موجة جديدة من البرمجيات الخبيثة تصيب السعودية

نصائح تقنية لتجنب الإصابة بها

عودة فيروس «شامون» (شمعون) بعد غياب دام أكثر من 60 يومًا

عاد فيروس «شامون» Shamoon (يعرف أيضا باسم «شمعون» و«ديسكتراك» Disttrack) إلى الأضواء مرة أخرى، حيث أصاب الأسبوع الجاري منشآت حكومية سعودية كثيرة، من بينها وزارات كثيرة وشركات خاصة ضخمة. وتعيد هذه الموجة إلى الأذهان الهجمات السابقة للإصدار الأول منه، والذي هاجم شركة «أرامكو» السعودية في عام 2012 وتسبب بخسائر كبيرة، مع استهداف «راس غاز» القطرية في العام نفسه، ومن ثم إصابة عدد من المؤسسات الحكومية في السعودية في 17 نوفمبر (تشرين الثاني) الماضي.
وكثف الفيروس هجماته على الأجهزة المكتبية في المؤسسات والشركات والأجهزة الخادمة لها، مع استهداف بعض الأفراد من خلال البريد الإلكتروني بإرسال رسائل لهم تظهر للمستخدم وكأنها من القسم التقني في مكان عملهم تطلب منهم تثبيت ملف مرفق، ليقوم الملف بنسخ الفيروس في أماكن متعددة ونشر نفسه في الشبكة.
وكانت هيئة الاتصالات وتقنية المعلومات في السعودية حذرت المستخدمين من هجمات شرسة على المواقع الإلكترونية الحكومية، ومن بينها وزارة العمل والتنمية الاجتماعية والمؤسسة العامة للتدريب التقني والمهني وصندوق تنمية الموارد البشرية، وغيرها.
كما أكدت شركة «موبايلي» للاتصالات تأمينها وحمايتها لجميع نظم الشركة بعض تعرضها للهجمة الإلكترونية، مع استهداف شركة «صدارة» للبتروكيماويات التي تعتبر مشروعا مشتركا بين «أرامكو السعودية» وشركة «داو كيميكال» الأميركية. ونصحت الهيئة بعزل الكومبيوترات المصابة أو المشتبهة عن الشبكة، والحد من عدد الموظفين الذين يتمتعون بصلاحيات المشرفين على الأجهزة لحماية الشبكة ككل، ومسح جميع أجهزة الشركة أو المؤسسة الحكومية باستخدام برامج مكافحة الفيروسات، وطلب الدعم الفني من تلك الشركات عند الحاجة.
ووردت أنباء حول تضرر مجموعة من المصارف وبعض شركات البتروكيماويات وشركات التأمين الصحي في السعودية من الفيروس.
وأفادت تقارير بعض شركات الحلول الأمنية الرقمية بأن المهاجمين قد استخدموا بيانات حصلوا عليها من الهجمات السابقة لتحليل شبكة وأجهزة كل جهة مستهدفة، ومن بينها معلومات حسابات المستخدمين.
حول هذا الأمر، تحدثت «الشرق الأوسط» مع فيصل السيف، الخبير التقني الذي عمل في واحدة من أكبر شركات تقنيات الدفاع العالمية ومؤسس «تيك بليز» Tech Pills، حيث قال بأن هذا الأمر يدل على عدم اتخاذ الإجراءات الوقائية الصحيحة للجهات التي أصيبت بالفيروس، مثل تعديل نظام الجدار الناري Firewall والشبكات الفرعية الداخلية Subnet وكلمات السر للمشرفين والمستخدمين، وعدم توعية المستخدمين داخل المؤسسة أو الشركة بشكل كاف للوقاية من هجمات مقبلة، وخصوصا أن الوسيلة المستخدمة لانتقال الفيروس كانت عبر الملفات المرفقة بالبريد الإلكتروني. ولخص فيصل السيف المشكلة بأنها مشكلة وعي وثقافة الحماية، حيث إنه ليس من يفترض أن تصاب المؤسسات نفسها مرة أخرى إن اتخذت الإجراءات الصحيحة وثقّفت مستخدميها حول كيفية اختيار كلمات سر آمنة وتوعيتهم بأساليب الحماية الأساسية.
ونظرا لأن الفيروس يصيب السجل الرئيسي للقرص الصلب Master Boot Record، فيجب أخذ نسخ احتياطية من جميع الملفات المهمة على وحدات تخزين منفصلة وغير متصلة بالشبكة على الإطلاق، ويجب زيادة التركيز على استخدام نظم جدار حماية على مستوى العتاد Hardware وليس البرمجيات Software.
* طريقة عمل الفيروس
* يتألف الفيروس من مجلد يبلغ حجمه نحو 900 كيلوبايت (أي بحجم رُبع أغنية أو صورة متوسطة الدقة) فقط، يحتوي على نص برمجي مشفر يصيب الكومبيوتر المستهدف ويحوله في البداية إلى جهاز وسطي للاتصال بالجهاز الخادم عبر الإنترنت والذي يقوم بدوره بتوجيه الفيروس والتحكم به ومده بالأوامر. ويستطيع الفيروس الانتشار من جهاز متضرر لآخر في الشبكة نفسها، ليقوم بتشغيل قائمة من الملفات من مواقع محددة في النظام ويرفعها إلى الجهاز المهاجِم المركزي (مثل اسم ورقم الجهاز المصاب في الشبكة ونوع وإصدار نظام التشغيل ومعلومات حول حزمة التحديثات المستخدمة)، ويحذفها من الكومبيوتر المستهدف دون قدرة على استعادة تلك المعلومات. وفي نهاية العملية، سيحذف الفيروس السجل الرئيسي للقرص الصلب Master Boot Record لمنع الكومبيوتر كليا من العودة إلى العمل بعد إعادة تشغيله ويجعله غير قابل للعمل إلا بعد وقت وجهد بليغين لإصلاح الأجهزة المتضررة.
الآلية التي ينتقل بها الفيروس عبر الشبكة هي بمسحه لجميع الأجهزة المتصلة بالشبكة وزرع نفسه داخل المجلدات المشتركة، ويقوم بزراعة ملفات إضافية مخزنة بداخله تعمل على معماريتي 32 و64 بت، وذلك لزيادة نسبه الإصابة وفقا لإصدار نظام التشغيل المستخدم.
ولا ينصح بنسخ أي ملفات من الأجهزة المصابة، ويجب فصلها عن شبكة المؤسسة أو الشركة فورا ومعالجتها بشكل منفصل. ولا ينصح بفتح أي ملف في هذه الفترة من أي شخص غريب، وينصح التأكد شفهيا من الطرف المرسل قبل أي ملف مرفق، وإبلاغ القسم التقني في الشركة أو المؤسسة فور وصول هذا النوع من الرسائل.
وينصح حاليا بعدم استخدام الخدمات الإلكترونية الحكومية أو المصرفية إلا من جهاز معزول عن الشبكة، تلافيا لأي خطر قد ينتقل عبر الإنترنت. ولا ينصح بتحميل الملفات من مواقع لا تعرفها، أو من مواقع تحميل ومشاركة الملفات، حتى لو كانت لأغراض العمل، ذلك أن هذه الخدمات مفتوحة للجميع، وقد يستغلها القراصنة لخداعك بتحميلها متظاهرة أنها من حساب شخص تعرفه أو من داخل الشركة أو المؤسسة. ولا ننصح بنسخ الملفات المهمة إلى مجلد مشترك في الشبكة Shared Drive، ذلك أن هذه العملية قد ترفع من احتمال انتقال الفيروس إلى ذلك المجلد ومنه إلى كومبيوترات أخرى متصل بالشبكة.