المركز الوطني: درجة خطورة شمعون 2 عالية جدا

الأربعاء - 25 يناير 2017

Wed - 25 Jan 2017

اعترف محافظ هيئة الاتصالات وتقنية المعلومات الدكتور عبدالعزيز الرويس، بعدم استطاعة أنظمة الحماية التصدي للفيروس (شمعون 2)، بسبب استخدامه أسلوبا غير مسبوق.



وقال الرويس على هامش ملتقى أقامته الهيئة بالرياض أمس إن أنظمة الحماية لم تستطع التعامل مع (شمعون 2) بكفاءة عالية، لكونه انتهج طريقة جديدة لم تتوقعها أنظمة الحماية لدى الجهات الحكومية.



وأوضح أن المركز الوطني الإرشادي لأمن المعلومات التابع للهيئة، كان لديه استباقية لهذا الحدث قبل حدوثه بيومين، وتم التواصل مع الجهات المعنية، ومنها قاعدة المعلومات بالهيئة، ووزارة الداخلية، والمركز الوطني لأمن المعلومات، وكذلك شركات الاتصالات وغيرها من الشركات المرتبطة بقاعدة المعلومات التي لدى المركز، كما تم إبلاغهم بالخطوات التي يجب اتخاذها حتى لا تحدث مثل هذه الأمور.



وأفاد الرويس أن الهيئة ليست معنية بشكل أساسي فيما يخص «شمعون 2»، حيث إن هناك المركز الوطني لأمن المعلومات بوزارة الداخلية، لافتا إلى أن الهجوم الأخير لم يستطع أن يخترق أنظمتها، وذلك بسبب أن الهيئة اتخذت مسبقا جميع الإجراءات، ومنها (عدم فتح أي رابط يأتي من أي بريد الكتروني مجهول)، مشيرا إلى أن بعض الجهات قد تضررت بسبب عدم وصولها إلى الوعي بدرجة كبيرة.



وأشار إلى أن المركز الوطني الإرشادي لأمن المعلومات بحكم خبرته الطويلة مقارنة بالمراكز الأخرى فإنه تنبه لهذا المشكلة، ولكن المسؤولية المنوطة بالمركز تقتضي بأنه غير معني بما يحدث في الجهات الأخرى أو الخاصة إلا إذا طلبت منه نظاما.



وحول فقدان عدد من المستخدمين للمعلومات، أكد بأن الهيئة ليست لها علاقة بالموضوع، ولكن إذا تقدم أحد المستفيدين المتضررين للهيئة، فبدورها مستعدة لأخذ القضية ومناقشة الشركة التي تقدم الخدمة حتى يتم التوصل إلى حل.



إجراءات فورية وطويلة المدى للتحصين من الهجمات الالكترونية

تنقسم إجراءات التعامل الواجب اتباعها لتحصين مختلف الجهات الحكومية والخاصة ضد الهجمات الالكترونية إلى فورية وأخرى طويلة المدى، بحسب المتحدث باسم المركز الوطني للأمن الالكتروني بوزارة الداخلية الدكتور عباد العباد.



وأشار لـ«مكة» إلى أن تكلفة تحقيق الأمن الالكتروني المادية تتفاوت بحسب حجم الشبكة لكل جهة، فبعض الجهات لا تحتاج سوى بذل جهد لسد ثغرات بسيطة، وتحتاج أخرى لإجراءات أكثر للوصول لمستوى أمان مرض بحسب مستوى نضج الحماية الالكترونية.



ونوه إلى أن المركز يؤكد باستمرار على ضرورة اتباع أفضل المعايير والممارسات العالمية للأمن الالكتروني، لكن استفادة الجهات متفاوتة من تلك التوصيات، وعقد المركز ورش عمل مع الجهات الحكومية والحيوية للتوعية بالمخاطر الالكترونية وسبل تعزيز حماية الشبكات، وقريبا ستعقد ورش أخرى لمثل هذا الهدف، إضافة إلى أن المركز سيقيم في فبراير المقبل مؤتمره الدولي الثاني للأمن الالكتروني ICSC2017، وسيلقي الضوء على أبرز ما نواجهه في هذا المجال وكيفية التغلب عليه.



وأشار العباد إلى أن مركز المملكة ومكانتها يجعلانها أكثر عرضة للهجمات، ولكن لا يمكن الجزم بوضعها في ترتيب معين من حيث شدة التعرض للهجمات مقارنة بدول أخرى إلا بناء على دراسات دقيقة وعلمية، كما يعمل المركز على مشروع كبير لإعداد إجراءات وتعليمات للأمن الالكتروني يتوقع الانتهاء منها خلال 2017 الحالي، وسيوجه لمختلف الجهات للإفادة منه.



إجراءات فورية على سبيل المثال وفقا للعباد:

• عزل حساب «admin account» ذي الصلاحيات الواسعة للدخول لمختلف أقسام الشبكة، الذي حاول فيروس شمعون2 التحكم به ومنع صاحب الجهة من استخدامه.

• حفظ البيانات والمعلومات المهمة بنسخ احتياطية

• تصميم شبكي ذو طبقات حماية لتقليل المخاطر

• تغيير كلمات المرور وجعلها قوية وسرية



إجراءات طويلة المدى

• تحديث أنظمة الحماية والتشغيل مع المراقبة المستمرة للأحداث والسجلات الأمنية

• وضع لوائح وأنظمة للأمن الالكتروني لكل جهة، وتعميم العمل بها على الجميع

• التحكم بالوصول عن بعد إلى الشبكة بما يضمن أمن المعلومات

• سد الثغرات المستغلة في الهجوم

• تجربة الحلول التقنية الجيدة قبل شرائها لأنها مكلفة

• الاستفادة من خبرات واستشارة مركز الأمن الالكتروني

• متابعة مستمرة لمستوى أمان الشبكات

• رفع كفاءة الكوادر الوطنية المسؤولة عن حماية الشبكات



الفيروس مخصص لضرب أنظمة ويندوز ومستخدمو أبل آمنون

يعد فيروس شمعون من أخطر الفيروسات هجوما على الأجهزة الحاسوبية، ويستهدف أكبر الشركات والجهات الحكومية حول العالم، وصممت النسخة الثانية منه لاستهداف الأجهزة العاملة بنظام ويندوز، وتهدف الهجمة الالكترونية إلى تعطيل الخوادم والأجهزة للمنشآت، بحيث يؤثر على جميع خدماتها المقدمة.



وأوضح المحقق الرقمي خبير أمن المعلومات محمد الغامدي لـ «مكة» أن مستخدمي الأنظمة الأخرى مثل أبل وغيرها آمنون من هجوم شمعون2، ولكن في نفس الوقت هذا لا يعني أن يتجاهلوا الاحتياطات اللازمة للحماية من الهجمات الالكترونية، حيث إن القاعدة الأولى في فضاء الانترنت أنه ليس هناك تقنية آمنة 100%، فعلى سبيل المثال تعرض مستخدمو أنظمة لينكس في بعض الجهات والشركات لهجوم فيروس الفدية بشكل أوسع من الأنظمة الأخرى.

وأفاد بأنه بعد تحليل فيروس شمعون الذي هاجم بعض الجهات في نوفمبر 2016، وفي هجمته الثانية مطلع 2017 وجد أنه برمجية خبيثة.



ميزانيات للتطوير

وأوصى خبير أمن البيانات والمعلومات شهاب نجار عبر الصحيفة كل المؤسسات الحكومية بتخصيص ميزانيات مالية هذا العام لتطوير مستوى الدفاع عن تهديدات أمن المعلومات داخليا، وتطوير الوعي الأمني لدى الموظفين عن طريق دورات توعوية متخصصة، أما المستخدم العادي فينبغي عليه تجنب الضغط على الروابط أو البريد الالكتروني المشبوه.



شكل الفيروس وفقا للغامدي

1 ملف تنفيذي يستدعى بعد فتح ملف وورد، به بعض الأكواد الخبيثة تنزل على الجهاز.

2 يصل ملف وورد عبر البريد الالكتروني من خلال هجمات التصيد أو ما يعرف بـ Phishing attack



أجزاء شمعون 2

1 جزء ينشر الفيروس عبر الشبكة الداخلية للأجهزة المصابة (Worm)

2 جزء يدمر بعمق الجهاز المصاب

3 جزء يتيح للفيروس التواصل مع مبرمجه أو صاحبه.



سبب عودته

أشار نجار إلى أن سبب عودة الفيروس مرة أخرى يرجع لضعف الحماية وعدم وجود نظام أمن معلوماتي متكامل لدى الجهات المصابة، إضافة إلى ضعف حصانة مواقع بعضها.



خطوات فيروس شمعون بحسب هجماته السابقة

• وصول المخترق لجهاز active directory عن طريق وصول خارجي VPN أو RDP وإنشاء الملفات الخبيثة في مجلد جديد.

• نسخ ملف شمعون إلى جميع الأجهزة المكتشفة في الشبكة في مجلد c:windows/system32/

• إجراء مسح scan على الشبكة للتعرف على جميع الأنظمة المرتبطة بالشبكة واكتشافها ووضع النتائج في ملف text.

• تنفيذ أوامر عدة على الجهاز المصاب تهدف لنشر الفيروس عبر الشبكة والاتصال بمبرمج الفيروس.

• تعديل في إعدادات group policy الخاص بالجهاز المصاب والأجهزة المتصلة بنفس الشبكة.

• تشغيل ملف شمعون باستخدام أداة ويندوز للتشغيل عن طريق الشبكة.

• في حال تنفيذه يعدل الملف التاريخ في الجهاز إلى أغسطس 2012 ، وهو تاريخ أول هجمة حصلت من الفيروس.

• يعدل الملف ملفات تعريف النظام .drivers

• يمسح الملف ملفات الإقلاع الرئيسة ( MBR ) على الجهاز مما يؤدي إلى تلف المساحة التخزينية على الجهاز.

• أخيرا، يعيد الملف الخبيث تشغيل الجهاز وبعد الانتهاء من الخطوات السابقة يتعطل الخادم أو جهاز الحاسب.