تعرَّض عددٌ من الجهات الرسمية في المملكة العربية السعودية خلال الـ٢٤ ساعة الماضية إلى هجوم إلكتروني جديد اعتمد على الإصدار الثاني من فيروس شمعون 2.0 وفيروس الفيدية Ransomware.
ومن بين الجهات التي استهدفها الهجوم وزارة العمل والتنمية الاجتماعية في المملكة العربية السعودية، وصندوق تنمية الموارد البشرية “هدف”.
فيما تشير المعلومات الواردة حتى اللحظة إلى أن الجهات المستهدفة قامت باتخاذ كافة الإجراءات والتدابير التقنية اللازمة لحماية كافة قواعد البيانات، وتؤكد أنه تم التعامل مع الهجوم الفيروسي والحد من انتشاره وتوسعه.
كما تشير المعلومات المتاحة حتى اللحظة إلى أن تأثير الهجوم قد اقتصر على بعض الصفحات الإلكترونية على الإنترنت، وبعض الأجهزة الطرفية للمستخدمين، وعدم تأثر قواعد البيانات المتعلقة ببيانات عملاء الوزارة أو صندوق تنمية الموارد البشرية “هدف”.
من جانبه، أصدر المركز الوطني الإرشادي لأمن المعلومات في المملكة العربية السعودية بياناً للجهات ذات الصلة، موضحاً فيه بعض التفاصيل والإرشادات، فيما أوصى برفع مستوى الحيطة والحذر والتحقق من وجود الاحتياطات اللازمة، كما قدَّم بعض الحلول المقترحة التي قد تساعد في تفادي الإصابة وتقليل الأضرار.
حلول لمواجهة الهجمات الإلكترونية
1- التحقق من وجود نسخ احتياطية حديثة للمعلومات والملفات المهمة، ولا ينصح بأخذ نسخ احتياطية على نفس الجهاز أو في أقراص المشاركة الشبكية Shared Drive التي قد تكون عرضة للإصابة.
2- زيادة الوعي لدى الموظفين من خلال تكثيف الحملات التوعوية، والتأكيد على عدم فتح الروابط أو مرفقات البريد الإلكتروني المشبوهة، أو التي من أشخاص مجهولين، أو التي لا يتوقع وصولها من الطرف الآخر، وعدم تصفح مواقع مشبوهة أو ليست ذات صلة بالعمل، وعدم تحميل ملفات من مواقع إنترنت غير معروفة وموثوقة للمستخدم.
3- تحديث أنظمة التشغيل والتطبيقات بشكل دوري، وذلك تجنباً لاستغلال الثغرات الحديثة لإصابة الأنظمة والأجهزة بالبرامج الخبيثة من هذا النوع، كما يجب التأكد من تحديث متصفح الإنترنت أو برامج مايكروسوفت أوفيس أو برنامج قارئ أدوبي Adobe على وجه الخصوص.
4- استخدام برامج مكافحة الفيروسات والتأكد من تحديثها دورياً، ومتابعة التدقيق في سجلات برامج مكافحة الفيروسات لكشف أي علامات على الإصابة ببرامج خبيثة، كما يمكن للجهة استخدام أنظمة الكشف المتطورة عن البرمجيات الخبيثة.
5- السيطرة على انتشار البرامج الخبيثة في شبكة الجهة من خلال التالي:
– عزل الأجهزة المشتبه بإصابتها عن الشبكة.
– الحد من عدد الموظفين والمختصين الذين يتمتعون بحسابات لديها صلاحيات إدارة الأنظمة Administration privileges على شبكات وأنظمة وتطبيقات الجهة، والتأكد من حاجة الموظف لهذه الصلاحيات، وتسجيل كافة العمليات التي يقومون بها باستخدام الحسابات والتدقيق فيها بشكل دوري.
– مراجعة سجلات الدخول والمحاولات غير الناجحة في الخوادم والأجهزة التي تتمتع بصلاحية إدارة الأنظمة.
6- التأكيد على المختصين بعدم استخدام حسابات إدارة الأنظمة Administration Accounts لقراءة البريد الإلكتروني والاطلاع على المرفقات وتصفح الإنترنت، لخطورة ذلك على شبكة الجهة، لكون هذه الحسابات تتمتع بصلاحيات عالية على أنظمة الجهة مما يمكن البرامج الخبيثة من الانتشار، ويجب بدلاً من ذلك استخدام حساب محدود الصلاحيات لاستخدامات الموظف الاعتيادية مثل قراءة البريد الإلكتروني والأعمال المكتبية وتصفح الإنترنت.
7- مراجعة سياسات وإجراءات أمن المعلومات باستمرار، وتقييم هذا النوع من الهجمات واتخاذ الإجراءات المناسبة للحد منها ومكافحتها.
8- عند الإصابة بفيروس Ransomware فإننا ننصح بإجراء مسح باستخدام برامج مكافحة الفيروسات والأدوات التي توفرها الشركات المصنعة لبرامج مكافحة الفيروسات للبحث عن برامج لفك تشفير الملفات أو طلب الدعم الفني من شركة مكافحة الفيروسات التي تقدم الحلول المستخدمة في الجهة، ولا ينصح أبداً بدفع الفدية.
تحقق النبوءة الرابعة!
تأتي هذه الهجمات لتحقق النبوءة الرابعة التي قدمتها شركة Dell EMC عن طريق جيف كلارك، نائب رئيس مجلس إدارة العمليات ورئيس قسم حلول العملاء في ديل، الذي قدم مقالاً مفصلاً في 6 يناير/ كانون الثاني الجاري عن توقعات الشركة، التي أشارت لـ”النبوءة الرابعة” إلى توسع محيط الهجمات هذا العام.
فيما توقع توسع محيط الهجمات هذا العام وتعديها إلى مناطق أخرى من الأعمال خارج شبكة تكنولوجيا المعلومات، فقد تميز عام 2016 بسلسلة من الهجمات الإلكترونية المتقدمة، وخاصةً تلك التي استهدفت قطاع النفط والغاز والخدمات المصرفية والمالية، التي تشكل العمود الفقري للاقتصاد الإقليمي.
ففي الآونة الأخيرة، هاجم فيروس يدعى “شمعون” الهيئة العامة للطيران المدني في المملكة العربية السعودية، ما أدى إلى إحداث شلل تام في الآلاف من أجهزة الكمبيوتر خلال الهجوم، وبالتالي إيقاف جميع العمليات.
من يقف وراء فيروس شمعون؟!
بالعودة قليلًا إلى الوراء سنجد أن شركة Fire Eye، المتخصصة في مجال حلول الأمن الإلكتروني أعلنت عن اكتشافها في يوم 6 ديسمبر/ كانون الأول2016 موجة من الهجمات التي تستهدف دول مجلس التعاون الخليجي.
وذكرت في بيانها أنه في عام 2012، قامت عصابة مريبة من القراصنة الإيرانيين الذين أطلقوا على أنفسهم اسم “سيف العدالة القاطع” Cutting Sword of Justice باستخدام برمجية خبيثة عرفت باسم “شمعون” Shamoon أو Disttrack لاستهداف شركات الطاقة في منطقة الشرق الأوسط.
وخلال تلك الحادثة الأمنية تعرَّضت عشرات الآلاف من أجهزة الكمبيوتر للاختراق، وفي منتصف شهر نوفمبر/ تشرين الثاني الماضي، تصدَّت “مانديانت” لأولى هجمات برمجية Shamoon 2.0 الخبيثة التي استهدفت إحدى المؤسسات الكائنة في دول الخليج، ومنذ ذلك الحين، تعمل “مانديانت” على منع مجموعة من الحالات الأمنية المتعددة الموجهة ضد مؤسسات وشركات أخرى في المنطقة.
وأوضحت “فاير آي” أن الإصدار الثاني لفيروس شمعون Shamoon 2.0 هو نسخة معدلة ومحدثة من البرمجية الخبيثة، التي شُوهدت عام 2012، وتظهر التحليلات أن هذه البرمجية الخبيثة تحتوي بداخلها على بيانات تعريف خاصة بتسجيل الدخول، مما يشير إلى احتمال قيام المهاجمين في السابق بعمليات اختراق موجهة للسطو على بيانات التعريف اللازمة قبل شنِّ أي هجوم لاحق.
وفي حين يسود هناك اعتقاد شبه مؤكد، بقيام عصابة إلكترونية تتخذ من إيران مقراً لها بشن هجمات Shamoon في العام 2012، فإنه لا يزال من غير الواضح معرفة من يقف وراء الاختراق الأمني الأخير، أو معرفة درجة هذا الاختراق.
وأوصت الشركة باتخاذ عدد من الإجراءات الوقائية، بما في ذلك أن تقوم شركات البنى التحتية والهيئات الحكومية (وخاصة تلك الكائنة في دول مجلس التعاون الخليجي) بمراجعة واختبار خطط التعافي من الكوارث الخاصة بالأنظمة الحساسة ضمن بيئة الأعمال لديها بشكل منتظم.
وذكرت الشركة أنه في حالات الاشتباه بوجود هجمات اختراق أمني محتملة، يُنصح بإيقاف الاتصالات التي تربط العملاء فيما بينهم، وذلك لإبطاء انتشار البرمجيات الخبيثة، كما ينصح وبشدة تغيير بيانات التعريف الخاصة بتسجيل الدخول إلى الحسابات الحساسة، وينبغي أن تكون كلمات المرور الخاصة بإدارة الجهاز فريدة من نوعها.
