باحثون في «بالو آلتو» أكدوا أنها مصممة خصيصاً لمهاجمة أدوات إنترنت الأشياء
فيروسات معدلة تمحو بيانات الأجهزة وتجعلها خارج الخـدمة
بعض الأجهزة المصابة بـ «فيروسات إنترنت الأشياء» تتطلب تدخلاً يدوياً لإعادتها للعمل. من المصدر
أعلن فريق من الباحثين في شركة «بالو آلتو»، المتخصصة في أمن شبكات المعلومات والاتصالات وإنترنت الأشياء، أنهم رصدوا مجموعة من البرمجيات الخبيثة والفيروسات المعدلة، والمصممة خصيصاً لمهاجمة أدوات وأجهزة إنترنت الأشياء، حيث تبين أن المهاجمين والقائمين على إعداد هذه البرامج، أضافوا إليها أكواداً جديدة تجعلها قادرة على محو البيانات المسجلة على هذه الأجهزة والأدوات، سواء كانت بيانات قامت بتوليدها وتخزينها على أجزاء معينة من وحدات التخزين الملحقة بها، أو بيانات ومعلومات تتعلق ببرامج وطرق التشغيل الخاصة بها، بما يجعلها عملياً خارج الخدمة وتتطلب تدخلاً يدوياً لإعادتها للعمل، وهي عملية مكلفة للغاية ومربكة للعمل، خصوصاً إذا كانت شبكة إنترنت الأشياء تعمل في مؤسسة كبرى بها آلاف الكاميرات وأجهزة المستشعرات.
الأجهزة المستهدفة
|
نصائح مهمة نصح الخبراء والباحثون في شركة «بالو آلتو»، المتخصصة في أمن شبكات المعلومات والاتصالات وإنترنت الأشياء، المهتمين باستخدام أجهزة وأدوات إنترنت الأشياء النظر إلى سجل الجهة المصنعة للجهاز وسوابقها المتعلقة بأمن المعلومات، وهل الشركة لديها نقطة مخصصة للاتصال بها في ما يتعلق بالمسائل الأمنية، وكيف تقوم بالتعامل مع نقاط الضعف الأمنية التي تظهر في منتجاتها. كما نصحوا بمعرفة مدى نشر الجهة المنتجة استشارات وتوجيهات أمنية دورية، وهل تصدر دورياً تحديثات أمنية، فضلاً عن مدى دعمها لمنتجها وفق توقيتات زمنية معقولة. وأشاروا إلى أن الإجابة عن جميع تلك الأسئلة بوضوح، هي بداية التعامل السليم للوقاية والعلاج معاً. - الأكواد المعدلة تهاجم الأدوات العاملة بنظام «لينكس» لأول مرة. - «بريكربوت» و«الذاكرة المفقودة» أقوى فيروسين تم رصدهما. 227 ألف كاميرا رقمية عاملة ببروتوكولات الإنترنت، سيطر عليها مهاجمون في 2016. |
وقال أعضاء الفريق، في بيان نشر على موقع الشركة paloaltonetworks.com، إن «الأجهزة والأدوات التي تهاجمها هذه البرامج الخبيثة والفيروسات تشمل كاميرات تسجيل الفيديو الرقمية العاملة ببروتوكولات الإنترنت، وأجهزة الاستشعار المختلفة التي تتحسس معلومات الحرارة والطقس والرطوبة وحالة الماكينات والاهتزازات وغيرها من القياسات الاخرى، فضلاً عن الكثير من الأجهزة القابلة للارتداء، والأجهزة اليدوية وأجهزة التقاط البيانات والمعلومات العاملة بالأشعة تحت الحمراء والموجات فوق الصوتية وغيرها، والتي تصبح عند تشغيلها موصولة بشبكة معلومات أو بالإنترنت مباشرة».
وأضافوا أن «النوعية الجديدة من الأكواد تعد تطوراً جوهرياً في طبيعة الهجمات التي تتعرض لها أدوات وأجهزة إنترنت الأشياء»، مشيرين إلى أن «الأمر كان مقصوراً في السابق على محاولة سرقة ما بها من معلومات، او استغلالها كمنصات لإطلاق هجمات معادية ضد أهداف أخرى، على غرار ما حدث العام الماضي حينما سيطر مهاجمون على 227 ألف كاميرا رقمية عاملة ببروتوكولات الإنترنت حول العالم، واستخدامها في شن هجمة منسقة على بعض الخوادم الرئيسة الكبرى المسؤولة عن تشغيل آلاف المواقع على الانترنت، وتمكنوا فعلياً من إيقاف العمل بما يقرب من ربع مواقع الإنترنت في أميركا وأوروبا في واحدة من أكبر هجمات إنكار الخدمة بتاريخ الإنترنت عالمياً».
الذاكرة المفقودة
وذكر أعضاء فريق «بالو آلتو» أنهم رصدوا فعلياً هجومين وقعا خلال الأيام القليلة الماضية، إذ حاول المهاجمون خلالهما محو بيانات من الأجهزة والأدوات التي تمكنوا من إصابتها، موضحين أن «الفيروس الأول حمل اسم (أمنيسيا) أو الذاكرة المفقودة، وتبين أنه سلالة جديدة من برنامج خبيث قديم مخصص لمهاجمة إنترنت الأشياء وكان يحمل اسم (تسونامي)، وبعد تطويره أصبح قادراً على محو البيانات وليس فقط السيطرة على الأجهزة والأدوات».
ووفقاً لما أورده الفريق، فإن «هذا البرنامج ينفذ بعض الفحوص على جزء من البرمجيات يعرف باسم (الماكينة التخيلية)، يكون موجوداً على الأجهزة والأدوات التي يهاجمها، ليعرف هل هذه الماكينة مهيأة للعمل مع بيئة نظام تشغيل (لينكس)، ومعتمدة على برمجيات (فيموير) أو (كيو إي إم يو) ام لا».
وأشار الفريق إلى أن «هذه أول مرة يظهر فيها برنامج خبيث يسعى لفحص (الماكينة التخيلية) في بيئة تشغيل نظام (لينكس)، حيث كان هذا الأمر شائعاً ومتواتراً في بيئات التشغيل المعتمدة على نظم (ويندوز)، وبمجرد أن يعثر برنامج الذاكرة المفقودة على (الماكينة التخيلية) للجهاز أو الأداة، يقوم على الفور بمحو المجلدات التي تحتوي على الدليل أو الأدلة المستخدمة في تشغيلها، بما فيها من بيانات ومعلومات وبرمجيات وأوامر تشغيل مختلفة».
«بريكربوت»
وبين الفريق البحثي أن «البرنامج الخبيث الثاني يحمل اسم (بريكربوت)، وبفحصه وجد أنه يتم إطلاقه من أجهزة موجهات مسار البيانات المعروفة على نطاق واسع باسم (الراوترز) ومن نقاط الوصول اللاسلكية (أكسس بوينت)، حيث يسيطر المهاجمون أولاً على (الراوترز) ويقومون بتشغيله لحسابهم من بُعْد، ثم يقومون بإصدار الأوامر له ليطلق البرنامج الخبيث ليهاجم أدوات وأجهزة إنترنت الأشياء المربوطة بالشبكة من خلال (الراوترز) ونقاط الوصول اللاسلكية التي تتم السيطرة عليها».
وأوضح أنه «عند بدء عمله يحاول البرنامج الخبيث القيام بعملية مصادقة وتحقق من الهوية، من خلال توليفة مشتركة من اسم مستخدم وكلمة مرور معروفة، موجودة بأدوات إنترنت الأشياء الموصولة بالإنترنت، وتوجد فيها خدمة (تيل نيت) أو التحكم عن بعد عبر شبكة تعمل من خلال الإنترنت، وإذا نجحت عملية المصادقة يطلق البرنامج الخبيث سلسلة من أوامر التدمير تستهدف مسح البيانات الموجودة بوحدات التخزين الملحقة بهذه الأجهزة، كما يحاول أيضاً محو إعدادات اتصالها بالإنترنت، وقطع الاتصال عنها لتحويلها إلى شيء غير مستخدم».
أدوات تصمد
ووجد باحثون «بالو آلتو» أن بعض الأجهزة والأدوات تستطيع الصمود أمام البرنامجين، منها الأدوات المجهزة بوحدات تخزين مهيأة للقراءة فقط دون التعديل أو إعادة الكتابة عليها، وكذلك الأدوات المزودة ببرمجيات ثابتة موضوعة على شرائح إلكترونية غير قابلة للتعديل.
وقالوا إن «المشكلة هنا أن مثل هذه الأدوات لا تمثل كل ما هو مستخدم من أجهزة إنترنت الأشياء، فضلاً عن أنها لو صمدت أمام محاولات المحو الكامل للبيانات، ستخرج بعد الهجوم وهي بحاجة إلى تدخل يدوي مباشر لكي تعود للخدمة كما كانت».
وكشفت الفحوص التي أجراها الباحثون أن «أجهزة (الراوترز) المزودة بمنافذ (يو إس بي) وملحق بها وحدات تخزين خارجية، تكون جميع البيانات الموجودة عليها عرضة للمحو أيضاً، كما تبين أن بعض هجمات برنامج (بريكربوت) لم تكن مقصورة فقط على اجهزة وأدوات إنترنت الأشياء، بل يمكن أن تكون مؤثرة في أي نظام يعتمد في عمله على نظام تشغيل (لينكس)».
وأفاد الباحثون بأن «الهدف النهائي من هجمات (بريكربوت) ليس واضحاً حتى الآن، فالذين شنوا هجمات عبر هذا البرنامج الخبيث يبدو أنهم أرادوا، على الأقل حتى الآن، لفت الانتباه إلى نقاط الضعف الأمنية الكبيرة الموجودة في أجهزة إنترنت الأشياء، حتى لا تصبح مصابة ببرمجيات خبيثة مماثلة، أو يساء استخدامها من قبل المخترقين».