تحديد هوية السلوك البشري ينقذ العالم من الهجمات الإلكترونية

شكل ارتباط حياة البشر بمجموعة كبيرة من الكمبيوترات تربية خصبة للهجمات الإرهابية الرقمية، حيث يتصيد القراصنة الثغرات الأمنية للبرمجيات للدخول منها والعبث بالبيانات الشخصية، وقد أعلن عدد كبير من الدول أواخر الأسبوع الماضي عن تعرضها لتهديد حقيقيا طال الكثير من المؤسسات الحكومية.
الاثنين 2017/05/15
سيطرة مقنعة

لندن - تعرضت عشرات الآلاف من أجهزة الكمبيوتر في نحو 100 دولة لهجوم إلكتروني عالمي استخدم أدوات للتسلل الإلكتروني يُعتقد أن وكالة الأمن القومي الأميركية طورتها مما عطل نظام قطاع الصحة في بريطانيا وشركة (فيديكس) العالمية للبريد السريع.

وخدع المتسللون ضحاياهم ليفتحوا برامج خبيثة في مرفقات برسائل إلكترونية مؤذية بدت وكأنها تحتوي على فواتير وعروض لوظائف وتحذيرات أمنية وغيرها من الملفات القانونية.

وشفر برنامج رانسوموار أو الفدية الخبيثة بيانات أجهزة الكمبيوتر وطالب بمبالغ مالية ما بين 300 و600 دولار كي تعود الأجهزة إلى العمل بشكل طبيعي.

وقال باحثون أمنيون إنهم لاحظوا أن بعض الضحايا دفعوا بواسطة عملة بيتكوين الرقمية رغم أنهم لا يعلمون النسبة التي تم إعطاؤها للمتسللين.

وأفاد باحثون يعملون لدى شركة أفاست لبرامج الأمن الإلكتروني أنهم رصدوا 57 ألف إصابة في 99 دولة وكانت روسيا وأوكرانيا وتايوان الأكثر تضررا.

وذكرت وكالة أنباء الصين الجديدة شينخوا أن بعض المدارس الثانوية والجامعات تأثرت دون تحديد عددها أو أسمائها.

وأكثر الهجمات تأثيرا كانت في بريطانيا حيث اضطرت مستشفيات وعيادات إلى صرف المرضى بعد أن فقدت القدرة على الدخول إلى أجهزة الكمبيوتر.

وقالت شركة فيديكس إن بعض أجهزتها التي تعمل بنظام تشغيل ويندوز تأثرت أيضا، موضحة في بيان “نتخذ خطوات لعلاج المشكلة بأسرع وقت ممكن”.

وصرح فيكرام تاكور مدير الأبحاث بشركة سيمانتيك للأمن الإلكتروني بأن عددا صغيرا من المنظمات في الولايات المتحدة تأثر بالهجوم الإلكتروني، إذ أن المتسللين استهلوا حملتهم في ما يبدو باستهداف منظمات في أوروبا.

وأضاف أن المتسللين عندما حولوا انتباههم إلى الولايات المتحدة كانت مرشحات الرسائل الإلكترونية الخبيثة تعرفت على التهديد الجديد.

وتراجعت الإصابة بالبرنامج الخبيث بشكل كبير بعد أن اشترى باحث أمني بطريق الصدفة نطاقا مرتبطا بالبرنامج الخبيث مما أضعف من فاعليته.

الآلاف من أجهزة الكمبيوتر التي تعرضت لهجوم فدية خبيثة، طالبت بمبالغ مالية مقابل إعادتها للعمل

وقال تاكور إن تنشيط النطاق أضعف في ما يبدو انتشار البرنامج الخبيث، مضيفا “العدد منخفض جدا ويتراجع سريعا”، إلا أنه حذر من أن أي تغيير في الشفرة الأساسية قد يؤدي إلى انتشار واسع للبرنامج الخبيث من جديد.

وقالت وزارة الأمن الداخلي الأميركية إنها على علم بتقارير الهجوم الإلكتروني وإنها تتبادل المعلومات مع شركائها المحليين وفي الخارج ومستعدة لتقديم الدعم الفني.

وكانت شركة تليفونيكا الإسبانية للاتصالات من بين عدة أهداف في إسبانيا غير أن الهجوم اقتصر على بعض أجهزة الكمبيوتر على شبكة داخلية ولم يؤثر على عملاء أو خدمات. وأكدت شركة برتغال تليكوم للاتصالات وشركة تليفونيكا الأرجنتينية للاتصالات أنهما تأثرتا أيضا.

وقالت شركات أمنية خاصة إن برنامج رانسوموار شكل جديد لبرنامج “واناكراي” الخبيث القادر على الانتشار بشكل آلي عبر شبكات واسعة باستغلال ثغرة معروفة في نظام التشغيل ويندوز التابع لمايكروسوفت.

ولم تعلن أي جهة مسؤوليتها عن البرنامج الخبيث، وقال باحثون في عدد من شركات أمن الإنترنت إنه من المرجح أن هؤلاء المتسللين حولوا رانسوموار إلى برنامج خبيث ينشر نفسه سريعا باستغلال جزء من شفرة تابعة لوكالة الأمن القومي الأميركية تعرف باسم إترنال بلو كانت مجموعة تعرف باسم شادو بروكرز كشفت عنها الشهر الماضي.

وقال ريتش بارجر مدير أبحاث مكافحة التهديدات بشركة سبلانك وهي واحدة من الشركات التي ربطت برنامج واناكراي الخبيث بوكالة الأمن القومي الأميركية، إن هذا إحدى كبرى هجمات الفدية الخبيثة التي تتعرض لها الشبكة العنكبوتية.

وكشفت مجموعة شادو بروكرز عن إترنال بلو في إطار أدوات تسلل إلكتروني قالت إنها تابعة للمخابرات الأميركية.

وقالت مايكروسوفت إنها تقوم بتحديث آلي لنظام ويندوز لحماية عملائها من واناكراي وأصدرت مجموعة تحديثات أخرى في 14 مارس لحمايتهم من إترنال بلو.

وأفادت في بيان الجمعة الماضي “اليوم يضيف مهندسونا وسائل كشف وحماية للوقاية من البرنامج الخبيث الجديد المعروف باسم رانسوم: وين32.وانا كريبت”، مضيفة أنها تعمل مع العملاء لتقديم مساعدة إضافية.

ويأتي انتشار برنامج الفدية الخبيثة في ختام أسبوع من الفوضى الإلكترونية في أوروبا التي بدأت الأسبوع الماضي عندما نشر متسللون وثائق من حملة مرشح انتخابات الرئاسة الفرنسية إيمانويل ماكرون قبيل بدء الجولة الثانية من الانتخابات التي فاز بها ماكرون.

وعطل متسللون الأربعاء الماضي مواقع عدة شركات إعلامية فرنسية وشركة أيرباص العملاقة كما يأتي الهجوم الإلكتروني قبل أربعة أسابيع من الانتخابات العامة البريطانية.

واستعدت السلطات البريطانية للهجمات الإلكترونية قبل الانتخابات كما حدث مع الانتخابات الأميركية العام الماضي وفي عشية الانتخابات الفرنسية.

وتعرضت أيضا وزارتا الداخلية والطوارئ الروسيتان وبنك سبيربانك أكبر البنوك في روسيا للهجوم الإلكتروني.

الهاكرز يشن على عدد كبير من المؤسسات الدولية حربا رقمية

وقالت وزارة الداخلية الروسية على موقعها على الإنترنت إن نحو ألف جهاز كمبيوتر تضررت لكنها تمكنت من احتواء الفيروس. وكشفت وزارة الطوارئ لوكالات الأنباء الروسية أنها صدت الهجوم في حين قال بنك سبيربانك إن أنظمة الأمن الإلكترونية بالبنك منعت الفيروس من دخول أنظمته.

وأكدت هيئة تنظيم الاتصالات الإماراتية (حكومية)، أن الخدمات الحكومية الإلكترونية في الدولة لم تتأثر بهجوم برمجيات الفدية الخبيثة الذي ضرب الآلاف من المؤسسات حول العالم خلال الساعات الماضية.

وأضافت الهيئة في بيان مقتضب “أفاد فريق الاستجابة لطوارئ الحاسب لدينا، بأنه حتى الآن لم تردنا أي حالات بتأثر الخدمات الحكومية الإلكترونية في الدولة بهجمات الفدية الخبيثة”.

وتابعت “نهيب بالمسؤولين عن الأنظمة رفع درجة الجاهزية والمراقبة المستمرة للأنظمة لديهم، وإبلاغ الهيئة في حالة تعرض أجهزتهم لهذا الفيروس”.

وأصدر مركز الأمن الإلكتروني السعودي (حكومي)، تحذيرا من هجوم الفدية الخبيثة، الذي يصيب الأجهزة العاملة بنظام ويندوز دون أن يوضح ما إذا كان الهجوم طال كمبيوترات في المملكة من عدمه. ونصح المركز عبر حسابه الرسمي على تويتر أصحاب الكمبيوترات التي قد تتعرض للهجوم بعمل بعض الخطوات بشكل عاجل جدا.

وأعلنت روسيا أنها حدّدت موضع انطلاق هجوم الفدية الخبيثة، وقالت إن العمل جار للقضاء عليه، دون تقديم توضيحات أخرى.

ونقلت وكالة الإعلام الروسية عن البنك المركزي الروسي قوله إنه رصد هجمات إلكترونية ضخمة عبر الإنترنت على بنوك محلية تمكنت من صدها بنجاح.

وذكرت وسائل إعلام محلية أن سكك الحديد الروسية المملوكة للدولة دافعت بنجاح أيضا عن نفسها ضد هجوم إلكتروني.

إرهاب رقمي

بات على البشر تخيل حياتهم الشخصية مرتبطة بجيش من الكمبيوترات تعمل بتوجيه من اتحاد إرهابي، أو حكومة أجنبية، حيث صار الحجم الهائل لهذه الشبكة من الآلات يضاعف القوة الحاسوبية لقرصان منفرد مما يسمح لهذا القرصان بتنسيق هجمات قادرة على قطع الربط عن مواقع مهمة في الشبكة العنكبوتية تنتمي إلى بنوك ووسائل إعلام اجتماعي ومؤسسات إخبارية.

وهذه الشبكات التي يطلق عليها اسم بوتنت يمكنها تعطيل البنية التحتية للإنترنت وتسهيل السرقة والتجسس على نطاق واسع، وحتى تغيير الآراء السياسية. وهذا التأثير الخفي يمكن أن يشكّل ميول الناخبين ويؤثر على سياسات حكومية برمتها، وكل هذا يدار من لوحة مفاتيح في مكان مريح في أي بقعة من العالم.

يعتبر البوت ببساطة شيفرة يمكن إدخالها في أي جهاز يتولى في ما بعد التحكم في متصفح الإنترنت لدى المستخدم. ومن هنا يمكن للبوت أن يراقب كل أنشطة الجهاز على الإنترنت بما في ذلك معلومات تسجيل الدخول إلى البريد الإلكتروني والإعلام الاجتماعي والحسابات البنكية. ويمكنه القيام بتفاعلاته الخاصة به مع الإنترنت، دون علم الشخص الذي يملك الجهاز المستولى عليه.

وقال عمري اللوز المدير التنفيذي والمؤسس المشارك لشركة باريمتراكس إن آخر جيل من البوتات يستطيع إحداث حسابات مستخدم مزيفة عبر الأجهزة التي يستولي عليها. وأضاف “يأخذون معلومات غوغل الخاصة بك وينشئون حسابا على الفيسبوك ومن ثم يتحكمون في المنشورات. وإذا استطاعوا التحكم في مليون حساب على الفيسبوك يمكنهم نشر أي شيء يريدون ويعجبون ببعضهم البعض”.

واتهم عدد من البلدان، منها الولايات المتحدة ومؤخرا فرنسا، روسيا باستعمال البوتنت لنشر معلومات مضللة أثناء الحملات السياسية، سواء لتبديل ميول الناخبين أو لبذر الشك في المسار الانتخابي، أو لإحداث التشويش في فضاء معلوماتي مزدحم ومشوش أصلا.

وتابع اللوز “فجأة لديك مقالات يمكن أن تحتوي على أي نوع من المحتوى الذي تريده لخدمة أي أجندا سياسية. إن مليون إعجاب على أي منشور تجلب الانتباه في أي مكان من العالم”.

وأوضح “تنتشر أغلب البوتات عبر أجهزة موصولة بما يسمى إنترنت الأشياء، وهذه تضم كاميرات الواب، أجهزة دي.في.آر وأجهزة توجيه روترز ومعدات ذكية أخرى. إن أمن أجهزة كهذه متدن كفاية ليمكّن البوتات من استعمال قائمة من كلمات السر الافتراضية مثل ‘123’ أو ‘أدمين’ وتخمن طريقها للدخول إلى المنظومة”.

ومثالا على ذلك قامت بوتنات واسعة النطاق تعرف باسم ميراي بإفساد أجهزة إنترنت الأشياء ونفذت هجمات حجب الخدمة. استهدفت ميراي البنية التحتية للإنترنت وبالخصوص مزود أسماء النطاقات داين في أكتوبر الماضي وحولت عددا من المواقع المشهورة بما في ذلك تويتر ونيويورك تايمز غير متاحة مؤقتا. واستهدفت هجمات مماثلة مزود اتصالات هاتفية في ليبيريا مما تسبب في انقطاع خدمة الإنترنت عن البلاد بأكملها بصفة مؤقتة.

يركز الكثير من الخبراء على القدرات التعطيلية لهجمات حجب الخدمة من قبل بوتنت وحملات المعلومات المضللة التي يمكنها تنفيذها، باستطاعة بوتنت تسهيل أنواع أخرى من النشاط الخبيث

وتستطيع هجمات حجب الخدمة القوية غمر فرق الأمن، مما يخلق احتمال هجوم مضلل يساعد القراصنة على التسلل إلى الشبكات بينما يكون المدافعون منشغلين بالهجوم الشرس لبوتنت.

وعلق كفيين رايد، نائب رئيس الأمن الوطني وضابط المعلومات الكبير في شركة كيلوجيك “بعض الهجمات يمكن أن تكون مجرد هجمات خادعة، ولحل هذا المشكل تحتاج الولايات المتحدة طرقا ليس فقط لرصد الهجمات المتعددة التي تحدث بل وكذلك لتقفيها. وإلا فإن المدافعين يمكن أن يغفلوا عن شيء يجري في الخلفية لأن أمامهم عدة بوتنتات تنفذ هجومات متزامنة للتضليل”.

تأجير بوتنت لأطراف أخرى

بينما يركز الكثير من الخبراء على القدرات التعطيلية لهجمات حجب الخدمة من قبل بوتنت وحملات المعلومات المضللة التي يمكنها تنفيذها، باستطاعة بوتنت تسهيل أنواع أخرى من النشاط الخبيث. وقد تكون معروفة أكثر بالجريمة السيبرانية بدوافع ربحية عبر تأجير بوتنت لأطراف أخرى. يستطيع المجرمون عن طريق اختلاس المعلومات الخاصة (مثل تلك الموجودة في تسرب معلومات المليار مستخدم بعد أن تعرضت ياهو لاختراقات)، سرقة معلومات مالية ونشر رسائل مزعجة ونشر فيروسات فدية لابتزاز المال من شركات في كافة أرجاء العالم.

وعادة ما يستعمل الجواسيس بوتنتات إجرامية لتسهيل جهود جمع معلومات استخباراتية، وعبر رفض توقيف مجرمي الإنترنت فإن الحكومة الروسية تأويهم وتطلق لهم العنان لتوسيع شبكات بوتنت لديهم، وفي أثناء كل ذلك يختلسون النظر من فوق أكتافهم.

وعلى سبيل المثال قام المجرم السيبراني أفجني بوغاتشوف، الذي اشتهر بخلق بوتنت غيم.أوفر زيوس التي تحكمت في عدد من الكمبيوترات يصل إلى مليون كمبيوتر مرة واحدة، بتسهيل التجسس الروسية في تركيا الهادفة إلى تتبع مخابئ الأسلحة المنقولة إلى سوريا في سنة 2013 بعد أن شرعت إدارة أوباما في تسليح المتمردين السوريين. في الواقع اشتغلت الاستخبارات الروسية متخفية بخطة جريمة سيبرانية، موفرة على نفسها عمل القرصنة والنفاذ إلى الكمبيوترات وعوضا عن ذلك ركبت على ظهر خطة إجرامية ناجحة لاستنزاف الحسابات البنكية للضحايا.

ومع انتشار استعمال بوتنت في حملات التضليل الإعلامي والإجرام السيبراني والتجسس يجب تطوير طرق للتخفيف من ضررها. وأحد الخيارات هو خلق بوتنت أخرى لقرصنة الكمبيوترات المتضررة ببوتنتات إجرامية وإقفالها.

وقال آدم مايرز، نائب رئيس الذكاء في شركة كراودسترايك إن شركته ساعدت وزارة العدل في محاربة بوتنت كليهوس عن طريق السيطرة على النطاقات التي استعملها المتحكم في بوتنت. هنا تم إحداث ما يسمى ثقب حوض، وهو ما يعني “تأسيس سيرفر يتحكم فيه أعوان تطبيق القانون يتخاطب معه بوتنت لطلب التوجيهات، مما يمكّن من كشف مكان قدوم هذه الاتصالات”.

وأضاف أنه باستعمال هذه المعلومات تمكّن المحققون الفيدراليون من “إعلام مزودي الخدمات بأن لديهم أنظمة في بنيتهم التحتية تعرضت لهجوم كليهوس وتحتاج إلى الإصلاح”.

أما الصناعة الخاصة فهي تعتمد مقاربة مختلفة. وفي هذا السياق أفاد اللوز بأن “تحديد جهاز بوت أمر صعب، ويكاد يكون مستحيلا، لكن تحديد الأشخاص مازال ممكنا”. يمكن تعديل البوتات لتغيير سلوكها حتى لا يتم كشفها، لكن اللوز قال “إذا تمكنت من تحديد هوية سلوك بشري عندها تكون قادرا على تعطيل أي جهاز بوت”.

12