كنت أحد المشاركين في ورشة نقاش عملية حول هجمات شمعون الأخيرة أقامها مركز الأمن الإلكتروني الوطني مشكوراً. قبل أن أبدأ بسرد تشريحي للنتائج التي تم التوصل لها، أحب أولاً أن أشكر المركز لجهودهم الجبارة. فقد قاموا بتحليل مفصل وجهد رائع في عكس شفرة الفايروس واكتشاف تفاصيل تقنية مهمة. في هذا المقال سنذكر مقتطفات وطرائف من تحليل فايروس شمعون.

لماذا يقوم الفايروس بتغيير التاريخ لـ2012؟

من ضمن الأدوات المستخدمة في الهجوم أداة تسمح بالكتابة على الأجزاء المحمية من القرص الصلب (مثل قرص الإقلاع). الأداة المستخدمة تم شراء رخصة لها لاستخدامها في هجوم أرامكو والرخصة لهذه الأداة تنتهي في نهاية 2012 .. لذلك يقوم الفايروس بتغيير التاريخ لكي يستطيع استخدام الأداة ليقوم بالكتابة على قرص الإقلاع ومسحه.

4 هجمات بنفس الوقت:

أوضحت التحاليل أن الهجمات كانت تعمل على 4 أصعدة بنفس الوقت. الهجمة الأكبر والتي عرفها أغلبنا كانت الهجوم باستخدام فايروس شمعون. في نفس الوقت كان هناك هجوم لبعض الجهات باستخدام رانسوموير (فيروسات الفدية)، ولكن الهجوم بالرانسوم وير كان على مستوى جداً محدود، بالإضافة إلى أن الجهات المتضررة كانت كلها تحتفظ بنسخ احتياطية ولم تحتاج لحل مشكلة الرانسوموير.

الهجوم الثالث كان هجمات DDoS لمحاولة تعطيل بعض الخدمات والسيرفرات، أما الهجوم الرابع، فكان عبارة عن موجة من رسائل الاصطياد لمحاولة سرقة كلمات مرور ومعلومات مستخدمين جديدة للتحضير لهجمات قادمة.

الاتصال بـ1.1.1.1 :

من ضمن الخطوات التي يقوم بها الفايروس منذ «شمعون 1» هو الاتصال بالمصدر لإرسال المعلومات التي تمّت سرقتها. عندما تمّت كتابة الفايروس بالأساس وضع في خانة الاتصال الآي بي 1.1.1.1 كمثال بحيث يقوم المهاجم بتغيير هذا العنوان إلى عنوانه. في هذه النسخة وبعد تحليل النسخ المختلفة من الفايروس والتي ضربت عدة جهات، تبين أن عنوان الاتصال لم يتم إدخاله وإنه باقٍ على الوضع الافتراضي. وهذا يعطينا مؤشراً لأحد أمرين، إما أن المهاجمين أناس مبتدئون واستخدموا الفايروس دون معرفة كاملة بتفاصيله وهذا الاحتمال الأضعف. الاحتمال الأكبر أن الهدف من الضربة هو تخريبي فقط ولا يهمهم أن يتم إرسال أي معلومات لهم.

تجربة ناجحة:

قامت إحدى الجهات مشكورة بمشاركة تجربتها كاملة معنا وتقديم جميع التفاصيل. تحدثوا عن إصابتهم في هجمات نوفمبر الماضي وما الذي حصل لهم وكيف تجاوزوا الأزمة. وكيف أنهم من بعد الضربة قاموا بتنفيذ توصيات من عدة جهات أهمها توصيات المركز الوطني للأمن الإلكتروني. الجميل واللافت للنظر أنهم وبسبب تطبيقهم للتوصيات (بعد حماية الله) لم يتم إصابتهم في الهجمة الأخيرة في جانيوري وكانوا إحدى الجهات التي تجاوزت الأزمة بسلام ودون أي مشاكل ولله الحمد.

التوصيات لحماية نفسك ومنظمتك:

1 - قم بتغيير كلمة المرور بشكل دوري واحرص على أن تكون صعبة التخمين.

2 - لا تقم بالضغط على روابط أو فتح مرفقات وصلتك عن طريق البريد الإلكتروني أو رسائل الجوال إلا بعد التأكد والتثبت من المصدر.

3 - احرص على وجود نسخة احتياطية من ملفاتك المهمة. ويفضل أن تكون هذه النسخة غير متصلة بجهازك الرئيسي أو الشبكة بأي طريقة لكي لا تصاب النسخ الاحتياطية بالفايروس.

4 - ارجع للنقطة الثانية.

ختاماً أسأل الله أن يحمي بلدنا وأنظمتنا وأن نكون من كبرى الدول المتقدمة في صناعة أمن المعلومات.

- أستاذ أمن المعومات

alissakhalid @