قال مسئولو أمن بالسعودية، الإثنين، إنه تم استهداف المملكة في إطار حملة تجسس إلكتروني واسعة النطاق جرى رصدها منذ شهر فبراير، شملت 5 دول في الشرق الأوسط ودولاً أخرى خارج المنطقة ، مشير إلى انه تم اتخاذ الإجراءات الاستباقية لمنع الهجوم.
وقال مركز الأمن الإلكتروني التابع للحكومة السعودية في بيان، إن المملكة تعرضت لحملة اختراق إلكتروني حملت البصمات الفنية لجماعة "مادي ووتر"، وهو الاسم الذي تطلقه عليها شركة "بالو ألتو نتووركس" الأميركية للإنترنت.
وقال مركز الأمن الإلكتروني في تغريدات على حسابة على تويتر:"رصد مركز الأمن الإلكتروني هجوماً إلكترونياً جديداً متقدماً (APT) يستهدف المملكة العربية السعودية."
وأضاف المركز: "تعتمد أنشطة الهجوم التي تم ملاحظتها على استخدام برمجية التحكم "PowerShell"، والتي تقوم بالتواصل مع خادم التحكم والسيطرة (C2) باستخدام بروتوكول HTTP."
وأشار المركز إلى أنه قام "بمشاركة الجهات الحيوية مؤشرات الاختراق والتوصيات اللازمة لاتخاذ الإجراءات الاستباقية المناسبة لمنع الهجوم."
كيف وصلت الفيروسات ؟
رغم أن المركز لم يذكر من قد يكون وراء هذا الهجوم الإلكتروني أو الجهات والأفراد المتضرّرين بالهجوم في المملكة أو حتى مدى النطاق الذي طاله هذا الهجوم، إلا أن القائمين أشاروا إلى وجود عدد من الطرق التي لجأ إليها القراصنة في شن هذه الهجمات بإرسال البرامج الخبيثة وتثبيتها بالأجهزة المتضررة، منها:
- مستندات "Microsoft Office":
تم إرسال البرامج الخبيثة بهيئة روابط داخل مستندات "Microsoft Office" والتي أرسلت من خلال الرسائل الإلكترونية من مصادر غير موثوقة، كما أنها أتت بشكل ملفات "RAR" محمية بكلمة سر أرسلت عبر الرسالة الإلكترونية ذاتها، وذلك بهدف تجنب البرامج المتصدّية للفيروسات داخل الأجهزة.
- المواقع الخبيثة:
بعض هذه البرامج زرعت في مواقع عبر الإنترنت تعيد توجيه المستخدم إلى مواقع إلكترونية أخرى تطلب تحميل الملفات التي تحوي الفيروسات التي تستهدف الجهاز عن طريق برامج مثل "VBS" و"PowerShell scripts"
رسائل الأمن الأمريكي "حصان طروادة"
ونشرت الوحدة 42، التابعة لشركة بالو ألتو، يوم الجمعة، بحثاً أظهر كيفية استخدام سلسلة من الهجمات المترابطة هذا العام "لمستندات خبيثة" تحمل هويات حكومية تبدو كأنها رسمية؛ لخداع مستخدمين من المنظمات المستهدفة لتحميل المستندات واختراق شبكات الكمبيوتر الخاصة بهم.
وقالت الوحدة في تدوينة، إن من بين المستندات التي استُخدمت لخداع الضحايا، وثائق يَظن من يتلقاها أنها مرسلة من جهات؛ منها: وكالة الأمن القومي الأميركية، والمخابرات العراقية، وشركة كاسبرسكي الروسية للأمن، وحكومة إقليم كردستان العراق.
وقال باحثو الوحدة إن الهجمات استهدفت منظمات في السعودية والعراق والإمارات وتركيا وإسرائيل، إضافة إلى دول أخرى خارج منطقة الشرق الأوسط، مثل جورجيا والهند وباكستان والولايات المتحدة.
وقال مركز الأمن الإلكتروني في بيانه، إن الهجمات سعت إلى "سرقة بيانات" من أجهزة الكمبيوتر باستخدام "رابط تم إرساله من خلال الرسائل التصيدية" إلى بيانات اعتماد المستخدمين المستهدفين.
وقال المركز: "تم زرع بعض البرامج الخبيثة باستخدام تقنية ووترينج هول... حيث تتم إعادة توجيه المستخدم إلى موقع ويب (إلكتروني) آخر ويطلب تحميل الملف الخبيث".
وكانت "مؤشرات الاختراق" الفنية التي وفرتها الوحدة 42 مماثلةً لتلك التي قال المركز إنها كانت جزءاً من هجمات ضد السعودية.
وكانت السعودية هدفاً لهجمات تسلل إلكتروني متعددة، منها هجوم بفيروس "شامون".
وتعرضت شركة أرامكو السعودية، أكبر شركة نفط في العالم، لهجوم بنسخة قديمة من الفيروس "شامون" في عام 2012، وهو أسوأ هجوم من نوعه تتعرض له السعودية في تاريخها.
ورفض مركز الأمن الإلكتروني توفير مزيد من التفاصيل عن مصدر الهجوم أو أسماء المنظمات أو الجهات التي تعرضت للاستهداف.
لكن كريستوفر بود، أحد المديرين في الوحدة 42، قال لـ"رويترز": "ليس بوسعنا تأكيد أي صلة بين ما نشره المركز وبحثنا بشأن (مادي ووتر)". وأضاف: "لا توجد معلومات كافية لتأكيد تلك الصلة".
هل جهازك مصاب بهذا الفيروس؟
أوصى المركز باتباع الطرق التالية للكشف عن التحركات المشبوهة عبر شبكة الإنترنت والتي قد تكون ذات صلة بالهجوم بحسب شبكة " سي إن إن":
- راجع سجلات "Proxy " و"SIEM" و"Firewall" للبحث عن روابط تستخدم بروتوكول "HTTP" والتي قد تنتهي بهاذين النمطين:
*.php?c=(Base64 data)
*.aspx?c=(Base64 data)
- تحقق من أي اتصال عبر بروتوكول "HTTP" إلى عناوين معرّفات "IPs" غير صحيحة، والتي لا تحوي أسماء نطاقات "domain names"
هل تعتقد بأن أجهزتك الإلكترونية محمية كما يجب؟ 0:57
- ابحث عن أي اتصال بالمعرّفات "IPs" التالية: 148.251.204.131 و144.76.109.88
- البحث في بواية البريد الإلكتروني "email gateway" عن رسائل إلكترونية مرفقة بلمفات تحميها كلمات مرور أو تلك المرفقة بملفات "Office" الحاوية لوحدات ماكرو "macros" تم حظرها أو التنبيه من وجودها.
- زد من استخدام برنامج "PowerShell" المحدّث على نقاط الأجهزة "endpoints" والخوادم "servers".
توصيات لحماية جهازك من هذا الهجوم
قدم المركز عدداً من التوصيات لحماية الأجهزة الإلكترونية من الإصابة بهجوم "ATP" الأخير، منها:
- تحديث برامج تحكم "PowerShell" للنسخة الخامسة وحذف النسخ القديمة منه.
- تفعيل تسجيل الوحدة النمطية " Module Logging" وتسجيل البرنامج النصي " Script-Block Logging" وكتاب تسجيل الدخول " Transcript Logging" في النسخة الخامسة لبرنامج "PowerShell"
- السماح للبرامج التي تحتاج إليها الجهة فقط، وتفعيل خيار "القائمة البيضاء" أو "whitelisting" لاختيار البرامج الآمنة.
- استخدام أدوات تصفية الرسائل الإلكترونية "email filtering" لمسح ومنع أي مستندات مشكوك بها من الوصول للأجهزة الإلكترونية مثل تلك المستخدمة في برنامجي "Windows Host Scripting" و"HTA files"
- منع تشغيل الملفات القابلة للتنفيذ "executables" والنصوص البرمجية القادمة من مجلدات خاضعة لتحكم المستخدم، مثل " C:\Users\" والمجلدات المؤقتة مثل: " C:\Windows\Temp"
- تطبيق حلول لمراقبة سلامة الملفات أو " File Integrity Monitoring" (FIM اختصاراً) والتي يمكنها مراقبة سلامة المحتوى عبر جميع التطبيقات المقدمة من الإنترنت مثل تطبيقات الويب والبريد الإلكتروني و"VPN portals."، ونبّه المركز من التركيز على عن أي تعديل غير مصرح به داخل تلك الخوادم، حيث قد يشير ذلك إلى نجاح الهجوم.
السعودية .. الثالثة عالميًا
تشير الأرقام إلى أن السعودية تَعَرّضت إلى 54 ألف هجوم إلكتروني في عام؛ مما وضعها في المرتبة الثالثة عالمياً من حيث التعرض للهجمات الإلكترونية؛ أي أنها تتعرض يومياً لحوالى 150 هجوماً إلكترونياً، بمعدل 6.25 هجوم في الساعة.
وتفصيلاً، تناولت مجلة "الاقتصاد" التي تَصْدر عن "غرفة الشرقية" في عددها لشهر نوفمبر، هذه الهجمات، وأكدت أن هناك حرباً إلكترونية يتم شنها ضد السعودية ؛ وذلك لأن اقتصادها يُعَد واحداً من أقوى اقتصاديات الشرق الأوسط، كما أنها من أقوى 20 اقتصاداً في العالم.
وهذه الحرب ضد مؤسسات وشركات وجهات حكومية سعودية، تهدف إلى تعطيل أعمالها، والاستيلاء على بياناتها ، بحسب " صحيفة "سبق".
وشددت "الاقتصاد" على أنه برغم نجاح الأجهزة المسؤولة عن أمن المعلومات في مواجهة هذه الحرب وأعمال القرصنة؛ فإن القضية تستحق المناقشة، وتستدعي الانتباه واليقظة الكاملة؛ فوفقاً لرؤية 2030 تعمل الحكومة السعودية على دعم قطاع تقنية المعلومات، وتعزيز الفكر الإبداعي والابتكاري للشركات وحماية بياناتها وأنظمتها الإلكتروني.
وأكدت المجلة هذه الحرب الموجهة ضد السعودية بتقارير من شركات عالمية متخصصة في أمن المعلومات؛ فحسب تقرير صادر عن شركة آربور نتوركس؛ فإن المملكة تَعَرّضت خلال الـ12 شهراً الماضية لنحو 54 ألف هجمة إلكترونية في جميع مرافقها الحكومية والخاصة من جهات خارجية، وهي بذلك تصنّف في المرتبة الثالثة عالمياً في التعرض للهجمات الإلكترونية سنوياً.
وكشفت مؤسسة "كاسبرسكي"، عن دراسة ذكرت أن نحو 60% من المؤسسات والشركات في المملكة قد استُهدفت بهجمات الفيروسات والبرامج الضارة خلال الـ12 شهراً الماضية، وشددت على أهمية التطوير للتعامل مع التهديدات التي تواجهها هذه المؤسسات؛ موضحة أن هذه الهجمات تتطلب الوعي والمعرفة الكاملة بها من قِبَل المؤسسات والشركات في السعودية.
وكشفت شركة "بالو ألتو نتوركس"، أن معظم الهجمات الإلكترونية تبدأ بسرقة بيانات الدخول للمستخدمين من خلال طرائق احتيال مختلفة، وتتفاوت هذه الهجمات ما بين تلك التي تستهدف المستخدمين الأفراد -والتي عادة ما تسعى وراء البيانات البنكية- وتلك التي تستهدف الشركات والتي تركز على الاستحواذ على بيانات الدخول السرية اللازمة للولوج إلى أنظمة الشركات المستهدفة وقواعد بياناتها؛ بغية العبث بها وطلب فدية مالية.
جميع الحقوق محفوظة لمصدر الخبر مصر العربية وتحت مسؤليتة ونرجوا متابعتنا بأستمرار لمعرفة أخر الأخبار علي مدار الساعة مع تحيات موقع موجز نيوز الأخباري
