خبير أمني يكشف التفاصيل التقنية للهجمة الإلكترونية الأخيرة

كشف خبير في الأدلة الرقمية عن الأسلوب التقني المستخدم، في الهجمة الإلكترونية الأخيرة، التي تعرضت لها جهات حكومية ومنشآت حيوية في المملكة قبل أسابيع، لافتاً إلى خطورة برامج «القرصنة» المستخدمة من المهاجم، وأوضح عضو الجمعية العلمية الأميركية للطب الشرعي والأدلة الرقمية الدكتور عبدالرزاق بن عبدالعزيز المرجان ل«الحياة»: «حدث هذا التدمير الذي هدف إلى تعطيل جميع الخوادم والأجهزة لبعض القطاعات الحكومية المهمة من طريق تدمير جميع الملفات وأنظمة التشغيل. باستخدام أشرس البرامج تدميراً وهو شامون 2 W32.Disttrack.B، وهي النسخة المطورة من شامون1، البرنامج الخبيث Malware، الذي استهدف شركة أرامكو 2012 عن طريق «سيف العدالة القاطع» التابعة للميليشيات الإيرانية ودمّر حينها أكثر من 30 ألف جهاز.
وأضاف: «يزداد تأثير (شامون2) بحسب ضعف السياسة الأمنية الإلكترونية المتبعة في القطاعات الحكومية المستهدفة، والبرامج والأجهزة الأمنية المستخدمة لحماية المعلومات، إضافة إلى خبرة المختصين في الأمن الإلكتروني ومستوى الوعي بالمخاطر الإلكترونية في القطاعات الحكومية. مشيراً إلى وجود تفاوت كبير في بين الأجهزة الحكومية في العناصر السابقة، مؤكداً أن الأمر يزداد سوءاً إذا لم تكن لدى الجهات المستهدفة نسخ احتياطية أو وصول هذه الجهة إلى هذه النسخ الاحتياطية.
وتابع المرجان: «يتكون برنامج القرصنة الخبيث شامون، الذي طورته إيران، مستفيدة من تحليل برنامج ستنكت Stuxnet الذي أنشأته أميركا وإسرائيل واستخدمته لضرب أجهزة الطرد المركزي للمفاعلات النووية الإيرانية، والتشابه الكبير بين وظائف البرنامجين، من 3 عناصر وهي: «dropper ووظيفتها حمل البرنامج ونشره عبر الشبكة المحلية عن طريق نسخ نفسها إلى الأجهزة الأخرى، كما يتكون أيضاً من wiper (الماسح) وهو المنفذ للهجمة ويهدف إلى الوصول إلى الهارديسك للجهاز المستهدف ويقوم بمسح master boot records وإعادة الكتابة عليه بوضع صورة، في وقت محدد مسبقاً يحدده المهاجم وهي ساعة الصفر. إضافة إلى العنصر الثالث وهو reporter ووظيفته التواصل بين الخادم الذي يتحكم فيه المهاجم والبرنامج الخبيث كتغير وقت الهجمة، وهي مسح الهارديسك. إضافة إلى إرسال تقرير إلى الخادم لتأكيد أن العنصر الثاني (الماسح) أدى وظيفته مع إرسال عنوانين الأجهزة التي تم تدميرها».
وحول تنظيم الهجمة الأخيرة قال المرجان: «كانت الأرقام السرية للأنظمة المستهدفة معروفة لدى المهاجم، قبل تنفيذ الهجمة وموجودة بالبرامج الخبيثة (شامون2) للدخول على الأنظمة المستهدفة، وهو ما يؤكد أن الهجمة كانت في غاية التنظيم والإعداد المسبق قبل ساعة الصفر، من أن ساعة الصفر للهجوم الإلكتروني تم تحديدها مساء 17 تشرين الثاني (نوفمبر) 2016، المتزامن مع بداية إجازة نهاية الأسبوع في المملكة حتى يكون احتمال الكشف عن الفايروس أقل لعدم وجود المختصين في الموقع، وتأثير الهجمة يكون أكبر للتنقل في الشبكة.
وأضاف: «بناءً على المعطيات فإن الاختلاف الكبير بين هجمة أرامكو 2012، والهجمة الأخيرة، هي أن الأرقام السرية للأجهزة المستهدفة لشركة أرامكو لم تكن معلومة للمهاجم، بينما كانت الأجهزة المستهدفة للهجمة الأخيرة معلومة. متسائلاً عن كيفية حصول المهاجم على الأرقام السرية، أو ما إن كانت الهجمة التي سبقتها بأشهر استهدفت الحصول على هذه الأرقام؟».
وتابع: «طريقة الاستهداف من طريق برنامج (شامون2) مشابهة تماماً لاستهداف أرامكو من طريق (شامون1)، وذلك من حيث آلية التنفيذ واختيار الوقت والهدف من الهجمة مما يوحي بفرضية تورط الميليشيات الإيرانية خلف هذه الحادثة، ولفت المرجان إلى عدم إمكان توقع نتائج التحقيق أو مدى الضرر الذي تعرضت له الأجهزة، أو حتى المتسبب إلا بعد الانتهاء وإعلان نتائج التحقيق النهائية من الجهات الرسمية، وذلك حتى يتم التعرف على الجهات المستهدفة وحجم الأضرار والهدف الرئيس من الهجوم، هل فقط التدمير كما هو واضح أم السرقة ثم التدمير. مؤكداً صعوبة التوصل إلى مكان بدء الهجوم، وخصوصاً أن الهجمة كانت منظمة وتهدف للتدمير»، وأضاف: «لابد من معرفة أن هناك أولويات في التعامل مع هذه الهجمات تبدأ بتحجيم الضرر والآثار من الهجمة ثم إعادة وإصلاح الضرر وإعادة الخدمة بعد ذلك التحقيق الجنائي لمعرفة كيف حصلت الحادثة ومن المتسبب فيه».
وأكد المرجان استغلال المهاجم لتفاوت درجات الحماية لدى القطاعات الحكومية، التي قد تكون بسبب عدم تحديث البرامج المضادة للفايروسات وعدم وجود نظام منع الاختراق Intrusion prevention system أو عدم تحديثه لمراقبة ما يحدث داخل الشبكة. وغياب الرقابة على الجهات الحكومية لمعرفة تطبيقهما للإجراءات الأمنية، لافتاً إلى عدم وجود نظام مرتبط بالإنترنت ومحمي 100% في العالم.