"شمعون" ضربت السعودية...برمجية خبيثة مدمرة خارقة؟
27.01.2017 19:22
Middle East News انباء الشرق الاوسط
Font Size

من هي البرمجية الخبيثة "شمعون"؟ سؤال يدور في ذهن الكثيرين بعد عودة هذه البرمجية الخبيثة إلى الواجهة بعد الكشف عن الهجمات الإلكترونية والاختراقات التي تعرضت لها بعض المؤسسات الحكومية والمالية والمنشأة الصناعية و البترولية السعودية.

برمجية "شمعون" الخبيثة التي تعرف أيضا باسم disttrack، هي أداة متعددة الأغراض، يشابه سلوكها سلوك الدودة التي عند اختراقها النظم المعلوماتية تعمل على التمدد ومحاولة اختراق النظم الأخرى المتصلة في شبكة الاتصال المحلية  للمؤسسة المستهدفة. وذلك عن طريق الحصول على صلاحيات مدير النظام أي التعريف وكلمات المرور، التي تكون قد سرقت عبر الهندسة الاجتماعية من خلال عملية اصطياد، وثم الدخول إلى الشبكة لمسح الشبكة الداخلية للتّعرف على أنظمة وأجهزة الشبكة، ثم نسخ الملفات الخبيثة إلى أحد أجهزة الشبكة ونشرها على الأجهزة الأخرى باستخدام اتصال الشبكة نفسه، وأخيرا تشغيل البرمجية الخبيثة عن بعد لتدمير البيانات وسجلات الاقلاع واتلاف النظم المعلوماتية المخترقة وجعلها غير قابلة للاستخدام.

ومن الممكن ان تختبئ البرمجية الخبيثة "شمعون" لمدة طويلة دون أن تكشف، للقيام بعمليات المسح والحصول على صلاحيات مدراء الأنظمة المعلوماتية في المؤسسات والمنشأة المستهدفة بهجمات الكترونية.

 

وفي عودة لهجمات "شمعون" بنسختها الثانية Shamoon2.0 وحسب مصادر الأمن الوطني الإلكتروني السعودي "تعرضت 11 جهة لأضرار من الهجوم، حيث تأثر أكثر من 1,800 خادم/ سيرفر فيها و تم تعطيل أكثر من تسعة الالاف جهاز كومبيوتر (ارقام اضعها مع التحفظ، اذ من الصعب ان يكون عدد الخوادم و الأجهزة التي ضربت محدود بالنسبة لعدد الجهات التي استهدفت؟)

دائما حسب مصادر الأمن الوطني الإلكتروني السعودي "أدت هذه الهجمات إلى حذف كافة البيانات من الأجهزة التي اخترقت، و أيضا أدت إلى تدمير بعض من أنظمة التشغيل "ويندوز".

 

يبدو ان برمجية خبيثة أخرى دخلت على الخط مع "شمعون" لتشفير البيانات بخوارزميات التشفير Rivest Cipher 4/ RC4 لطلب فدية مقابل فك التشفير.

 

في هذا الحين انشغلت المواقع الإلكترونية وبعض وسائل الإعلام لإيجاد وصف يخرج عن المألوف لبرمجية "شمعون" المدمرة بنسختها الثانية. والتي كانت قد ضربت السعودية وبعض دول الخليج في نوفمبر وفي ديسمبر 2016. لقد صعقت من الأوصاف و الجدل حول تعقيد "شمعون2"  و تصريحات حول استخدام أساليب غير مسبوقة لشن الهجمات؟ فمن خلال تحليل قام به هاكرمن ذوي  "القبعات البيضاء" على مدونته coding and security  و نشر شيفرة و خوارزميات النسخة الثانية من برمجية "شمعون" الخبيثة،فهي تخالف كل تقارير شركات أمن المعلومات و تظهر ان البرمجية الخبيثة "شمعون" عادية وبالتالي لديها نفس سلوكيات البرمجيات الخبيثة المدمرة المعروفة، والتغيرات على خوارزميات البرمجية ليست مختلفة كثيرا عن النسخة الأولى التي استهدفت شركة أرامكو عام 2012 و عطلت ثلاثين الف جهاز كمبيوتر مع كل البيانات التي تحويها.

 

المهمة الرئيسية لسلسلة هذه الشيفرة من مكونات شمعون 2 تحديد الشهر والسنة، إذا تناسق تاريخ اليوم مع الشهر والسنة المحددة لشن الهجمات و تعطيل برنامج مكافحة الفيروسات.

 تغيير السنةوالشهر يؤدي لتعطيل مهام برامج مكافحة الفيروسات

 

هذا يعني ان المشكلة الأولى هنا هي ليست عدم قدرة الهيئات الأمنية المعلوماتية من مواجهة البرمجية الخبيثة بل عدم وجود وعي كاف لمفاهيم الأمن الرقمي، وكيفية  التعامل بمسؤولية مع الأدوات المعلوماتية في الشركات والمؤسسات المستهدفة.

أبسط الأمور التي يجب مراعاتها :

عدم فتح الروابط أو مرفقات البريد الإلكتروني المشبوهة من مصادر وأشخاص مجهولين.

عدم تصفح مواقع مشبوهة، أو ليست ذات صلة بالعمل.

عدم تحميل ملفات من مواقع إنترنت غير معروفة وموثوقة للمستخدم أو مشبوهة.

تحديث أنظمة التشغيل والتطبيقات وبرامج مكافحة الفيروسات، والتأكد من تحديثها بشكل دوري وفاعل.

الحد من عدد الموظفين والمختصين الذين يتمتعون بحسابات لديها صلاحيات إدارة الأنظمة على شبكات وأنظمة وتطبيقات المؤسسات والمنشأة، والتأكد من حاجة الموظف لهذه الصلاحيات.

تبقى النصيحة الدائمة ان يحرص المستخدم على التيقظ عند استخدامه خدمات الشبكة، و التنبه و الحذر في كل خطواته في دهاليز الإنترنتفي منزله و في عمله وتتبع خطوات و نصائح الأمن الرقمي لتفادي أخطار الاصطياد و الهجمات الإلكترونية.

Leave Comment
Comments
Comments not found for this news.