هجمات إلكترونية على منشآت حيوية هي الـ 4 خلال 7 أشهر

تعرضت بعض الجهات الحكومية والمنشآت الحيوية في السعودية بالأمس لهجمات إلكترونية مختلفة من نوع فايروس شمعون والفدية واستهدفت تعطيل الخوادم ومسح المعلومات والملفات ويعتبر هذا الهجوم الإلكتروني الرابع من نوعه على المواقع الحكومية السعودية في خلال الأشهر السبعة الأخيرة.

هيئة الاتصالات وتقنية المعلومات ممثلة بالمركز الوطني الإرشادي لأمن المعلومات سارعت بإطلاق تحذير من هجمات مستقبلية محتملة مطالبة جميع الجهات الحكومية والخاصة برفع مستوى الحيطة والحذر والتحقق من وجود الاحتياطات اللازمة.
أحد الجهات الحكومية التي تعرضت لهذا الهجوم الإلكتروني الأخير هي وزارة العمل والتنمية الاجتماعية وصندوق تنمية الموارد البشرية (هدف). انحصر الهجوم في بعض الصفحات الإلكترونية على مواقع الانترنت وبعض الأجهزة الطرفية للمستخدمين بينما لم تتأثر كافة قواعد البيانات المتعلقة ببيانات عملاء الوزارة و”هدف” من تبعات الهجوم الإلكتروني. الوزارة أكدت أن الخدمات الإلكترونية لوزارة العمل والتنمية الاجتماعية و”هدف” ستعود بشكل تدريجي وطبيعي خلال الفترة القادمة.

فيما تعرضت مجموعة من الشركات البتروكيميائية بالجبيل لهجمات إلكترونية مماثلة تسببت في تعطيل أنظمة العمل الإلكترونية فيها. حيث تلقت شركة صدارة للكيميائيات السعودية لهجوم أدى إلى تعطل شبكتها صباح يوم الإثنين بينما لم تتعرض عملياتها لأي تأثير. وتعرضت شركات التصنيع والمتقدمة لهجمات مماثلة عطلت خدماتها بينما آثرت شركة سبيكم تعليقها لنظامها في حركة استباقية.

هذا الهجوم الإلكتروني الشرس على المواقع الحكومية السعودية سبقه هجمات في أشهر مايو وأغسطس ونوفمبر من العام المنصرم.

حيث رصد المركز الوطني للأمن الإلكتروني في وزارة الداخلية السعودية هجمة إلكترونية منظمة على عدة جهات حكومية في أواخر شهر نوفمبر من العام الماضي، منها قطاع النقل ومنشآت حيوية، تهدف إلى تعطيل جميع الخوادم والأجهزة للمنشأة بحيث يؤثر ذلك على جميع الخدمات المقدمة من تلك المنشأة، ويقوم المهاجم بالاستيلاء على معلومات الدخول للنظام ثم زرع برمجية خبيثة لتعطيل بيانات المستخدم.

وفي أواخر شهر أغسطس الماضي، رصد المركز الوطني للأمن الإلكتروني هجمات إلكترونية خارجية، استهدفت شبكات إلكترونية لقطاع الاتصالات وتقنية المعلومات، والقطاع الحكومي، وقطاع الكهرباء والمياه، والقطاع الإعلامي وتمت من خلال استغلال ثغرة خاصة بخادم البريد الإلكتروني. مهاجمو أغسطس عمدوا إلى جمع المعلومات عن الجهات المستهدفة، ثم كسروا كلمات المرور الضعيفة للمستخدمين، ورفعوا ملفات التحكم بشبكة الضحية، والتنصت على جميع معلومات المستخدمين للشبكة ومراسلاتهم، والعمل على استخدام شبكة الضحية للوصول إلى شبكات أخرى، واستخدموا التشفير في خطواتهم لإخفائها، كما تم استخدام شبكة TOR و VPN لإخفاء هوياتهم.

وفي منتصف شهر مايو من العام المنصرم، رصد المركز الوطني للأمن الإلكتروني محاولات هجوم الكتروني تعرضت له عدة جهات في المملكة عن طريق رسائل بريد إلكترونية اصطياديه Phishing email تهدف إلى اختراق الأجهزة الإلكترونية وسرقة المعلومات عن طريق فتح مرفقات البريد الالكتروني ثم إرسالها إلى أبردة إلكترونية أخرى. هجوم مايو كان يهدف في مراحله الأولية لجمع المعلومات والسيطرة على جهاز الضحية تمهيدا إلى الانتقال إلى مراحل متقدمة لاحقة كتعطيل الأجهزة والتحكم بها وغيرها من الأضرار.

جميع هذه الهجمات تم رصد انطلاقها من خارج المملكة وأهدافها كانت اما تخريبية عبر اسقاط الخوادم وتعطيل الخدمات وإما بهدف سرقة المعلومات والسيطرة على الأجهزة من على بعد.
وتعاني جميع الدول من حول العالم من هذه البرمجيات الخبيثة التي تعوث فساداً في الشبكة العنكبوتية وعلى رأسها يقف الولايات المتحدة الأمريكية وروسيا حيث تعرضت الدولتين العظمتين لهجمات متفرقة أدت إلى اختراق واسقاط عدد من مؤسساتها وشركاتها.

السعودية ليست بمنأى عما يحدث بالعالم حيث تعرضت لهدة هجمات باستخدام برمجيات خبيثة متفرقة كان أشهرها هو فيروس شامون. شامون والمعروف أيضًا بدِستراك هو فيروس حاسب مرن تم اكتشافه في عام 2012، يستهدف نسخ أنظمة مايكروسوفت ويندوز NTويحمل سلوكاً يختلف عن سلوك البرمجيات الضارة الأخرى المخصصة للتجسس الإلكتروني فهو يمكن أن ينتشر من الجهاز المتضرر إلى الأجهزة الأخرى في نفس الشبكة. ما إن يتم التعدي على النظام، يستمر الفيروس بتشغيل قائمة من الملفات من مواقع محددة في النظام، ويرفعها إلى المهاجم، ويقوم بحذفها. في النهاية يقوم الفيروس بالكتابة فوق سجل التشغيل الرئيسي للحاسب المتضرر، مما يجعله غير قابل للتشغيل.

قام الفيروس في عام 2012 بضرب شركات في مجال البترول والطاقة عبر مجموعة يطلق عليها ” سيف العدالة القاطع” حيث ادعت المجموعة في حينه مسؤوليتها في الهجوم على 30.000 محطة تشغيل تتبع لأرامكو السعودية، مما جعل الشركة تمضي أسبوع في استعادة خدماتها. (يسود اعتقاد شبه جازم في الأوساط التقنية في كون هجمات شمعون التي انطلقت في العام 2012 يقوم خلفها عصابة إلكترونية تتخذ من إيران مقراً لها.)

مدينة الملك عبدالعزيز للعلوم والتقنية أوضحت أن تكلفة خسائر الهجمات الإلكترونية في العام الواحد قدرت بـ 445 مليار دولار عالمياً، ومن المتوقع أن تتزايد فاتورة خسائر تلك الهجمات في المستقبل نتيجة التوسع في الخدمات الإلكترونية ودخول مفاهيم تقنية جديدة مما يعزز الحاجة إلى تطوير جهود البحث العلمي في مجال أمن المعلومات لدعم المصالح الوطنية من خلال نقل وتوطين التقنيات وبناء القدرات وابتكار الخوارزميات الوطنية التي يمكن استخدامها بشكل آمن لحماية البيانات.

هيئة الاتصالات وتقنية المعلومات السعودية ممثلة بالمركز الوطني الإرشادي لأمن المعلومات أكدت على ضرورة التحقق من وجود نسخ احتياطية حديثة للمعلومات والملفات المهمة ، وعدم أخذ نسخ احتياطية على نفس الجهاز أو في أقراص المشاركة الشبكية (Shared Drive) التي قد تكون عرضة للإصابة، منوهة بأهمية زيادة الوعي لدى الموظفين من خلال تكثيف الحملات التوعوية لتسليط الضوء على هذا النوع من الاصابات، والتأكيد على عدم فتح الروابط أو مرفقات البريد الإلكتروني المشبوهة من أشخاص مجهولين أو التي لا يتوقع وصولها من الطرف الآخر، وعدم تصفح مواقع مشبوهة أو ليست ذات صلة بالعمل، وعدم تحميل ملفات من مواقع إنترنت غير معروفة وموثوقة للمستخدم.

وأوصت الهيئة بتحديث أنظمة التشغيل والتطبيقات بشكل دوري وفعال، وذلك تجنباً لاستغلال الثغرات الحديثة لإصابة الأنظمة والأجهزة بالبرامج الخبيثة من هذا النوع واستخدام برامج مكافحة الفيروسات والتأكد من تحديثها دوريا، وتحديث مكافح الفيروسات لكشف أي علامات على الإصابة ببرامج خبيثة، كما يمكن للجهة استخدام أنظمة الكشف المتطورة عن البرمجيات الخبيثة.

وقدمت هيئة الاتصالات توصيات هامة للسيطرة على انتشار البرامج الخبيثة في شبكة الجهة من خلال عزل الأجهزة المشتبه بإصابتها عن الشبكة، والحد من عدد الموظفين والمختصين الذين يتمتعون بحسابات لديها صلاحيات إدارة الأنظمة (Administration privileges) على شبكات وأنظمة وتطبيقات الجهة والتأكد من حاجة الموظف لهذه الصلاحيات، وتسجيل كافة العمليات التي يقومون بها باستخدام الحسابات والتدقيق فيها بشكل دوري، ومراجعة سجلات الدخول والمحاولات الغير ناجحة في الخوادم والاجهزة التي تتمتع بصلاحية إدارة الأنظمة، والتأكيد على المختصين بعدم استخدام حسابات إدارة الأنظمة (Administration Accounts) لقراءة البريد الإلكتروني والاطلاع على المرفقات وتصفح الانترنت لخطورة ذلك على شبكة الجهة كون هذه الحسابات تتمتع بصلاحيات عالية على أنظمة الجهة مما يمكن البرامج الخبيثة من الانتشار، ويجب بدلاً من ذلك يتم استخدام حساب محدود الصلاحيات لاستخدامات الموظف الاعتيادية.

كما أرشدت عند الإصابة بفايروس الفدية “Ransomware” إلى إجراء مسح باستخدام برامج مكافحة الفيروسات والأدوات التي توفرها الشركات المصنعة لبرامج مكافحة الفيروسات للبحث عن برامج لفك تشفير الملفات أو طلب الدعم الفني من شركة مكافحة الفيروسات التي تقدم الحلول المستخدمة في الجهة.