إعلام

«شمعون» تسلل عن طريق «الإيميل» لجهات لم تطور أنظمتها

خبير أمن المعلومات يكشف «سيناريو» الهجوم

خالد العيسى

إبراهيم عقيلي (جدة)

iageely@

كشف الأستاذ المساعد في أمن المعلومات الدكتور خالد العيسى سيناريو الهجمة الأخيرة التي تعرضت لها بعض القطاعات من «فيروس شمعون»، إذ قال: «المشكلة التي تعرضت لها قطاعات داخلية، والتي أعلنت عنها هيئة الاتصالات أمس وقعت بسبب أمرين؛ الأول أن بعض الجهات لم تقم بتطوير أنظمتها فتمت مهاجمتها بفيروس «شمعون ٢»، أما السبب الآخر، وهو الأهم، أن الجهات التي تصدت لـ«شمعون ٢» تمت إصابتها بنسخة محدثة من فيروس شمعون (بالإمكان أن نطلق عليه شمعون ٣)، لذلك لم تستطع الأنظمة اكتشافها. وهذا يبين لنا مشكلة مهمة، وهي أنه مهما تطورت الأنظمة وجرى تحديثها فإنها دائما تبقى عرضة للاختراق ما لم يتم تعاون الموظفين وتثقيفهم».

ويشير العيسى إلى أن التحليلات الأولية تشير إلى أن الفيروس أرسل عن طريق الإيميل، إذ بدأ بإيميل مرفق به ملف «وورد»، وعند فتح الملف يبدأ تلقائيا بتشغيل «سكربت» يستدعي الفيروس ويصيب الجهاز.

لذلك شدد على عدم فتح ملفات وروابط من الإيميل، خصوصا في ظل تعرض الجهات لهجمة منظمة، مشيرا إلى أن المشكلة كانت في ملف «وورد»، ولم يستدع الأمر حتى لتفعيل الماكرو.

وقدم العيسى شرحا مفصلا عن طريقة تفعيل الفيروس، مؤكدا أنه عندما يصيب الشبكة يبقى راكدا ويعمل في الخفاء لجمع المعلومات، ويقوم بمحاولة جمع كلمات المرور لمديري الشبكة أولا، ثم يقوم باستخدام معرفات مديري الشبكة لتغيير إعدادات الشبكة وتغيير إعدادات المجموعات، ويجمع معلومات عن جميع الأجهزة وأنظمتها، ومن ثم يقوم بنشر نسخة منه على جميع الأجهزة في الشبكة، وفي تلك المرحلة يعمل على التالي: أولا يقوم بتغيير تاريخ الجهاز إلى أوغست ٢٠١٢، وثانيا يقوم بجمع وسرقة جميع البيانات والمعلومات الموجودة على هذا الجهاز، مثل كلمة المرور وغيرها، فيدمر الـ«بوت سكتور» وهو الجزء المسؤول عن إقلاع الجهاز وبدء نظام التشغيل، فيتدخل في تعديل إعدادات المشغلات الموجودة، ويقوم بمحاولة إعادة تشغيل الجهاز. طبعا بسبب تدمير الـ«بوت سكتور» فإن إطفاء الجهاز سيجعله لا يعمل مجددا، وبالتالي ستضيع جميع المعلومات المخزنة فيه، وكذلك أي معلومات تدل على الفيروس أو من خلف الهجوم، إلى أن يصبح الجهاز عديم الفائدة.

وعن الطريقة التي تعرف فيها مدى إصابة جهازك بفيروس «شمعون 2» قال: «إذا رأيت تاريخ الجهاز تحول إلى ٢٠١٢ فاعلم أنه أصيب بالفيروس».

ولحماية المنظمات والجهات المستهدفة مستقبلا من أي هجوم دعا العاملين إلى عدم فتح أي مرفقات أو الضغط على أي روابط في البريد الإلكتروني، وضرورة عمل نسخ احتياطية بشكل دوري على أجهزة غير متصلة بالشبكة نفسها، والتبليغ الفوري لأمن المعلومات في المنظمة إذا شككت بأي تصرف مريب. واختتم حديثه بأن الحرب الإلكترونية أو كما يسميها بعضهم «الحرب السيبرانية» قادمة، وهذه هي البداية، معتبرا أن الاستثمار في أمن المعلومات وإنشاء جيش إلكتروني مكون من نخبة مؤهلة هو الحل لمجابهة هذه الحرب.