السعودية ترصد هجمات قرصنة برمجية منظمة تستهدف قطاعات حكومية وحيوية

السعودية ترصد هجمات قرصنة برمجية منظمة تستهدف قطاعات حكومية وحيوية

كيف يعمل فيروس «شامون» بعد سباته الطويل؟
الجمعة - 3 شهر ربيع الأول 1438 هـ - 02 ديسمبر 2016 مـ
جدة: خلدون غسان سعيد - الرياض: «الشرق الأوسط»
رصدت السلطات الأمنية السعودية، هجمات إلكترونية خارجية منظمة على عدد من القطاعات الحكومية، «تهدف إلى تعطيل جميع الخوادم والأجهزة للمنشأة المستهدفة»، الأمر الذي وصفه بيان أمس بأنه «سيؤدي إلى التأثير على جميع الخدمات الإلكترونية المقدمة، والاستيلاء على معلومات الدخول للنظام».
وأعلن مركز الأمن الإلكتروني في السعودية أن الهجمات الإلكترونية كانت منظمة على عدد من الجهات الحكومية ومنشآت حيوية، «تعمل على الاستيلاء على معلومات الدخول للنظام ثم زرع برمجية خبيثة لتعطيل بيانات المستخدم، وقد استهدف الهجوم عدة قطاعات منها الحكومية وقطاع النقل وجهات أخرى».
وكان مركز الأمن الإلكتروني أرسل تحذيرات عن تهديد يستهدف تعطيل الخدمات لبعض الجهات يوم 19 نوفمبر (تشرين الثاني) الماضي، وشارك عددا من الجهات الحكومية والمرافق المهمة هذه التحذيرات التي تضمنت المعلومات اللازمة لتجنب الإصابة بالهجمة وسبل الحماية منها والخطوات التقنية لتلافي تبعات الاختراق.
ويوصي المركز باتباع أفضل الممارسات في حماية الأنظمة الإلكترونية، وعلى وجه الخصوص فيما يتعلق بالحد من الوصول عن بعد عن طريق الشبكة الافتراضية «في بي إن» (VPN) وخدمة الوصول لسطح المكتب عن بعد «آر دي بي» (RDP).
وتشير المؤشرات إلى أن مصدر الهجوم يقع خارج السعودية، ضمن عدة هجمات إلكترونية مستمرة تستهدف الجهات الحكومية والقطاعات الحيوية في البلاد.
من جهة اخرى ينفذ فيروس «شامون» Shamoon (يعرف أيضا باسم «ديسكتراك» Disttrack) أعماله التخريبية بالوصول إلى القرص الصلب للجهاز المستهدف ومحو السجلات الرئيسية التي تستخدمها الأجهزة لبدء عمله، وليتعطل عمل الكومبيوتر بعد الانتهاء من عمله. ويتألف الفيروس من مجلد يبلغ حجمه نحو 900 كيلوبايت (أي بحجم رُبع أغنية أو صورة متوسطة الدقة) فقط يحتوي على نص برمجي مشفر يصيب الكومبيوتر المستهدف ويحوله في البداية إلى جهاز وسطي للاتصال بالجهاز الخادم عبر الإنترنت الذي يقوم بدوره بتوجيه الفيروس والتحكم به ومده بالأوامر.
ويستطيع الفيروس الانتشار من جهاز متضرر لآخر في الشبكة نفسها، ليقوم بتشغيل قائمة من الملفات من مواقع محددة في النظام (مثل مجلد المستخدمين Users والمستندات والإعدادات Documents and Settings ومجلدي النظام System32-Drivers وSystem32-Config) ويرفعها إلى الجهاز المهاجِم المركزي (مثل اسم ورقم الجهاز المصاب في الشبكة ونوع وإصدار نظام التشغيل ومعلومات حول حزمة التحديثات المستخدمة)، ويحذفها من الكومبيوتر المستهدف دون قدرة على استعادة تلك المعلومات. وفي نهاية العملية، سيحذف الفيروس السجل الرئيسي للقرص الصلب Master Boot Record MBR لمنع الكومبيوتر كليا من العودة إلى العمل بعد إعادة تشغيله ويجعله غير قابل للعمل إلا بعد وقت وجهد بليغين لإصلاح الأجهزة المتضررة. الآلية التي ينتقل بها الفيروس عبر الشبكة هي بمسحه لجميع الأجهزة المتصلة بالشبكة وزرع نفسه داخل المجلدات المشتركة، ويقوم بزراعة ملفات إضافية مخزنة بداخله تعمل على معماريتي 23 و64 بت، وذلك لزيادة نسبة الإصابة وفقا لإصدار نظام التشغيل المستخدم.
وتقدم شركة «فاير آي» FireEye المتخصصة بالأمن الرقمي نصائح لمديري شبكات الشركات والمؤسسات لمعرفة ما إذا كانت أجهزتهم مصابة أم لا، وما الذي يمكن القيام به، وذلك بزيارة الرابط التالي http://bit.ly/2gKmQMv

اختيارات المحرر

الوسائط المتعددة