من هي البرمجية الخبيثة “شمعون” التي ضربت السعودية؟

من هي البرمجية الخبيثة “شمعون”؟ سؤال يدور في ذهن الكثيرين بعد عودة هذه البرمجية الخبيثة إلى الواجهة بعد الكشف عن الهجمات الإلكترونية والاختراقات التي تعرضت لها بعض المؤسسات الحكومية والمالية والمنشأة الصناعية و البترولية السعودية.

برمجية “شمعون” الخبيثة التي تعرف أيضا باسم disttrack، هي أداة متعددة الأغراض، يشابه سلوكها سلوك الدودة التي عند اختراقها النظم المعلوماتية تعمل على التمدد ومحاولة اختراق النظم الأخرى المتصلة في شبكة الاتصال المحلية  للمؤسسة المستهدفة. وذلك عن طريق الحصول على صلاحيات مدير النظام أي التعريف وكلمات المرور، التي تكون قد سرقت عبر الهندسة الاجتماعية من خلال عمليةاصطياد، وثم الدخول إلى الشبكة لمسح الشبكة الداخلية للتّعرف على أنظمة وأجهزة الشبكة، ثم نسخ الملفات الخبيثة إلى أحد أجهزة الشبكة ونشرها على الأجهزة الأخرى باستخدام اتصال الشبكة نفسه، وأخيرا تشغيل البرمجية الخبيثة عن بعد لتدمير البيانات وسجلات الاقلاع واتلاف النظم المعلوماتية المخترقة وجعلها غير قابلة للاستخدام.

ومن الممكن ان تختبئ البرمجية الخبيثة “شمعون” لمدة طويلة دون أن تكشف، للقيام بعمليات المسح والحصول على صلاحيات مدراء الأنظمة المعلوماتية في المؤسسات والمنشأة المستهدفة بهجمات الكترونية.

وفي عودة لهجمات “شمعون” بنسختها الثانية Shamoon2.0 وحسب مصادر الأمن الوطني الإلكتروني السعودي “تعرضت 11 جهة لأضرار من الهجوم، حيث تأثر أكثر من 1,800 خادم/ سيرفر فيها و تم تعطيل أكثر من تسعة الالاف جهاز كومبيوتر (ارقام اضعها مع التحفظ، اذ من الصعب ان يكون عدد الخوادم و الأجهزة التي ضربت محدود بالنسبة لعدد الجهات التي استهدفت؟)

دائما حسب مصادر الأمن الوطني الإلكتروني السعودي “أدت هذه الهجمات إلى حذف كافة البيانات من الأجهزة التي اخترقت، و أيضا أدت إلى تدمير بعض من أنظمة التشغيل “ويندوز”.

يبدو ان برمجية خبيثة أخرى دخلت على الخط مع “شمعون” لتشفير البيانات بخوارزميات التشفير Rivest Cipher 4/ RC4 لطلب فدية مقابل فك التشفير.

في هذا الحين انشغلت المواقع الإلكترونية وبعض وسائل الإعلام لإيجاد وصف يخرج عن المألوف لبرمجية “شمعون” المدمرة بنسختها الثانية. والتي كانت قد ضربت السعودية وبعض دول الخليج في نوفمبر وفي ديسمبر 2016. لقد صعقت من الأوصاف و الجدل حول تعقيد “شمعون2”  و تصريحات حول استخدام أساليب غير مسبوقة لشن الهجمات؟ فمن خلال تحليل قام به هاكرمن ذوي  “القبعات البيضاء” على مدونته coding and security  و نشر شيفرة و خوارزميات النسخة الثانية من برمجية “شمعون” الخبيثة،فهي تخالف كل تقارير شركات أمن المعلومات و تظهر ان البرمجية الخبيثة “شمعون” عادية وبالتالي لديها نفس سلوكيات البرمجيات الخبيثة المدمرة المعروفة، والتغيرات على خوارزميات البرمجية ليست مختلفة كثيرا عن النسخة الأولى التي استهدفت شركة أرامكو عام 2012و عطلت ثلاثين الف جهاز كمبيوتر مع كل البيانات التي تحويها.

المهمة الرئيسية لسلسلة هذه الشيفرة من مكونات شمعون 2 تحديد الشهر والسنة، إذا تناسق تاريخ اليوم مع الشهر والسنة المحددة لشن الهجمات و تعطيل برنامج مكافحة الفيروسات.

 تغيير السنةوالشهر يؤدي لتعطيل مهام برامج مكافحة الفيروسات

هذا يعني ان المشكلة الأولى هنا هي ليست عدم قدرة الهيئات الأمنية المعلوماتية من مواجهة البرمجية الخبيثة بل عدم وجود وعي كاف لمفاهيم الأمن الرقمي، وكيفية  التعامل بمسؤولية مع الأدوات المعلوماتية في الشركات والمؤسسات المستهدفة.

أبسط الأمور التي يجب مراعاتها :

• عدم فتح الروابط أو مرفقات البريد الإلكتروني المشبوهة من مصادر وأشخاص مجهولين.
• عدم تصفح مواقع مشبوهة، أو ليست ذات صلة بالعمل.
• عدم تحميل ملفات من مواقع إنترنت غير معروفة وموثوقة للمستخدم أو مشبوهة.
• تحديث أنظمة التشغيل والتطبيقات وبرامج مكافحة الفيروسات، والتأكد من تحديثها بشكل دوري وفاعل.
• الحد من عدد الموظفين والمختصين الذين يتمتعون بحسابات لديها صلاحيات إدارة الأنظمة على شبكات وأنظمة وتطبيقات المؤسسات والمنشأة، والتأكد من حاجة الموظف لهذه الصلاحيات.

تبقى النصيحة الدائمة ان يحرص المستخدم على التيقظ عند استخدامه خدمات الشبكة، و التنبه و الحذر في كل خطواته في دهاليز الإنترنتفي منزله و في عمله وتتبع خطوات و نصائح الأمن الرقمي لتفادي أخطار الاصطياد و الهجمات الإلكترونية.

نايلة الصليبي

أدوات لتنظيف ويندوزمن البرمجيات الإعلانية والبرمجيات الجاسوسة المتطفلة

تقترح نايلة الصليبي في  أدوات لتنظيف الكمبيوتر الذي يعمل بنظام التشغيل “ويندوز” من البرمجيات الإعلانية والبرمجيات الجاسوسة التي تتسلل للجهاز وتبطئ عمله وذلك دون الحاجة لإعادة تثبيت نظام التشغيل “ويندوز” من جديد.

بدأنا نرى اليوم في عالم المعلوماتية أخطارا معلوماتيا مختلفة عن التي عهدناها في العقد الماضي. لم تعد الفيروسات هي الهاجس الأمني الأول، لتتوالد وتتبعثر لتخرب وتلوث وتعطل، بل تحولت في يومنا هذا إلى نوع مختلف من التهديدات، منها البرمجيات الخبيثة والبرمجيات الجاسوسة التي تخترق بصمت للتجسس على بيانات المستخدم الثمينة.

هذه البرمجيات لا تكشفها برامج مكافحة الفيروسات التقليدية، التي بدورها تتطور وتتغير لمواجهة الأنواع الجديدة من الأخطار التي تحملها شبكة الإنترنت، منشيفرات تستغل الهفوات البرمجية والأمنية  في البرامج المعلوماتية المختلفة لاختراق الكمبيوتر. وهذا  يأتي أيضا نتيجة استخدامنا المتهور اليوم للمعلوماتية، فننقر على كل شيء بسرعة البرق، على الملفات المرفقة في البريد الإلكتروني أو الصور والروابط المزيفة، أو نزور مواقع ملغومة بشيفرات خبيثة تلوث متصفح الإنترنت وتتسلل لقلب الكمبيوتر. تحوي هذه البرمجيات الخبيثة خوارزميات متطورة ومعقدة تتيح لها أن تثبت نفسها في الكمبيوتر للتجسس ولنقل بيانات المستخدم، أو، السيطرة على الجهاز لاستخدامه في الهجمات والاختراقات الإلكترونية ومن دون أن يشعر المستخدم بذلك. أضف إلى كل هذا التهديد الاول اليوم والذي يشغل خبراء الأمن، ألا وهي برامج الفدية الـ Ransomware التي تشفر بيانات المستخدم وتطلب فدية.

في الواقع اغلبية أسئلة المستمعين التي تصل لبرنامج “إي ميل” مونت كارلو الدولية أو لمجلة “ديجيتال”، هي استفهامات حول كيفية التخلص من برمجيات إعلانية خبيثة غير مرغوب فيها. كالبرمجيات التي تخطف مثلا صفحة متصفح الإنترنت وتجبرعلى استخدام محرك بحث اعلاني متطفل ، وتستوطن أيضا شريط أدوات المتصفح، وتزعج المستخدم عند تصفحه الإنترنت بالنوافذ القافزة لإعلانات غير مرغوب فيها، وأيضا نضيف للائحة الإزعاجات طلبات برامج مكافحة الفيروسات المزيفة التي تبتز المستخدم  وغيرها من البرمجيات المتطفلة التي تغير أيضا مفاتيح قاعدة تسجيل نظام التشغيل “ويندوز” … هذا يسير من كثير.

لقد اقترحت برامج عديدة مجانية منها   AdwCleaner و Rogue Killerوأيضا برنامج   Malwarebytes anti-malware،الذي يتوفر بنسخة مدفوعة وبنسخة مجانية.

أضيف لها اليوم برنامجا من تطوير الفرنسي Nicolas Ladinetti يحمل اسمZHPcleaner يساعد على تنظيف أجهزة الكمبيوتر، التي تعمل بنظام التشغيل“ويندوز”، من البرمجيات الإعلانية والبرمجيات الجاسوسة التي تتسلل للجهاز وتبطئ عمله وذلك دون الحاجة لإعادة تثبيت نظام التشغيل “ويندوز” من جديد.

يقوم ZHPcleaner بمسح شامل للكمبيوتر لكشف البرمجيات المتطفلة، ومن ثم يفهرس البرمجيات التي عثر عليها والتي يجب حذفها من الكمبيوتر، وبعد يقوم بعملية التنظيف بعد موافقة المستخدم.وعند الانتهاء من عملية التنظيف يقدمZHPcleaner تقريرا مفصلا عن البيانات التي حذفت.

يتوفر برنامج ZHPcleaner بنسخة محمولة يمكن أطلاقها من مفتاح USB دون الحاجة لتثبيته في الكمبيوتر، ويقترح واجهة استخدام بسيطة وهو سهل الاستخدام، ويتناسق ومختلف اصدارات نظام التشغيل “ويندوز” وهو مجاني.

نايلة الصليبي

أندرويد من جديد في براثن برمجية خبيثة لجني المال من الإعلانات المزيفة…

تحذر  نايلة الصليبي من عودة برمجية HummingBad الخبيثة بنسخة جديدة تحت اسم HummingWhale لاختراق الهواتف الذكية التي تعمل بنظام التشغيل “أندرويد”.من أجل الربح المالي من الإعلانات المزيفة.

 

تذكرون حذرتكم في يوليو 2016من برمجية خبيثة صينية أطلق عليها اسمHummingBad، اخترقت حوالي الـ10 ملايين جهاز “أندرويد” في العالم وجنت عائدات مادية للقراصنة تصل لغاية 3000الف دولار في الشهر. عن طريق بعثرة هذه البرمجية الخبيثة في تطبيقات “أندرويد”في متاجر غير موثوقة خارج متجر “غوغل بلاي”. و التي بعد التتبع وتحليل البرمجية الخبيثة من قبل،Check pointتبين أن وراء هذه البرمجية الخبيثة شركة صينية “شرعية” متخصصة في مجال الدعاية والإعلان الإلكتروني هي Yingmob، والتي تبلغ قيمتها السوقية مليارات الدولارات، والمخترقون ليسوا قراصنة فهم مطورون شرعيون، ويقومون عادة بتطوير برمجيات تتبع وبرمجيات إعلانية.

يعود خبراء أمن المعلومات للتحذير من عودة هذه البرمجية الخبيثة بنسخة مطورة أطلقوا عليها اسم .HummingWhale تتميز هذه النسخة المطورة من البرمجية الخبيثة بأنها تختبئ في تطبيقات موجودة في متجر غوغل الرسمي ،تقنيا او تكتيكيا، تستغل HummingWhale تقنيات الأجهزة الظاهرية أو تقنية الآلة الافتراضية الvirtual machine ـ. وهو برنامج يقوم بخلق بيئة افتراضية في الأجهزة وتكون منفصلة عن نظام التشغيل وتعمل كأنها الجهاز الأصلي. وهي متوفرة في مختلف الأجهزة. فعند تحميل التطبيق تثبت البرمجية الخبيثة نفسها في الجهاز وفي الآلة الافتراضية وتتلقى اوامرها من خادم القراصنة command and control server لتثبيت التطبيقات المزيفة وعرض الإعلانات المزيفة لتحصيل إيرادات مادية. وتقوم الآلات الافتراضية بصنع معرفات مزورة لتتمكن من رفع الإيرادات المادية من الإعلانات ،وذلك دون الحاجة للسيطرة الكاملة على جهاز الهاتف الذكي. وتعمل البرمجية الخبيثة HummingWhale بسرية،ولا يمكن للمستخدم التنبه بأن جهازه مستخدم للقيام بحصد أموال بشكل غير شرعي.

عن تواجد البرمجية الخبيثة في تطبيقات متوفرة في متجر غوغل بلاي، يشكك خبراء Check point بآمن هذا الأخير. معتبرين ان التطبيقات المتوفرة فيه، لا تعني بالضرورة انها آمنة بشكل مطلق ، بالرغم من الجهد و الخطوات الكبيرة التي تقوم بها شركة غوغل لكشف وحذف التطبيقات المزيفة التي تخبيئ برمجيات خبيثة .فعند زيارة المتجر و مراجعة التعليقات يمكن للمستخدم أن يقع  في فخ التعليقات الإيجابية، التي غالبا ما تكون مفبركة لهذا النوع من التطبيقات على نسق البرمجيات الخبيثة GooliGan  وCallJam .

وقد سحب متجر غوغل أكثر من عشرين تطبيقا ملوثا ببرمجيةHummingWhale  ويعمل على مراقبة بقية التطبيقات لكشف الوهمية منها.

اعود لتنبيه المستخدمين من ضرورة الحرص قبل تحميل أي تطبيق جديد من التريث ومراجعة الإنترنت وليس فقط التعليقات في المتجر.

هذا وقد طور خبراء check point تطبيقا تساعد على كشف هذه البرمجية الخبيثة. كذلك يتوفر تطبيق أخر من شركة LookOut لكشف التطبيقات الخبيثة من هذا النوع المزيف .

نايلة الصليبي

تستخدمون جيميل … احذروا الوقوع في فخ الاصطياد !

 

 عادت عمليات الاصطياد phishing القديمة الجديدة، لتخدع المستخدم لتستولي على بياناته الثمينة و هذه المرة عن طريق انتحال صفة “غوغل” من جديد للإيقاع بمن يستعملون خدمة البريد الإلكتروني Gmail.

مع تقنية “التوكن” بات عنوان البريد الإلكتروني وكلمة المرور المرافقة له المفتاح السحري لعدد كبير من الخدمات على شبكة الإنترنت خاصة مع خدمة Gmail.لذلك أصبح من لديهم حساب لدىGmailهدفا لحملة اصطياد غير مسبوقة.

من ابرز ضحايا هذا النوع من الاصطياد كان العام الماضي  كل من John Podesta، مدير حملة هيلاري كلينتون الانتخابية .مما أدى إلى اختراق خوادم مكتب الحملة الانتخابية للحزب الديمقراطي. وأيضا  من ضحايا هذا النوع من الاصطياد كان “كولن باول”، وزير خارجية جورج بوش الابن والجنرال السابق في الجيش الأمريكي. أسلوب عمل القراصنة هو الأسلوب التقليدي من خلال الرسائل الإلكترونية المزيفة مع ملف مرفق، ما ان ينقر عليه المستخدم، ينقله إلى صفحة مزيفة تشبه تماما صفحة الدخول لخدمات “غوغل”. وفي حينها استخدم القراصنة روابط  URL  قصيرة و كأنها من شركة “غوغل”.

وقد حذرت هذه الأخيرة أكثر من مرة من عمليات الاصطياد التي تطال عملائها. الذين يستخدمون خدمة Gmail  يعرفون ذلك خاصة حين يتلقوا تنبيهات عند اتصالهم بحساباتهم من أجهزة جديدة أو من بلدان معينة .

غير أن نهّم القراصنة جمّ ، فالبيانات التي تجمعها شركة “غوغل” من خدمة بريدها واسم المستخدم هائلة ،وتتيح معرفة أدق التفاصيل عن تحركات صاحب الحساب ومختلف بياناته وخدماته وحساباته على الإنترنت. فتخيلوا حجم الغنيمة.

كشفت شركة Wordfenceالمتخصصة في أمن المعلومات عن خدعة جديدة يلجأ إليها القراصنة للإيقاع بالمستخدمين، وهي تبدأ بالأسلوب التقليدي المعروف، أي إرسال بريد مزيف للمستخدم، وغالبا من حساب مخترق لشخص لديه عنوان هذا المستخدم او من معارفه. وتحوي الرسالة الإلكترونية ملفاً مرفقاً لصورة، يتعرف عليها المستخدم وينقر عليها لكي يعطيه Gmail لمحة مكبرة عن الصورة. وبدل الصورة يفتح متصفح الإنترنت صفحة مطابقة تماما لصفحة “غوغل” التي تطلب إعادة إدخال اسم المستخدم وكلمة المرور.

يقع المستخدم في الفخ ويعيد التسجيل. فتصبح بياناته في براثن القراصنة، الذين يتصلون مباشرة بالحساب لقرصنته وسحب البيانات وتوسيع دائرة القرصنة بجهات الاتصال الموجودة في حساب المستخدم، الذي لم يتنبه ولم يقرأ جيدا عنوان الصفحة المزيفة التي تحمل عنوان غوغل الرسمي ..accounts.google.com

ففي حال تعرضتم لهذا النوع من طلب إعادة الدخول للخدمة بشكل غير مبرر، انقروا على شريط العنوان. واذا قرأتم في بداية العنوان data :text/html,https// accounts.google.com  . هذا يعني  انها صفحة مزيفة وفخ القراصنة لاصطيادكم . فالـdata :text/ هو أمر يطلب من المتصفح تحميل البيانات من مصدر يشير له العنوان بشكل خفي، وليس تحميل الصفحة من  أسم النطاق المرفق أي google.com .

وهذا الأمر يخدع المستخدم الذي لا خبرة له، و يرى عنوان “غوغل” الذي يستعمله عادة للوصول لحساباته، فيثق بالصفحة ويقع في الفخ لإعادة ادخال بياناته ويستولي عليها القراصنة.

كذلك عند النقر على شريط العنوان الصفحة المزيفة URL ، نجد انه يحوي أيضا شيفرة javascript التي تتيح عرض صفحة الاتصال المزيفة بحساب “غوغل”.

للوقاية من هذا النوع من الاصطياد، التنبه عند بروز صفحة طلب إعادة ادخال التعريف على حساب “غوغل”، ان يكون اسم النطاق والعنوان هو accounts.google com   مع بروتوكول الأمان في بداية العنوان HTTPS وان يسبق العنوان صورة قفل باللون الأخضر تشير بأن الصفحة شرعية، و هي فعلا من شركة “غوغل” والأمر الثاني هو استخدام التعريف المزدوج Double Authentification أي استخدام كلمة مرور وربط الحساب برقم هاتف محمول.  وعند طلب الدخول من مكان جديد او جهاز جديد. أو عند طلب المستخدم إعادة التعريف للدخول إلى خدمات “غوغل” يرسل له على هاتفه رقم تأكيد للتعريف.

في حال وقعتم في الفخ ، عليكم تغيير كلمات مروركم بسرعة، وللفضوليين يمكن مراجعة لائحة الاتصال المتوفرة في حساب Gmail مع عناوين الـ  IP التي اتصلت بالحساب. لمعرفة مكان الاتصال غير المألوف لكم بحسابكم.

النصيحة الدائمة ان يبقى المستخدم متيقظ عند استخدامه خدمات الشبكة و التنبه و الحذر في كل خطواته في دهاليز الإنترنت.

نايلة الصليبي

 

 

أدوات لنقل وحفظ البيانات من هواتف أندرويد إلى كمبيوتر ويندوز

تقترح نايلة الصليبي  بعض الأدوات لتخطي مصاعب نقل البيانات وحفظها من الهواتف الذكية التي تعمل بنظام التشغيل أندرويد إلى أجهزة الكمبيوتر التي تعمل بنظام التشغيل ويندوز.

من الأسئلة العديدة والمتكررة من المستمعين وأيضا من الزملاء في الإذاعة التي تصلني هي حول كيفية تخطي مصاعب نقل بياناتهم وحفظها من هواتفهم التي تعمل بنظام التشغيل “أندرويد” . و بعضهم يستخدم samsung Kies لهواتفسامسونغ. غير انهم يتعرضون لمشكلة عدم تناسق جهازهم مع النسخة المتوفرة أو مع نظام تشغيل الكمبيوتر من إصدارات “ويندوز”.مما يعيق حفظ بياناتهم من الهاتف الذكي او لنقلها فيما بعد لهاتف جديد.

هنالك عدة برامج و تطبيقات بديلة والتي يمكنها أيضا التعامل مع مختلف الهواتف الذكية التي تعمل بنظام التشغيل “أندرويد” كسوني اريكسون ، موتورولا، HTC و غيرها.

من البرامج المجانية المتوفرة على الإنترنت:

 برنامج وتطبيق  تطوره شركة مقرها هونغ كونغ

 Apowersoft  Free Android Manager

الذي يتيح إدارة مختلف البيانات في هاتف الأندرويد وجهاز الكمبيوتر الذي يعمل بنظام التشغيل “ويندوز” .

يمكن مع برنامج Apowersoft  إدارة ملفات الموسيقى والصور، الفيديو و كل الملفات المتعددة الوسائط. ويتيح أيضا حذف ونقل الرسائل النصية القصيرة وحفظ التطبيقات المثبتة في هاتف “أندرويد “. ويمكنه  التناسق مع مختلف الأنواع وماركات أجهزة الهاتف الذكي التي تعمل بنظام التشغيل “أندرويد“.

البرنامج والتطبيق الثاني :

 MobilEdit غير أنه ليس مجانيا بالكامل. فهو يوفر بعض الخصائص مجانا لحفظ ونقل البيانات بين الهاتف الذكي الأندرويد والكمبيوتر ويوفر خصائص أخرى متطورة، غير أنها مدفوعة.

 يتميز MobilEdit بقدرته على التعامل مع مختلف الهواتف الذكية التي تعمل بنظام أندرويد،  بواجهة الاستخدام التي تشبه Windows Explorer ،  مما يسهل التعامل معه من الذين تعودوا استخدام نظام التشغيل #ويندوز.

برنامج مجاني أخر أقترحه :

 floAt’s Mobile Agentالذي يتعامل بشكل أساسي مع هواتف Sony Ericsson. يتفوق بقدرته التعامل مع إصدارات قديمة من نظام التشغيل“ويندوز” لإدارة وحفظ البيانات من هواتف “أندرويد“لجهاز الكمبيوتر، بربط الهاتف الذكي عبر كابل USB اوعبر اتصال لاسلكي Bluetooth .

كذلك يتوفر برنامج مجاني  MyPhone Explorer يُستخدم مع مختلف هواتف#أندرويد، يحتاج أحيانا لإضافة برنامج samsung Kies ليعمل بشكل صحيح مع بعد إصدارات هواتف سامسونغ. يعمل بشكل جيد مع مختلف الهواتف الذكية العاملة بنظام “أندرويد”. يمكن ربط الهاتف من خلال البلوتوث  وكابل USBوأيضا عبر الأشعة تحت الحمراء.Infrared وهي تقنية متوفرة في بعض الهواتف الذكية أندرويد. بالرغم من جودة برنامج MyPhone Explorer فإن واجهة استخدامه بدائية نوعا ما. وقد وجد البعض صعوبة في استخدامه.

وأخيرا أقترح خدمة مجانية عبرالإنترنت، للذين لديهم اتصال انترنت عالي السرعة، لمزامنة وادارة حفظ بيانات وملفات الهاتف الذكي في جهاز الكمبيوتر عبر خدمة موقع Airdroid.com،الذي يتطلب الحصول على تطبيق Airdroidمن مخزن Android Market .وربط الأجهزة ببعضها من خلال الراوتر المنزلي عبر شبكة الإنترنت. يقدم ميزات مختلفة وخصائص عدة اترك لكم متعة اكتشافها.

نايلة الصليبي