إبراهيم عقيلي (جدة)
iageely@

أكد أستاذ أمن المعلومات الدكتور خالد العيسى بأن المركز الوطني للأمن الإلكتروني قدم جهودا كبيرة في تحليل شفرة فيروس «شامون 2»، إذ كشفت التحليلات بأنه من ضمن الأدوات المستخدمة في الهجوم أداة تسمح بالكتابة على الأجزاء المحمية من القرص الصلب (مثل قرص الإقلاع) إذ تم شراء رخصة لها لاستخدامها في هجوم أرامكو والرخصة لهذه الأداة تنتهي في نهاية ٢٠١٢، لذلك يقوم الفيروس بتغيير التاريخ لكي يستطيع استخدام الأداة ليقوم بالكتابة على قرص الإقلاع و مسحه، كما أوضحت التحاليل أن الهجمات كانت تعمل على أربعة أصعدة في نفس الوقت.

الهجمة الأكبر كانت باستخدام فيروس «شامون»، وفي نفس الوقت كان هناك هجوم لبعض الجهات باستخدام «رانسوموير» (فيروسات الفدية) ولكنه كان على مستوى محدود إضافة الى أن الجهات المتضررة كانت كلها تحتفظ بنسخ احتياطية ولم تحتج لحل مشكلة «الرانسوموير».

الهجوم الثالث كان من هجمات (DDoS) لمحاولة تعطيل بعض الخدمات والسيرفرات.

أما الهجوم الرابع فكان عبارة عن موجة من رسائل الاصطياد لمحاولة سرقة كلمات مرور ومعلومات مستخدمين جديدة للتحضير لهجمات قادمة.

وأشار العيسى بأن المركز حدد الخطوات التي يقوم بها الفيروس منذ «شامون ١» وهو الاتصال بالمصدر لإرسال المعلومات التي تم سرقتها، عندما تم كتابة الفيروس ووضع «الآي بي 1.1.1.1» في خانة الاتصال، كمثال بحيث يقوم المهاجم بتغيير هذا العنوان إلى عنوانه في هذه النسخة و بعد تحليل النسخ المختلفة من الفيروس و التي ضربت عدة جهات تبين أن عنوان الاتصال لم يتم إدخاله وأنه باق على الوضع الافتراضي، وهذا يعطينا مؤشر لأحد أمرين، وهي إما أن المهاجمين مبتدئين و استخدموا الفيروس دون معرفة كاملة بتفاصيله وهذا الاحتمال الأضعف، والاحتمال الأكبر أن الهدف من الضربة هو تخريبي فقط.

وأضاف بأن إحدى الجهات التي تعرضت للإصابة بفيروس «شامون 2» قامت بمشاركة تجربتها كاملة معنا وتقديم جميع التفاصيل، حيث تحدثوا عن إصابتهم في هجمات نوفمبر الماضي،وكيف تجاوزوا الأزمة.

وشرح للتوصيات التي قاموا بتنفيذها من عدة جهات، أهمها توصيات المركز الوطني للأمن الإلكتروني. واللافت للنظر أن تلك الجهة لم تصب في الهجمة الأخيرة بسبب تطبيقهم للتوصيات.