فيروس "شمعون".. يعود بقوة ويضرب عدة شبكات حكومية سعودية !

وقعت شبكات إلكترونية سعودية حكومية ضحية لـ"شمعون"، الفايروس الذي حاول اختراق البيانات لتدميرها إلكترونياً، شمل وزارات العمل والتنمية الاجتماعية والاتصالات وتقنية المعلومات والنقل، وغيرها من مؤسسات غير حكومية أيضاً.

فيروس "شمعون"

وأرجع خبراء في مجال التقنية ما حدث بأنه نتيجة لضعف الحماية وعدم وجود أمن معلوماتي متكامل، بالإضافة إلى ضعف حصانة مواقع بعض الجهات الرسمية.

فقد تعرَّضت بعض الجهات الرسمية في المملكة العربية السعودية خلال الـ24 ساعة الماضية إلى هجوم إلكتروني جديد اعتمد على الإصدار الثاني من فيروس شمعون 2.0 وفيروس الفيدية Ransomware.

و تشير المعلومات المتاحة حتى اللحظة إلى أن تأثير الهجوم قد اقتصر على بعض الصفحات الإلكترونية على الإنترنت، وبعض الأجهزة الطرفية للمستخدمين، وعدم تأثر قواعد البيانات المتعلقة ببيانات عملاء الوزارة أو صندوق تنمية الموارد البشرية "هدف".

كيف يعمل "شمعون"؟

فايروس شمعون، يستخدم في الهجمات الإلكترونية المنظمة التي تتعرض لها عدة جهات حكومية ومنشآت حيوية ويسبب عطلاً للآلاف من الأجهزة. وتكمن خطورته في محو سجلات الإقلاع الرئيسية MPR المهمة في بدء العمل. وسبق لفايروس شمعون محاولة تدمير بيانات المملكة إلكترونياً، ففي 15/8/2012 هاجم "شمعون" أجهزة كمبيوترات شركة الطاقة السعودية (أرامكو) نتج عنه تعطل 30 ألف حاسوب شخصي.

وفي 19/11/2016، استهدف تعطيل الخدمات لبعض الجهات الحكومية، ومنشآت حيوية من بينها قطاع النقل. وفي 23/1/2017، عمل على تعطيل موقع وزارة العمل والاتصالات وتقنية المعلومات وشركة صدارة للكيميائيات.

من وراء فيروس "شمعون" ؟

وجهت شركة "سيمانتيك symantec" أصابع الاتهام إلى مجموعة قرصنة وتجسس إلكتروني تدعى “جرين بج” والتي تعتقد سيمانتيك أنها الجهة التي تقف وراء فيروس "شمعون" الذي عاد ليضرب في الساعات الماضية عددًا من الجهات الرسمية في المملكة العربية السعودية. واستندت سيمانتيك في اتهامها على تحليل تقني معمق.

وكانت سيمانتيك قد اكتشفت مجموعة القرصنة والتجسس الإلكتروني "جرين بج" أثناء تحقيقها في هجوم تسبب في تدمير ومسح بيانات استخدم فيه فيروس W32.Disttrack.B المعروف باسم شمعون Shamoon. 

كيف تحمي نفسك من فيروس شمعون؟

أصدر المركز الوطني الإرشادي لأمن المعلومات في المملكة العربية السعودية بياناً للجهات ذات الصلة، موضحاً فيه بعض التفاصيل والإرشادات، كما قدَّم بعض الحلول المقترحة التي قد تساعد في تفادي الإصابة وتقليل الأضرار منها:

1- التحقق من وجود نسخ احتياطية حديثة للمعلومات والملفات المهمة، ولا ينصح بأخذ نسخ احتياطية على نفس الجهاز أو في أقراص المشاركة الشبكية Shared Drive التي قد تكون عرضة للإصابة.

2- زيادة الوعي لدى الموظفين من خلال تكثيف الحملات التوعوية، والتأكيد على عدم فتح الروابط أو مرفقات البريد الإلكتروني المشبوهة، أو التي من أشخاص مجهولين، أو التي لا يتوقع وصولها من الطرف الآخر، وعدم تصفح مواقع مشبوهة أو ليست ذات صلة بالعمل، وعدم تحميل ملفات من مواقع إنترنت غير معروفة وموثوقة للمستخدم.

3- تحديث أنظمة التشغيل والتطبيقات بشكل دوري، وذلك تجنباً لاستغلال الثغرات الحديثة لإصابة الأنظمة والأجهزة بالبرامج الخبيثة من هذا النوع، كما يجب التأكد من تحديث متصفح الإنترنت أو برامج مايكروسوفت أوفيس أو برنامج قارئ أدوبي Adobe على وجه الخصوص.

4- استخدام برامج مكافحة الفيروسات والتأكد من تحديثها دورياً، ومتابعة التدقيق في سجلات برامج مكافحة الفيروسات لكشف أي علامات على الإصابة ببرامج خبيثة، كما يمكن للجهة استخدام أنظمة الكشف المتطورة عن البرمجيات الخبيثة.

5- السيطرة على انتشار البرامج الخبيثة في شبكة الجهة من خلال التالي:

- عزل الأجهزة المشتبه بإصابتها عن الشبكة.
- الحد من عدد الموظفين والمختصين الذين يتمتعون بحسابات لديها صلاحيات إدارة الأنظمة Administration privileges على شبكات وأنظمة وتطبيقات الجهة، والتأكد من حاجة الموظف لهذه الصلاحيات، وتسجيل كافة العمليات التي يقومون بها باستخدام الحسابات والتدقيق فيها بشكل دوري.
- مراجعة سجلات الدخول والمحاولات غير الناجحة في الخوادم والأجهزة التي تتمتع بصلاحية إدارة الأنظمة.

6- التأكيد على المختصين بعدم استخدام حسابات إدارة الأنظمة Administration Accounts لقراءة البريد الإلكتروني والاطلاع على المرفقات وتصفح الإنترنت، لخطورة ذلك على شبكة الجهة، لكون هذه الحسابات تتمتع بصلاحيات عالية على أنظمة الجهة مما يمكن البرامج الخبيثة من الانتشار، ويجب بدلاً من ذلك استخدام حساب محدود الصلاحيات لاستخدامات الموظف الاعتيادية مثل قراءة البريد الإلكتروني والأعمال المكتبية وتصفح الإنترنت.

7- مراجعة سياسات وإجراءات أمن المعلومات باستمرار، وتقييم هذا النوع من الهجمات واتخاذ الإجراءات المناسبة للحد منها ومكافحتها.

8- عند الإصابة بفيروس Ransomware فإننا ننصح بإجراء مسح باستخدام برامج مكافحة الفيروسات والأدوات التي توفرها الشركات المصنعة لبرامج مكافحة الفيروسات للبحث عن برامج لفك تشفير الملفات أو طلب الدعم الفني من شركة مكافحة الفيروسات التي تقدم الحلول المستخدمة في الجهة، ولا ينصح أبداً بدفع الفدية.

المصادر: aitnews / alarabiya / huffpostarabi/ symantec