تحذيرات من برنامج خبيث معقّد يستهدف أجهزة الكمبيوتر

أطلقت شركة «ديب إنستينكت» المتخصصة في أمن المعلومات عبر الإنترنت، أول من أمس، تحذيراً من ظهور برنامج خبيث يحاول مهاجمة ملايين أجهزة الكمبيوتر حول العالم يحمل اسم «ماي لوبوت»، وينتمي إلى فئة الروبوتات البرمجية الشبكية أو «بوت نت» التي تمثل أحدث أجيال البرمجيات الخبيثة المصممة بطرق الذكاء الاصطناعي وتعلّم الآلة.

• البرنامج الخبيث يتسبب في فقدان كمية هائلة من البيانات. توصيات للدفاع والمواجهة وضع التقرير خمس توصيات للدفاع والمواجهة، هي: تحديد مسار واضح نحو وضع تأميني مستدام، وتعزيز الابتكار في البنية التحتية للتكيف الديناميكي مع التهديدات المتطورة، وتعزيز الابتكار على حافة الشبكة لمنع وكشف وتخفيف الهجمات الموزعة الآلية، وتعزيز التحالفات بين الأمن والبنية التحتية محلياً وعالمياً، وزيادة الوعي بمخاطر أمن المعلومات.

وجاء في التحذير أن الشيفرة التي يعمل بها البرنامج الخبيث معقدة وغير مكتشفة، فيما تشير المعلومات حتى الآن إلى أن «ماي لوبوت» ينفذ تكتيكات في الهجوم تستهدف سيطرة تامة ومطلقة على أجهزة الضحايا، حتى إنه يزيل في طريقه ليس فقط نظم الحماية والدفاع فقط، وإنما أي برنامج خبيث أو روبوت آخر سبق أن هاجم جهاز الضحية. وليس من المعروف طبيعة الفيروسات أو الأدوات البرمجية الخبيثة التي سيزرعها على أجهزة الضحايا بعد إتمام عملية السيطرة.

نظام «ويندوز»

وأوردت الشركة في تحذيرها أن «ماي لوبوت» يهاجم الأجهزة العاملة بنظام تشغيل «ويندوز»، ويحاول تجميع شبكة من أجهزة الكمبيوتر والأجهزة الخاضعة لسيطرته بصورة مطلقة، وفيما عدا ذلك فالنوايا النهائية للمهاجمين الذين صمموه لم تتضح بصورة نهائية بعد، وإن كان من المرجح أن يستخدم في تنفيذ هجمات من نوع «هجمات الفدية» التي يتم فيها تشفير الملفات والبيانات المخزنة على كمبيوتر الضحية، وإغلاقه وإيقافه عن العمل حتى يتم دفع فدية للمهاجمين، فضلاً عن استغلال الأجهزة الواقعة تحت سيطرته في تنفيذ هجمات من نوع «أحصنة طروادة»، وهجمات «إنكار الخدمة» ضد أهداف أخرى.

تقنيات تمويه

وقال الباحث الأمني لدى «ديب إنستينكت»، توم نيبرفسكي، في مقابلة مع شبكة «zdnet.com» المتخصصة في تقنية المعلومات، إن «ماي لوبوت» يأتي مجهزاً بثلاث طبقات مختلفة من تقنيات التمويه والتخفي والتهرب، تتسم بأنها معقدة ونادرة و«لم يسبق لها مثيل من قبل»، لكن الشواهد الأولية تقول إن له علاقة ببرنامج «لوكي» الخبيث الشهير الذي يعد من أخطر البرامج التي تنفذ هجمات «الفدية»، وانتشر بصورة كبيرة خلال الربع الأخير من عام 2017، وكان واحداً من أكثر أشكال البرمجيات الخبيثة غزارة خلال العام الماضي، كما وصف بأنه «برنامج خبيث لا ينتهي».

وأكد نيبرفسكي أن الطبيعة المتطورة لروبوت «ماي لوبوت» تشير إلى أن من يقفون وراءه، هم مهاجمون محترفون يعرفون ما يفعلون، لكونهم دمجوا ثلاث طبقات للتنكر والتمويه والتخفي في هذا الروبوت، تسمح له بتجاوز العديد من الأدوات الشهيرة المستخدمة حالياً في كشف وتعقب البرمجيات الخبيثة، فضلاً عن أنه يشغل الملفات التنفيذية الخاصة به من الذاكرة الالكترونية للجهاز مباشرة، دون الحاجة إلى تنزيلها وتخزينها على وحدة التخزين، وهي تقنية ليست شائعة ولم تكتشف إلا عام 2016، ووجودها يزيد من صعوبة اكتشاف البرامج الضارة وتعقبها.

ولا تتوقف وسائل التمويه والتخفي عند هذا الحد، بل تتضمن تكتيكاً جديداً آخر، وهو أن «ماي لوبوت» بعد أن يسيطر على الجهاز ويتمكن منه، يظل كامناً لفترة تصل إلى أكثر من 14 يوماً، دون أن يقوم بأي نشاط أو حتى يحاول الاتصال بمالكيه ومشغليه من المهاجمين، ما يساعده على تجاوز حلول الأمان عبر الإنترنت.

ليست عملية هواة

أشار التحذير الأمني إلى أنه لايزال من غير الواضح من هو المهاجم الذي يقف وراء «ماي لوبوت»، وكيف يتم تسليم البرمجيات الخبيثة، أو حتى ما هو هدفهم النهائي. لكن الشيء الوحيد الذي استخلصه الباحثون من تعقيد المخطط هو أنه ليس عملية هواة، بدليل أن الروبوت يحاول الاتصال بـ1404 من نطاقات الاسماء المستخدمة مع المواقع والأجهزة مرة واحدة، وهذا مؤشر الى الموارد الكبيرة والخبرات المتقدمة التي يمتلكها المهاجمون، وتتيح لهم استهداف هذا العدد الكبير من نطاقات الأسماء مرة واحدة.

آلية العمل

وفقاً لما أوردته «ديب إنستينكت»، فإن بداية نشاط «ماي لوبوت» تتمثل في إيقاف برنامج الحماية الموجود في «ويندوز»، والمعروف باسم «ويندوز ديفندر»، يليه ايقاف برنامج التحديث الخاص بنظام التشغيل، ثم يحظر المنافذ الإضافية على جدار الحماية، ويتخذ بعد ذلك كل الأساليب للتأكد من أن نشاطه الخبيث يمكن أن يعمل دون إعاقة، ومنها استهداف وإزالة أي آثار لأي برامج ضارة أخرى تم تثبيتها سابقاً على الجهاز، حتى لو كانت ترتبط بروبوتات برمجية أخرى.

ولفت نيبرفسكي إلى أن بدء النشاط على هذا النحو يستهدف القضاء على المنافسة من أجل ضمان سيطرة المهاجمين على أكبر شبكة من أجهزة الكمبيوتر المصابة، وتحقيق أقصى استفادة من إساءة استخدام الآلات المخترقة قدر الإمكان.

وبمجرد أن يكون الكمبيوتر جزءاً من شبكة الروبوتات المكونة من نسخ أخرى من «ماي لوبوت»، فإنه يمكن للمهاجم أن يتحكم بشكل كامل في أنظمة تشغيل جميع الاجهزة في وقت واحد، كما يمكن توصيل حمولات إضافية وإرشادات من خادم الأوامر والتحكم.

والضرر المتوقع هنا يعتمد على طبيعة البرامج الخبيثة التي يقرر المهاجم أن يوزعها، وهذه يمكن أن تختلف وتتنوع بين برامج الفدية وأحصنة طروادة المصرفية، ما يمكن أن يتسبب في فقدان كمية هائلة من البيانات، والحاجة إلى إيقاف تشغيل أجهزة الكمبيوتر لأغراض الاسترداد، ما يترتب على ذلك اضطراب شديد وخسائر مادية فادحة داخل المؤسسات والشركات التي تعرضت للهجوم.

صعوبات المواجهة

أورد التحذير خمس نقاط قال إنها تمثل صعوبات في مواجهة «ماي لوبوت»، وهي الطبيعة الدولية للهجمة، إذ إن من يقف خلفه في الغالب شركات ناشئة محترفة غير معروفة، فضلاً عن أن الضحايا لا يستخدمون أدوات الوقاية الكافية والفعالة، إما بسبب نقص الوعي أو الكلفة الباهظة، ونقص الخبرة الفنية كأسباب لعدم استخدام الأدوات بشكل كامل، مشيراً إلى أن العديد من الأجهزة عرضة للاختراق، نظراً لكونها خارج دعم البائع، وعدم وجود تعليم للمستخدمين حول التهديدات الموزعة، إضافة إلى أن مطوري المنتجات والمصنعين والبائعين للأجهزة والبرمجيات ليس لديهم دوافع لتقليل الكلفة والوقت اللازمين للتأمين.