تنفذه «إيه بي تي 33» لاستهداف الصناعات الهندسية والمؤسسات الحكومية

تحذير من هجوم وشيك بفيروس «شمعون» عبر «أوت لوك»

التحذير صدر عن القيادة السيبرانية في الجيش الأميركي. من المصدر

أصدرت القيادة السيبرانية في الجيش الأميركي، أول من أمس، تحذيراً من هجوم فيروسي وشيك، ستقوم به عصابة «إيه بي تي 33» الإيرانية، متوقعة أن يتم عبر ثغرة أمنية سبق اكتشافها وإصلاحها في برنامج «مايكروسوفت أوت لوك» للبريد الإلكتروني وتخطيط المواعيد.

وأوضحت أن سيتم في الهجوم الجديد استخدام الفيروس الخبيث المعروف باسم «شمعون»، الذي سبق وصممته العصابة نفسها، التي تستهدف به عادة الصناعات الهندسية والمؤسسات الحكومية.

كما أكد تقرير أمني آخر مستقل جدية الهجوم، مشيراً إلى أنه الهجوم (رقم 20) في سلسلة الهجمات التي وقعت خلال العامين الماضيين بالفيروس ذاته.

نشاط مشبوه

ونشرت القيادة الأميركية السيبرانية تحذيرها على موقعها الرسمي، وعلى حسابها على موقع التدوين المصغر «تويتر»، المخصص للتنبيه بالهجمات الفيروسية، كما صدر بشأنه تقرير مستقل على المدونة الرسمية لشركة «فاير آي» المتخصصة في أمن المعلومات، الذي أكد جدية التحذير.

ولا يعد تحذير القيادة الأميركية السيبرانية الأول من نوعه في هذا السياق، حيث سبق وصدر تحذير مماثل قبل أسابيع عدة من قبل شركة «سيمانتك» المتخصصة في أمن المعلومات، حول نشاط مشبوه محتمل ستقوم به عصابة «إيه بي تي 33»، فيما صدر تحذير مماثل قبل أسبوعين عن وكالة الأمن السيبراني التابعة لوزارة الأمن الداخلي الأميركية، حول زيادة نشاط الجهات الفاعلة في مجال التهديد الإيراني، لاسيما حول استخدام البرامج الضارة التي تمسح وحدات التخزين، ومن بينها فيروس «شمعون» الذي صنفته الوزارة على أنه السلاح الإلكتروني الأساسي لعصابة «إي بي تي 33».

مسح وفحص

ووفقاً للمعلومات، فإن فيروس «شمعون»، الذي اعتادت عصابة «إيه بي تي 33» استخدامه يقوم ــ بعد التمكن من زرعه في الحاسبات والنظم المستهدفة ــ بمسح وفحص وحدات التخزين الموجودة بهذه الحاسبات والنظم، للحصول على ما تحتويه من بيانات ومعلومات، ونقلها إلى المهاجمين، مع إمكانية إحداث أضرار وتخريب محسوب سلفاً بهذه الأجهزة، في الوقت الذي يريده المهاجمون، كإبطاء تشغيلها، وإتلاف بعض برامجها، وغير ذلك.

وتستخدم العصابة نقطة ضعف أمنية في برنامج «مايكروسوفت أوت لوك» للبريد الإلكتروني وتخطيط جداول المواعيد، وهي نقطة ضعف معروفة باسم «سي في إي ـ 2017 ـ 11774»، تم اكتشافها في عام 2017، وصدرت لها تحديثات أمنية لإصلاحها في أكتوبر 2017، لكن الدلائل الحالية تشير إلى أن فيروس «شمعون» تم تطويره ليستطيع معاودة استغلال الثغرة نفسها للنفاذ إلى الحاسبات والنظم المستهدفة، حيث يصل الفيروس متخفياً في الرسائل الواردة لحاسب الضحية من خلال «أوت لوك»، ثم يخرج نفسه من صندوق الرسائل الواردة ليكمن بالمكان المحدد له على الحاسب المستهدف، ثم ينشط ويقوم بالوظائف المكلف بها مستعيناً بنظام التشغيل المثبت على الجهاز، وكأنه تطبيق عادي، يفعل أنشطة عديدة، من مسح لوحدة التخزين، ونقل البيانات، والإضرار بالحاسب، وغيرها من المهام المجدولة داخله.

وعند تطويره للمرة الأولى كان أفراد العصابة يستخدمون تكتيكاً آخر لنشر الفيروس، وهو زرعه في الحاسبات الخادمة على الـ«ويب»، وبعد ذلك لجأوا إلى الثغرة الأمنية في برنامج «أوت لوك»، لاستغلالها في الوصول بالفيروس إلى الأنظمة المستهدفة مباشرة، ولو لم تكن مرتبطة بخوادم الـ«ويب».

مراحل الاستغلال

وباستغلال تلك الثغرة، يحصل المهاجمون على بيانات اعتماد شرعية داخل نظام أو شبكة المعلومات المستهدفة.

وبحسب تقرير «فاير آي»، فإن هذا يحدث بالأنظمة التي تستخدم الوصول إلى خدمة «أوت لوك» عبر الـ«ويب»، وكذلك خدمة «أوفيس 365» السحابية، غير المحتمية بنظام مصادقة متعدد العوامل، ويستفيد المهاجمون من بيانات الاعتماد الشرعية المسروقة، وأداة أخرى يطلق عليها «المسطرة»، في الحصول على الصلاحيات التي تمكنهم من تنفيذ أهدافهم، وهنا يكون الهجوم قد أصبح مزدوجاً، أي يتم فيه استخدام فيروس «شمعون» جنباً إلى جنب مع أداة المسطرة.

أمور يجب تجنبها

إلى ذلك، أورد خبراء شركة «فاير آي» في تقريرهم بعض الأمور التي تقدم عليها المؤسسات، وتسهل الهجوم بفيروس «شمعون»، منها الإسراف في الاعتماد على أدوات الراحة، وتسهيل الاستخدام الموجودة في برنامجي «أوت لوك» و«إكستينشج» من شركة «مايكروسوفت»، من دون أخذ الحيطة في ما يتعلق بالتأمين، ما يجعل من تلك الأنظمة أهدافاً سهلة للاقتحام.

ومن الأمور الأخرى كذلك، إعادة استخدام بيانات سبق تعرضها للاختراق، بلا مراجعة وتحديث.


ظهور «شمعون»

تعود بدايات ظهور فيروس «شمعون» إلى مايو 2017، حينما قام خبراء شركة «سينس بوست» الأمنية بالكشف للمرة الأولى، ورصدوا أول هجمة لعصابة «إيه بي تي 33» باستخدام هذا الفيروس. وبعدها رصدت شركة «فاير آي» ثلاث هجمات خلال سبتمبر ونوفمبر 2017.

وخلال العام الماضي، تم رصد 15 هجمة بالفيروس نفسه، حيث وقعت الهجمة الأولى منها في يناير، والأخيرة في 13 ديسمبر.

تويتر