرق الأوسط. وكجزء من العملية استخدمت المجموعة البنية التحتية لإحدى شركات الطاقة لاستضافة Ismdoor. وشملت الهجمات شركات تعمل في مجال الطيران والتعليم والمنظمات الحكومية والاستثمار. وتأثرت بها بلاد مثل المملكة العربية السعودية والبحرين والعراق وقطر والكويت وتركيا وإيران. وتم استهداف مؤسسة سعودية في استراليا.
ويعتقد أن الهجوم بدأ ببريد إلكتروني طلب من المستخدم تحميل ملف مضغوط RAR يحمل معلومات وصفت في البريد بأنها عرض عمل، والملف مستضاف على موقع إنترنت قانوني قد تكون المجموعة سيطرت عليه قبل الهجمة، وبداخل الملف RAR توجد برمجية Ismdoor الخبيثة مختبئة باستخدام تقنية دفق البيانات البديلة.
وتقنية “دفق البيانات البديلة” Alternate Data Streams تعمل على الأقراص الصلبة التي تعمل بنظام NTFS على نظام Windows، وتستخدم في الأصل لإضافة تفاصيل الملف الأصلي ولا يستطيع المستخدم رؤيتها، ما يجعلها مكان مثالي للمهاجم ليخبأ بها ملفات البرمجية الخبيثة المراد زرعها داخل الحاسوب لاختراقه.
من المسؤول؟!
وجود “جرين بج” على شبكة المؤسسات المستهدفة قبل هجوم مسح البيانات W32.Disttrack.B يبني صلة مبدئية لعلاقتهم بالهجمات. فاختيار “جرين بج” للمؤسسات المستهدفة والأدوات المستخدمة وهجمة Ismdoor جاءت قبل يوم واحد من هجوم “شمعون” في 17-نوفمير-2016 كل هذا يثير الشبهات حول المجموعة. وستواصل سيمانتيك مراقبة المجموعة حتى ظهور أدلة جديدة.
وتعرض عدد من الجهات الرسمية في المملكة العربية السعودية خلال الـ ٢٤ ساعة الماضية إلى هجوم إلكتروني جديد اعتمد على الإصدار الثاني من فيروس شمعون 2.0 وفيروس الفيدية Ransomware.
ومن بين الجهات التي استهدفها الهجوم وزارة العمل والتنمية الاجتماعية في المملكة العربية السعودية، وصندوق تنمية الموارد البشرية “هدف“. وتشير المعلومات الواردة حتى اللحظة إلى أن الجهات المستهدفة قامت باتخاذ كافة الاجراءات والتدابير التقنية اللازمة لحماية كافة قواعد البيانات، وأنه تم التعامل مع الهجوم الفيروسي والحد من انتشاره وتوسعه. كما تشير المعلومات المتاحة حتى اللحظة إلى أن تاثير الهجوم قد اقتصر على بعض الصفحات الإلكترونية على الإنترنت، وبعض الأجهزة الطرفية للمستخدمين، وعدم تاثير قواعد البيانات المتعلقة ببيانات عملاء الوزارة أو صندوق تنمية الموارد البشرية “هدف”.
وأصدر المركز الوطني الإرشادي لأمن المعلومات في المملكة العربية السعودية بيانًا للجهات ذات الصلة موضحًا فيه بعض التفاصيل والإرشادات، جاء فيه:
نظرا لتعرض عدد من الجهات لهجمات مختلفة من نوع فيروس شمعون 2 وفيروس الفدية Ransomware، نوصي جميع الجهات برفع مستوى الحيطة والحذر والتحقق من وجود الاحتياطات اللازمة، ومنها بعض الحلول المقترحة التي قد تساعد في تفادي الإصابة وتقليل الأضرار.
الحلول المقترحة
التحقق من وجود نسخ احتياطية حديثة للمعلومات والملفات المهمة، ولا ينصح بأخذ نسخ احتياطية على نفس الجهاز أو في أقراص المشاركة الشبكية Shared Drive التي قد تكون عرضة للإصابة.
زيادة الوعي لدى الموظفين من خلال تكثيف الحملات التوعوية لتسليط الضوء على هذا النوع من الإصابات، والتأكيد على عدم فتح الروابط أو مرفقات البريد الإلكتروني المشبوهة أو التي من اشخاص مجهولين أو التي لا يتوقع وصولها من الطرف الآخر، وعدم تصفح مواقع مشبوهة أو ليست ذات صلة بالعمل، وعدم تحميل ملفات من مواقع إنترنت غير معروفة وموثوقة للمستخدم.
تحديث أنظمة التشغيل والتطبيقات بشكل دوري وفعال، وذلك تجنباً لاستغلال الثغرات الحديثة لإصابة الانظمة والأجهزة بالبرامج الخبيثة من هذا النوع، كما يجب التأكد من تحديث متصفح الانترنت أو برامج مايكروسوفت أوفيس أو برنامج قارئ أدوبي Adobe على وجه الخصوص.
استخدام برامج مكافحة الفيروسات والتأكد من تحديثها دوريا، ومتابعة التدقيق في سجلات برامج مكافحة الفيروسات لكشف أي علامات على الإصابة ببرامج خبيثة، كما يمكن للجهة استخدام أنظمة الكشف المتطورة عن البرمجيات الخبيثة.
السيطرة على انتشار البرامج الخبيثة في شبكة الجهة من خلال التالي:- عزل الأجهزة المشتبه بإصابتها عن الشبكة.
-الحد من عدد الموظفين والمختصين الذين يتمتعون بحسابات لديها صلاحيات إدارة الانظمة Administration privileges على شبكات وأنظمة وتطبيقات الجهة والتأكد من حاجة الموظف لهذه الصلاحيات، وتسجيل كافة العمليات التي يقومون بها باستخدام الحسابات والتدقيق فيها بشكل دوري.
-مراجعة سجلات الدخول والمحاولات غير الناجحة في الخوادم والأجهزة التي تتمتع بصلاحية إدارة الأنظمة.
التأكيد على المختصين بعدم استخدام حسابات إدارة الأنظمة Administration Accounts لقراءة البريد الإلكتروني والاطلاع على المرفقات وتصفح الانترنت لخطورة ذلك على شبكة الجهة، لكون هذه الحسابات تتمتع بصلاحيات عالية على أنظمة الجهة مما يمكن البرامج الخبيثة من الانتشار، ويجب بدلاً من ذلك يتم استخدام حساب محدود الصلاحيات لاستخدامات الموظف الاعتيادية مثل قراءة البريد الإلكتروني والأعمال المكتبية وتصفح الانترنت.
مراجعة سياسات واجراءات أمن المعلومات باستمرار، وتقييم هذا النوع من الهجمات واتخاذ الاجراءات المناسبة للحد منها ومكافحتها.
عند الاصابة بفايروس الفدية Ransomware فإننا نصح بإجراء مسح باستخدام برامج مكافحة الفيروسات والأدوات التي توفرها الشركات المصنعة لبرامج مكافحة الفيروسات للبحث عن برامج لفك تشفير الملفات أو طلب الدعم الفني من شركة مكافحة الفيروسات التي تقدم الحلول المستخدمة في الجهة، ولا ينصح أبداً بدفع الفدية.
تحقق النبوءة الرابعة!
تأتي هذه الهجمات لتحقق النبوءة الرابعة التي قدمتها شركة Dell EMC عن طريق جيف كلارك، نائب رئيس مجلس إدارة العمليات ورئيس قسم حلول العملاء في دل، والذي قدم مقالًا مفصلًا في ٦ يناير الجاري عن توقعات الشركة والتي أشار في “النبوءة الرابعة” على حد تعبيره إلى توسع محيط الهجمات في هذا العام:
“مع توقعاتنا بتوسع محيط الهجمات هذا العام وتعديها على مناطق أخرى من الأعمال خارج شبكة تكنولوجيا المعلومات. فقد تميز عام 2016 بسلسلة من الهجمات الإلكترونية المتقدمة وخاصة تلك التي استهدفت قطاع النفط والغاز والخدمات المصرفية والمالية والتي نشكل العمود الفقري للاقتصاد الإقليمي. ففي الآونة الأخيرة، هاجم فيروس يدعى “شمعون” الهيئة العامة للطيران المدني في المملكة العربية السعودية. مما أدى إلى إحداث شلل تام في الآلاف من أجهزة الكمبيوتر خلال الهجوم، وبالتالي إيقاف جميع العمليات. ويثبت ذلك أنه وفي عصر العالم المتصل – فإن بالإمكان عملياً اختراق أي شيء مرتبط ببروتوكولات الإنترنت. ويدل ذلك على ضرورة استيعاب الشركات لفكرة أنه يجب حماية جميع الأجهزة المتصلة بالإنترنت وليس فقط السعي لحماية البيانات الخاصة”.
من يقف وراء فيروس شمعون؟!
بالعودة قليلًا إلى الوارء سنجد أن شركة “فاير آي” Fire Eye، المتخصصة في مجال حلول الأمن الإلكتروني القائم على استخبارات الأمن كخدمة، أعلنت عن اكتشافها في يوم ٦ ديسمبر ٢٠١٦ موجة من الهجمات التي تستهدف دول مجلس التعاون الخليجي. وذكرت في بيانها أنه وفي عام 2012، قامت عصابة مريبة من القراصنة الإيرانيين الذين أطلقوا على أنفسهم اسم “سيف العدالة القاطع” Cutting Sword of Justice باستخدام برمجية خبيثة عرفت باسم “شمعون” Shamoon أو Disttrack لاستهداف شركات الطاقة في منطقة الشرق الأوسط.
وخلال تلك الحادثة الأمنية تعرضت عشرات الآلاف من أجهزة الكمبيوتر للاختراق. وفي منتصف شهر تشرين الثاني/نوفمبر الماضي، تصدّت “مانديانت” لأولى هجمات برمجية Shamoon 2.0 الخبيثة التي استهدفت إحدى المؤسسات الكائنة في دول الخليج. ومنذ ذلك الحين، تعمل “مانديانت” على منع مجموعة من الحالات الأمنية المتعددة الموجهة ضد مؤسسات وشركات أخرى في المنطقة.
وأوضحت “فاير آي” أن الإصدار الثاني لفيروس شمعون Shamoon 2.0 هي نسخة معدلة ومحدثة من البرمجية الخبيثة التي شُهدت في حادثة عام 2012. وتظهر التحليلات أن هذه البرمجية الخبيثة تحتوي بداخلها على بيانات تعريف خاصة بتسجيل الدخول، مما يشير إلى احتمال قيام المهاجمين في السابق بعمليات اختراق موجهة للسطو على بيانات التعريف اللازمة قبل شن أي هجوم لاحق.
وفي حين يسود هناك اعتقاد شبه مؤكد بقيام عصابة إلكترونية تتخذ من إيران مقرًا لها بشن هجمات Shamoon في العام 2012، فإنه لا يزال من غير الواضح من يقف وراء الاختراق الأمني الأخير أو معرفة درجة هذا الاختراق.
وأوصت الشركة باتخاذ عدد من الإجراءات الوقائية، بما في ذلك أن تقوم شركات البنى التحتية والهيئات الحكومية (وخاصة تلك الكائنة في دول مجلس التعاون الخليجي) بمراجعة واختبار خطط التعافي من الكوارث الخاصة بالأنظمة الحساسة ضمن بيئة الأعمال لديها بشكل منتظم.
وذكرت الشركة إنه في حالات الاشتباه بوجود هجمات اختراق أمني محتملة، يُنصح بإيقاف الاتصالات التي تربط العملاء فيما بينهم، وذلك لإبطاء انتشار البرمجيات الخبيثة. كما ينصح وبشدة تغيير بيانات التعريف الخاصة بتسجيل الدخول إلى الحسابات الحساسة، وينبغي أن تكون كلمات المرور الخاصة بإداري الجهاز فريدة من نوعها.