الهجمتان تستهدفان تسخير الحاسب لتوليد العملات الرقمية وسرقة البيانات المصرفية

«حصان طروادة» يخترق أنظمة «لينكس» لأول مرة.. واحتيال على عملاء البنوك عبر «خرائط غوغل»

محتالون يوهمون متعاملي البنوك بتغيير بياناتهم على «خرائط غوغل» لسرقة معلوماتهم البنكية. من المصدر

شهد عالم التقنية، هجمتين أمنيتين خطيرتين بدأت تفاصيلهما تتكشف، منذ أول من أمس، وعرفت الهجمة الأولى بـ«برنامج حصان طروادة»، واستهدفت الحاسبات العاملة بأنظمة تشغيل «لينكس»، وقال عنها الخبراء إنها أول هجمة مؤثرة ناجحة على هذه النوعية من نظم التشغيل، وتتسم بالتعقيد والخطورة، لكونها تنتهي بتسخير قوة الحوسبة الموجودة بالحاسب في تعدين وتوليد العملات الرقمية المشفرة لمصلحة المهاجمين. بينما تمت الهجمة الثانية بأسلوب «الاحتيال» بهدف سرقة المعلومات والبيانات الحساسة، وأوهم خلالها المهاجمون الكثير من المتعاملين مع البنوك، بضرورة تغيير بياناتهم على برنامج «خرائط غوغل»، واستغلال ذلك في سرقة بياناتهم البنكية للسطو على أموالهم بالبنوك.

وتناول العديد من مواقع التقنية تفاصيل الهجمتين على مدار الساعات الماضية، وتبين من المتابعة، التي قامت بها «الإمارات اليوم»، أن الهجمة على أنظمة «لينكس» كشفتها شركة روسية متخصصة في الفيروسات وأمن المعلومات، تدعى «دكتور ويب». وقال فريق من خبراء أمن المعلومات بالشركة إن «الهجمة تتم بفيروس (حصان طروادة)، وهي عبارة عن (شرنقة برمجية) تضم كوداً مكوناً من أكثر من 1000 سطر، وهو أول ملف فيروسي من هذا النوع يتم تنفيذه على أنظمة تشغيل (لينكس) التي توصف عادة بأنها أقل عرضة للفيروسات من أنظمة تشغيل (ويندوز)».

نظام التشغيل

ولا يحمل الفيروس اسماً محدداً، وأطلق عليه خبراء «دكتور ويب» «لينكس بي تي سي ماين 174»، وبمجرد أن يتسلل إلى الحاسب ويوفر لنفسه موطئ قدم، يستخدم واحدة من اثنتين من وظائف الحصول على الصلاحيات والميزات على النظام، ومنها وظيفة معروفة باسم «سي في اي - 2016 - 5195»، ووظيفة أخرى معروفة باسم «البقرة الشريرة» أو «ديرتي كاو»، وذلك للحصول على الصلاحيات الكاملة الخاصة بمدير النظام، التي يطلق عليها «صلاحيات الجذر» حيث تتيح الوصول لنظام التشغيل بكل مكوناته.

وعند هذه المرحلة يقوم الفيروس بإعداد نفسه على الحاسب ليصبح بمثابة «حاسب خادم محلي»، ويكون قد أحكم قبضته على الحاسب المصاب بالكامل، وينتقل إلى توظيف الحاسب وسرقة قوة الحوسبة الموجودة لديه، وتسخيرها في عمليات «توليد وتعدين العملات الرقمية المشفرة»، ليحصل المهاجم في النهاية على وحدة من هذه العملات مثل «بيت كوين»، أو «إيثريوم» أو «مونيرو» أو غيرها، التي تصل قيمتها إلى آلاف الدولارات عند بيعها، وفي هذه الحالة وُجد أن الفيروس يسخر الحاسب المصاب في تعدين وتوليد عملات «مونيرو» الرقمية المشفرة.

ويتسبب هذا الهجوم في حدوث بطء شديد في أداء الحاسب وارتفاع صوت المروحة، خصوصاً إذا كان الحاسب المصاب من فئة الحاسبات المحمولة، وأيضاً ارتفاع درجة حرارة الحاسب، ما يعني عملياً شل قدرة صاحبه على استخدامه، واضطراره إلى إيقافه بعد فترة من الوقت.

برامج ضارة

ويقوم الفيروس أيضاً بتنزيل وتشغيل وإدارة برامج ضارة أخرى، من بينها فيروس معروف باسم «بيل جيتس تروجان»، وهو من الفيروسات المستخدمة في شن هجمات «إنكار الخدمة» أو «دي دوس»، التي يتم فيها توجيه سيل من الطلبات الزائفة والوهمية إلى مواقع أو أنظمة معينة، بما يجعلها غير قادرة على الاستجابة والرد، فتتوقف عن العمل ويصيبها التجمد.

ولا يكتفي الفيروس بذلك، وإنما يبدأ البحث عن أي برامج متخصصة في مقاومة الفيروسات مثبتة على الجهاز، ويقوم بإيقافها عن العمل تباعاً، وبعد إيقاف برامج مكافحة الفيروسات يجعل الفيروس من نفسه مدخلاً للتشغيل التلقائي لملفات أخرى ضارة، مثل الملفات التي لديها القدرة على سرقة كلمات السر التي يدخلها المستخدم، والملفات التي تخفي ملفات المستخدم وتوقف شبكات الاتصالات وعمليات التشغيل.

كما يواصل الفيروس عمله ويشغل وظيفة أخرى تقوم بجمع معلومات حول الحاسبات والخوادم، التي يتواصل معها الحاسب المصاب، عبر بروتوكول الاتصال من بُعد، المعروف باسم «إس إس إتش»، لينشر نسخاً من نفسه عليها ويفعل بها الشيء نفسه من جديد.

وأكد الفريق الذي كشف الفيروس أن بروتوكول «إس إس إتش» للاتصال من بُعد، هو قناة التوزيع الأساسية التي يتم من خلالها نشر الفيروس من جهاز إلى آخر.

الاحتيال بخرائط «غوغل»

وتمثلت الهجمة الثانية في وصول رسائل احتيالية من المهاجمين إلى العديد من مستخدمي برنامج «خرائط غوغل»، على هواتفهم الذكية وحاسباتهم اللوحية والمحمولة والمكتبية، تبدو كأنها صادرة عن البنوك التي يتعاملون معها، وتطالبهم بضرورة الدخول إلى إعدادات برنامج «خرائط غوغل» عبر صفحة معينة، وهي «خدعة»، يسعى من خلالها المهاجمون إلى الحصول على معلومات سرية أو كلمات مرور أو معلومة يمكن استخدامها في الوصول إلى المعلومات والبيانات البنكية الحساسة للمستخدمين، بغرض السطو على أموالهم.

ويستغل المهاجمون خاصية تتيحها خدمة «خرائط غوغل» عبر الإنترنت، وتتعلق بإرسال التغييرات والتصحيحات إلى القوائم الموجودة بالبرنامج، ويقوم المهاجمون بتغيير تفاصيل الاتصال المدرجة للبنوك على التطبيق، وعندما يدخل عملاء البنوك إلى ما يعتقدون أنه مؤسستهم المالية، يستخرج المهاجمون بياناتهم المصرفية ويستخدمونها للسطو علي حساباتهم وتفريغها تماماً.

ووقعت هذه الهجمة في ولاية «ماهاراشترا» بالهند، وأصدرت السلطات تحذيراً بشأنها، مؤكدة أن هذا الأسلوب قابل للانتشار والتكرار في أي مكان آخر بالعالم، نظراً إلى الاستخدام الواسع لبرنامج «خرائط غوغل».

من جانبها، لم تصدر «غوغل» حتى الآن بياناً رسمياً حول الهجوم على برنامجها بهذه الطريقة، ولكنّ متحدثاً باسم الشركة قال لصحيفة «ذا هيندو» إن «الخاصية موجودة في برنامج (خرائط غوغل)، وتسمح للمستخدمين باقتراح تعديلات هدفها توفير معلومات شاملة وحديثة، لكننا ندرك احتمال وجود أخطاء أو تعديلات غير صحيحة في بعض الأحيان، ونبذل قصارى جهدنا لمعالجة المشكلة في أسرع وقت ممكن».

تفادي الهجوم

نصح خبراء أمن المعلومات المستخدمين لـ«خرائط غوغل» بعدم الوثوق بأي رقم هاتف، أو رسالة، يزعم أنه من المصرف الذي يتعاملون معه، عبر الإنترنت، ما لم يكن بموقعه على الويب، أو مدرجاً على ظهر بطاقة الائتمان الخاصة بهم، وذلك تفادياً للهجوم.

• كود معقد من 1000 سطر ضمن «شرنقة برمجية» تسخّر الحاسب في «تعدين العملات الرقمية».

تويتر