بعد أن اكتشف ثغرة استغلها لإعداد تحديث يقضي على أخطر برامجها

باحث أمني يوقف هجمات «عصابة إلكترونية» مدة 6 أشهر

فِرق أمن المعلومات وزعت التحديث الأمني سراً على آلاف المؤسسات والشركات عالمياً. من المصدر

تمكن باحث في مجال الأمن الإلكتروني من رصد ثغرة خطيرة في أخطر البرامج الضارة التي تنتجها عصابة «بوت نت إيموتيت»، التي تصنف حالياً على أنها أكبر عصابات الجريمة الإلكترونية العالمية المنظمة عبر الفضاء الإلكتروني، حيث تمكن الباحث من استغلال الثغرة في إعداد تحديث أمني نجح في القضاء على البرنامج، وجعله كأنه لم يكن.

لكن الفريق الأمني الذي ينتمي إليه الباحث تكتم على الأمر، ومن ثم وزع التحديث سراً على الآلاف من مسؤولي أمن المعلومات حول العالم، ما أفقد العصابة توازنها وقدرتها على شن هجمات جديدة لمدة ستة أشهر، منذ فبراير الماضي، قبل أن تصلح الخطأ في برامجها وتستعيد قدرتها على الهجوم.

مواجهة

وظهرت تفاصيل تلك المواجهة على موقع شركة «باينري ديفينس» المتخصصة في أمن المعلومات، عبر تقرير كتبه محلل البرمجيات الخبيثة الذي يعمل لمصلحة الشركة، جيمس كوين، وأوضح خلاله أنه في المعتاد ينشئ مؤلفو البرامج الضارة الكود الخاص بهم، ويوزعونه على الضحايا عبر طرق مختلفة، ويقوم خبراء أمن المعلومات بعمل تحديثات أمنية تقاومه، وحينما ينتهون من ذلك، يكون المهاجمون قاموا بإجراء تغييرات طفيفة في التعليمات البرمجية الخاصة بهم لاستعادة ميزتهم الهجومية بسرعة، لكن في هذه الجولة انقلبت الآية، وتحولت برامج العصابة إلى هدف برمجي يحوي ثغرة أمنية قابلة للاستغلال في شن هجوم على البرنامج وتحطيمه، تماماً كما تفعل البرامج الضارة مع الحاسبات وشبكات المعلومات دائماً.

نقطة البداية

وقال كوين في تقريره إن نقطة البداية كانت حينما رصد تغييراً في الكود المستخدم في واحدة من البرمجيات الضارة التي استخدمتها العصابة في إحدى الهجمات المنفذة، أول فبراير الماضي، وعند تحليل هذا التغيير، وجد أنه تغيير في جزء من البرنامج الضار يسمى «آلية المثابرة»، ويسمح للبرامج الضارة بالبقاء قيد العمل من دون توقف عند إعادة تشغيل الحاسب، مشيراً إلى أنه بمقتضى هذا التغيير بات برنامج «إيموتيت» الضار ينشئ لنفسه مفتاح تشفير يحمل اسم «إكس أو آر» ويضعه بداخله، لينفذ عملية «المثابرة على العمل».

وأضاف كوين أنه رصد في هذه النقطة ثغرة قاتلة، هي أن مفتاح التشفير «إكس أو آر» يعمل أيضاً ضمن الفحوص العديدة التي تتم على الكود الكامل للبرنامج، بما في ذلك جزء يطلق عليه «روتين ما قبل الإصابة»، المسؤول عن جعل البرنامج الضار يبدأ العمل.

وتابع أنه من هنا تبينت له إمكانية إصدار أوامر عكسية للبرنامج الضار، عبر ثغرة «روتين ما قبل الإصابة»، لتفعل عكس المطلوب منها، أي توقف البرنامج الضار بدلاً من دفعه للعمل، لافتاً إلى أنه من خلال عشرات المحاولات من التجربة والخطأ، تمكن من تجميع نص برمجي كودي صغير «باور شيل»، يقوم ببناء مفتاح تسجيل مشوه، بدلاً من مفتاح التسجيل الأصلي، ويصدر تعليمات عكسية تعطل «إيموتيت» بالكامل بدلاً من دفعه للعمل.

«محطم إيمو»

وأفاد كوين بأنه واصل عمله إلى أن أعد تحديثاً أمنياً كاملاً، أطلق عليه «محطم إيمو»، وقام بتشغيله على حاسب غير مصاب ببرنامج «إيموتيت» الضار، ثم حاول إصابة الحاسب بالبرنامج الضار عن عمد، فقام مفتاح التسجيل المشوه بتحطيم البرنامج الضار، وحقق حماية تامة للحاسب، ثم شغل التحديث الأمني على حاسبات مصابة بالفعل ببرنامج «إيموتيت»، فقام التحديث باستبدال مفتاح التسجيل المشوه بمفتاح التسجيل الأصلي للبرنامج الضار، ومن ثم تعطل البرنامج الضار عن العمل، وفقد أهم ميزة له على الإطلاق، وهي الاتصال بخادم التحكم والسيطرة التابع للعصابة.

خلف الكواليس

ذكر كوين أنه قرر وزملاء له داخل الشركة، مع فريق أمني من شركة أمن معلومات أخرى تدعى «سيمرو»، التحديث ليقوم بمهام أخرى، منها معرفة توقيت الإصابة ببرامج «إيموتيت» الضارة، وأماكن الإصابة بها، ثم قرروا أن يظل «محطم إيمو» قيد الكتمان والسرية التامة، خشية أن تتنبه له العصابة، وتقوم بسد الثغرة الموجودة ببرامجها.

وقال إنهم عملوا من خلف الكواليس، والاتصال بطريقة آمنة، بفريق الاستجابة للطوارئ الأمنية الأميركي «سيرت» لنشر «محطم إيمو» سراً، وهو ما تم بالفعل، حيث تم النشر على 125 من فرق «سيرت» المماثلة في دول مختلفة، وقامت بدورها بتوصيل التحديث إلى أكثر من 6000 مؤسسة وشركة، حيث ساعد هذا الجهد على أن يشق «محطم إيمو» طريقه حول العالم، ويوقف مئات من الهجمات.

رد فعل

وأشار كوين إلى أن العصابة فقدت قدرتها على المبادرة والحركة، وكرد فعل قامت بإجراء سلسلة طويلة من تغييرات في أكوادها، لكنها لم تنجح في كشف ما حدث، إلى أن قامت بحذف وتغيير الكود الخاص بآلية المثابرة بالكامل، وطرح آخر جديد، ما أبطل مفعول التحديث الأمني، بعد أن ظل يعمل بكفاءة لستة أشهر.


- الثغرة تكمن في كود إبقاء البرنامج الضار قيد العمل عند تشغيل الحاسب.

طباعة