خبراء دوليون: فيروس الفدية الجديد قد يكون هجوماً متعمداً على أوكرانيا

تسلل بطرق جديدة عبر شبكة بعض الشركات لتنفلت عدواه نحو العالم

رصد خبراء دوليون في أمن المعلومات جانبين خطيرين في انطلاقة فيروس الفدية «بيتيا» الجديد: الأول - أنه قد يكون هجوما متعمدا لا يهدف إلى جني الأموال بل إلى تدمير النظم الكومبيوترية أشرف على إدارته فرد واحد أو دولة وكان موجها ضد أوكرانيا التي كانت أكثر الدول المتضررة منه، والثاني أن الفيروس تسلل أولا نحو شركات محددة ثم نحو دول أخرى بواسطة صلات الشبكات الإلكترونية للشركات والمؤسسات الأوكرانية مع مثيلاتها في العالم.
وكانت أوكرانيا اتهمت روسيا مرارا بتدبير هجمات على شبكاتها الإلكترونية ومؤسسات حيوية منذ أن ضمت موسكو شبه جزيرة القرم في عام 2014. ومن جهته قال «الكرملين»، الذي نفى الاتهامات، إنه ليس لديه معلومات بشأن مصدر الهجوم الإلكتروني العالمي الذي أصاب أيضا شركات روسية منها «روسنفت» عملاقة النفط الروسية وشركة أخرى لصناعة الصلب. وفي الولايات المتحدة توجه تيد ليو العضو الديمقراطي في الكونغرس الأميركي عن كاليفورنيا، بطلب إلى وكالة الأمن الوطني يدعوها إلى بذل كل جهودها وقف انتشار برامج الفدية خصوصا وأن الأدوات البرمجية داخل تلك البرامج كانت قد تسربت أصلا من الوكالة.
ضربة موجهة
وفي فيينا لمح خبير في مكتب مكافحة الجريمة للأمم المتحدة في فيينا إلى وجود دولة أو «طفل في قبوه» وراء الهجوم الإلكتروني، لأن استراتيجية الفدية غير العادية للمهاجمين تشير إلى أن المال قد لا يكون الدافع الرئيسي.
وقال نيل والش، رئيس برنامج الأمم المتحدة العالمي للجريمة الإلكترونية، إن برنامج الفدية الجديد الذي يتسلل إلى أجهزة الكومبيوتر، ويسيطر عليها، متطور جدا وأكثر تطورا من البرنامج المستخدم في هجمات واناكراي السابقة من ناحية، ومن ناحية أخرى، لم يظهر الفرد أو الجماعة وراء الهجمات الحالية، أي مهارة عندما تعلق الأمر بجمع الفدية من الضحايا في مقابل فتح جهاز الكومبيوتر الخاص بهم.
ونقلت وكالة الأنباء الألمانية عن والش: «إنه أمر غريب، بصراحة». وأوضح أن الجناة نشروا عنوانا واحدا فقط لتلقي مدفوعات فدية بالعملة الافتراضية «بيتكوين»، الأمر الذي يجعل من الصعب جدا تتبع ما دفعه الضحايا.
وبالإضافة إلى ذلك، أغلق مزود البريد الإلكتروني، وهو شركة ألمانية لخدمات الإنترنت، الذي تعامل مع اتصالات المهاجمين حسابهم، وقطع الاتصالات مع الضحايا. وتابع والش: «بالتأكيد يشير هذا إلى عدد من الدوافع المحتملة» والجناة، مثل القراصنة ذوي المهارات العالية مع المواهب الجنائية الصغيرة، أو عملية تديرها دولة معينة. وقال: «هذا يمكن أن يكون عمل طفل واحد يجلس في قبوه أو في غرفة نومه، أو دولة وأي مجموعة أخرى بينهما»، مؤكدا أنه من السابق لأوانه استخلاص أي استنتاجات.
انتقال الفيروس
وقالت شركات أمن الإنترنت منها «مايكروسوفت» و«سيمانتك» إنها تأكدت أن بعض حالات الإصابة الأولى حدثت عندما انتقل الفيروس إلى مستخدمي برنامج للضرائب في أوكرانيا يسمى «ميدوك MEDoc» رغم أن الشركة الصانعة للبرنامج الضريبي نفت في تدوينة لها على «فيسبوك» أن يكون برنامجها هو مصدر الفيروس. وقال فيكرام ثاكور المدير التقني في شركة «سيمانتك» إن المهاجمين «تسللوا عبر خادم كومبيوتر يؤمن تحديثات للشركة المنتجة لبرنامج (ميدوك)، ولذا فإن كل مستخدم يمتلك البرنامج ويحاول تحديثه يحصل بالمقابل على فيروس الفدية بدلا من التحديث».
وحال تسلل الفيروس نحو شبكة الشركة المعنية فإنه يأخذ في توظيف ثلاثة طرق للانتقال والانتشار في النظم الأخرى، واحدة منها مماثلة لطريقة فيروس «واناكراي» السابق الذي استخدم أدوات وكالة الأمن الوطني الأميركية المسروقة.
إلا أن فيروس «بيتيا» وبخلاف «واناكراي» لم يهاجم أبدا شبكة الإنترنت العامة، بل انتقل من شبكة إلكترونية لشركة نحو شبكة لشركة أخرى إما تابعة لها أو ترتبط بصلات معها. وبهذا انتشر حول العالم، بحيث ضرب كومبيوترات داخل روسيا أيضاً. ونقل موقع «ذا دايلي بيست» الإلكتروني عن ثاكور قوله: «لقد رأينا ظهور عدوى الفيروس في أحد أرجاء أوروبا التي كانت تبدو بعيدة الصلة وليس لها علاقات عمل وتجارة مع أوكرانيا، إلا أنه ظهر أن فيها شركات تابعة تستخدم البرنامج الضريبي (ميدوك)».
ولاحظ الخبراء أن برنامج «بيتيا» الذي سوق على الإنترنت عام 2016 الماضي قد خضع لتغييرات قوية، الأمر الذي حدا بشركة «كاسبيرسكي لاب» لأمن المعلومات لإطلاق اسم لنسخته الجديدة وهو «نوت بيتيا» (ليس بيتيا).
وأظهرت التحليلات أن التغيرات على البرنامج جرت على أيدي مهندسين مهرة، إلا أن جزء الفيروس الخاص بالدفع المالي أصبح أضعف. ويطلب هذا الجزء من المستخدم المصاب بالفيروس دفع مبلغ 300 دولار بعملة «بتكوين» بواسطة صندوق واحد لإحدى شركات تزويد خدمة الإنترنت في ألمانيا، التي حذفت العنوان البريدي بعد ساعات من الهجوم.
كما أظهرت التحليلات على «محفظة بتكوين المالية» أن إجمالي المبالغ المالية التي دفعت منذ يوم الثلاثاء الماضي لم تزد عن 4 بتكوينات (9970 دولارا) وذلك من 45 عملية دفع.
وفي تطور لافت ظهر على صفحات شبكة «تويتر» أول من أمس الأربعاء، القرصان الذي يسمي نفسه «يانوس» (janus) مطور فيروس الفدية «بيتيا» الذي عرضه للبيع عام 2016، ثم اختفى منذ شهر ديسمبر (كانون الأول) الماضي. وكتب تغريدة تقول: «إننا عائدون لننظر في (فيروس) نوت بيتيا» وأضاف: «قد يمكننا تكسيره بواسطة مفتاح خاص».
ولا يعتقد الخبراء أن القرصان يانوس الذي وضع المخطط الأصلي لبرنامج «بيتيا» اعتمادا على الأدوات البرمجية المسروقة من وكالة الأمن الوطني، هو المسؤول عن الهجمات الجديدة، أولا لأن دافع يانوس الأول كان الربح المادي، ثانيا لأن الفيروس المحسن والمطور الجديد يبدو وكأنه قنبلة يدوية ألقيت في موقع من دون التفكير بامتداد آثاره العالمية.