تحليلات لمؤسسات متخصصة أكدت أن هجوم «العين الذهبية» تقف وراءه دول وليس أفراداً

«برمجيات الفدية» تتحول من «جمع الأموال» إلى أداة لتدمير البيانات

صورة

كشفت التحليلات، التي أجرتها مؤسسات وشركات أمن المعلومات، على هجوم «برمجيات الفدية» الأخير، والذي عرف باسم «العين الذهبية» أو «غولدن آي»، عن وجود تطور غير معتاد في المراحل الاخيرة من الهجوم. واعتبر الخبراء هذا التطور بمثابة دليل على أن هذه النوعية من الهجمات باتت تنطوي على جانب خطير وجديد، يتمثل في أنه يجري استخدامها كغطاء لشن هجمات مخططة، تدعمها وتقف وراءها دول وليس افراداً أو منظمات، وتستهدف سرقة وتدمير البيانات وإلحاق أكبر قدر من الضرر بالبنية التحتية الحيوية لخصوم هذه الدول، مع إلصاق التهمة للأفراد «مجهولي الهوية» الذين يسعون إلى كسب أموال من وراء كل ضحية.

• هجمات مدعومة من الدول تتخذ «برمجيات الفدية» ستاراً لحربها عبر الفضاء الإلكتروني.

• الهدف من الهجمات الأخيرة تدمير البيانات وإلصاق التهمة بـ«مجهولي الهوية».


«العين الذهبية»

أعلنت كلٌ من شركة «كاسبرسكي» لأمن المعلومات، وشركة «كوماي» للتقنية، أن هجوم «العين الذهبية» يتكون داخلياً من جزأين، الأول يحمل اسم «بيتيا» وهو إحدى سلالات برامج الفدية الحقيقية، ومهمته تشفير البيانات والملفات، والثاني يتضمن «كود» برمجياً جرى تطويره في وكالة الأمن القومي الأميركية، وجرى تسريبه قبل اشهر، ويدعى «اليرنال بلو»، ويستخدم في محو وتدمير الملفات وسرقة بيانات الهوية.

الهجمة الأخيرة

والتطور الجديد الذي تم رصده في الهجمة الأخيرة «غولدن آي»، أن الحاسب أو الحاسبات الخادمة المسؤولة عن تنسيق الهجمة وإدارتها، قامت بإيقاف تشغيل عناوين البريد الالكتروني، التي كان يفترض أن تستقبل ردود ورسائل البريد الالكتروني الواردة من الضحايا لاستكمال عملية دفع الفدية، وهو إجراء يهدم الغرض من الهجوم برمته، لكونه يقطع الطريق على المهاجمين، ويحول دون حصولهم على الفدية المالية.

وأدى هذا الإجراء، وفقاً لتقرير طبيعة هذه الهجمة جرى نشره بموقع «سي نت نيوز» cnet.com، المتخصص في تقنية المعلومات، إلى حث خبراء في أمن المعلومات على مراجعة الهجمة من جديد، وبالفعل تبين أن برمجية «العين الذهبية» تتكون من قسمين، الأول، هو «بيتيا»، الذي يقوم بالتشفير، والثاني يقوم بسرقة البيانات وتدمير الملفات والسيطرة على وحدات التخزين. وكلا القسمين لا يهتم بعد ذلك بمسألة تحصيل الفدية، الأمر الذي يدعم فرضية أن الجهة المهاجمة اتخذت «برمجيات الفدية» كغطاء لإخفاء هدفها الحقيقي من الهجوم، وهو الاستيلاء على البيانات وتدميرها.

وكان هجوم «العين الذهبية» قد بدأ الثلاثاء 28 يونيو الماضي، ثم انتشر على نطاق واسع جداً، ليصيب أكثر من 200 ألف جهاز خلال اليوم الأول. وحتى الرابع من يوليو الجاري، كانت الاصابات قد بلغت ثمانية ملايين جهاز حول العالم، ما جعله أوسع نطاقاً واشد تأثيراً من هجوم «واناكراي»، الذي وقع قبله بفترة وجيزة. وبدأ هجوم «العين الذهبية» من مدينة كييف بأوكرانيا، عبر تحديث خاص بتطبيق يعرف باسم «مي دوك»، وهو تطبيق واسع الانتشار في مجال الضرائب بأوكرانيا، وتستخدمه فروع جميع الشركات العالمية العاملة في أوكرانيا تقريباً، فضلاً عن الشركات الأوكرانية المحلية.

تشفير الملفات

وطبقاً لما قاله المحلل بمؤسسة «بيد ديفندر» لأمن المعلومات، بوجدان بوتيزاتو، والتي توصلت مع «مايكروسوفت» الى ادلة على أن هجوم «غولدن آي» له علاقة قوية بتطبيق «مي دوك»، فإن هذا التطبيق يحتوي على ملف يحمل اسم rundll32.exe، يساعد نظام التشغيل «ويندوز» على القيام بوظائف، من بينها تنشيط «غولدن آي»، ثم بدء تشفير الملفات.

من جانبها، قالت «مايكروسوفت» إنها تعقبت مراحل الاصابة بهذه الهجمة، من برنامج يدعى «إيزفيت أي إكس أي»، وهو مستخدم في عمليات تحديث برنامج «مي دوك»، وتبين أنه يسهل الإصابة ببرمجية «العين الذهبية» الخبيثة، حتى لو كان الحاسب يحتوي على آخر التحديثات الأمنية في مجال مقاومة الفيروسات والبرمجيات الخبيثة، لكن الشركة المنتجة لتطبيق «مي دوك» نفت أن يكون له صلة بالهجوم، ووصفت ما قالته «مايكروسوفت» بأنه ادعاءات غير صحيحة.

استهداف البيانات

وبعد أيام قليلة من حدوث الهجوم، ظهرت تفاصيل جديدة حول حقيقته، حيث أعلنت كل من شركة «كاسبرسكي» لأمن المعلومات، وشركة «كوماي» للتقنية، أن هجوم «العين الذهبية» في حقيقته أشبه «بممسحة» صممت لتدمير البيانات، أما مسألة هجوم الفدية، فليست سوى مظهر خارجي، للتمويه على هدفه الحقيقي.

وقال مسؤولون في «كاسبرسكي» و«بيد ديفندر» و«كوماي» للتقنية إنه إذا كان الغرض الأساسي والأولي لمن صمموا هذه البرمجيات الخبيثة، هو الحصول على الأموال، فكان لابد أن يكون لديهم المهارات الهجومية التقنية والاستراتيجية التي تجعلهم ينفذون هجماتهم بنجاح، لكن ما حدث فعلياً ان الهجمة كانت معيبة وغير فعالة في ما يتعلق بالحصول على الأموال.

والدليل على ذلك أن شركة استضافة المواقع في كوريا الجنوبية تعرضت لهجوم فدية سابق، ودفع الضحايا نحو مليون دولار، وهو أكبر مبلغ مدفوع كفدية من هذا النوع على الاطلاق. أما هجوم «واناكراي» الذي وقع الشهر قبل الماضي فحقق ما يقرب من 132 ألف دولار كفدية خلال أيام. في المقابل تبين أن هجوم «العين الذهبية» بلغ عدد الحاسبات المصابة به أكثر من ثمانية ملايين جهاز، وتم دفع 10 آلاف دولار فقط كفدية.

السيناريو الأسوأ

وصف مسؤولون بشركة «كاسبرسكي» ما يحدث بأنه سيناريو «الحالة الأسوأ» بالنسبة للضحايا، لأن المهاجمين الذين تقف وراءهم دول، يستخدمون «هجمات الفدية» كغطاء أو واجهة، تغري الضحايا بلون القراصنة والمهاجمين الذين لا هوية لهم، بدلاً من القاء المسؤولية على البلدان التي تقف خلف الهجوم. والهدف الحقيقي في هذه الحالة ليس الحصول على الاموال، ولكن الحصول على البيانات وتدميرها.

وبحسب مسؤولي «كاسبرسكي»، فإن هذا الكشف يعد بعداً جديداً وخطيراً للحرب المتصاعدة في الفضاء الالكتروني بين البلدان المختلفة، والتي أضرت بالفعل بالبنية التحتية والانتخابات والأعمال، فكوريا الشمالية سربت رسائل البريد الالكتروني الخاصة بشركة «سوني» كنوع من استعراض القوة. وفي الخلاف بين روسيا وأوكرانيا قام القراصنة بإيقاف شبكة الكهرباء الاوكرانية، ولاتزال الولايات المتحدة تعاني من التدخل الروسي في الانتخابات الرئاسية لعام 2016.

وفى نهاية المطاف، يجد المستخدمون الأبرياء أنفسهم في مرمى نيران هذه الهجمات الإلكترونية الضخمة، سواء كان ذلك في المستشفيات او الجامعات أو المولات التجارية الكبيرة أو المطارات او حتى في مصنع للشوكولاتة. فالكل عملياً على خط النار، والفوضى تضر بالجميع في النهاية، ما يعني انك كمستخدم قد تجد نفسك غير قادر على الحصول على دوائك، لأن بيانات شركة أدوية كبرى تعرضت للأضرار وعمّتها الفوضى، أو يصبح عسيراً عليك الحصول على رحلة طيران، لأن المطار أصابته الهجمات الخبيثة.

تويتر