تخطي إلى المحتوى الرئيسي
إختراق شبكة "سويفت"

شبح قرصنة شركة سوني يخيم على عملية إختراق شبكة سويفت

نايلة الصليبي

تعرض نظام التحويلات المصرفية العالمي"سويفت" لعملية إختراق جديدة، وبعد الإعلان عن المحاولة الثانية للقرصنة، كشف باحثان في أمن المعلومات أن هنالك ترابط بين شيفرة البرمجيات الخبيثة المستخدمة لإختراق نظام "سويفت" وبين عملية قرصنة شركة سوني في الولايات المتحدة عام 2014.

إعلان
بعد الإعلان في شهر إبريل الماضي عن عملية الإختراق التي تعرض لها نظام التحويلات المصرفية العالمي"سويفت" Society for Worldwide Interbank Financial Telecommunication   وسرقة 81 مليون دولار من حساب المصرف المركزي لبنغلادش لدى الاحتياطي الفيدرالي الأمريكي في نيويورك. كشفت جمعية الاتصالات المالية العالمية بين المصارف  "سويفت" في رسالة إلى مستخدميها ، يوم الجمعة الماضي، أن قراصنة نجحوا في اختراق شبكتها واستهدفوا lمصرفا تجاريا، وتمكنوا في الاستيلاء على شيفراته والقيام بعمليات تحويل عبر نظام "سويفت"، و أنهم يتمتعون بخبرة عالية وبقدرات فائقة ومعرفة من داخل نظام " سويفت". غير أنها لم تكشف عن اسم المصرف. وأكدت الجمعية  في رسالتها" أن شبكة  سويفت وأنظمة التراسل وبرامج سويفت سليمة، ولم تتعرض للتلوث بالبرمجيات الخبيثة" .
كما أعلن المصرف المركزي الفيتنامي، يوم الثلاثاء ألماضي أن مصرف"تين فونج"  كان قد تعرض في الثامن من ديسمبر/ كانون الأول 2015 لمحاولة تسلل فاشلة لتحويل 1.36 مليون دولار إلى بنك في سلوفينيا . وأكد مسؤول أمن المعلومات في مصرف "تين فونج" أن محاولة التسلل هذه كانت الوحيدة عبر شبكة "سويفت" ولم تستهدف أي مصرف فيتنامي أخر.
 
تساؤلات عدة تطرح حول أمن هذا النظام الذي يفترض أن يكون محصنا للغاية نظرا لمليارات الدولارات التي تحول من خلاله يوميا. وما أكتشفه خبراء الأمن حتى اليوم يطرح أسئلة عدة حول من يقف وراء عمليات القرصنة الغامضة هذه؟
 
إذ اكتشفSergei Shevchenko وAdrian Nish، الباحثان  في شركة BAE systemsالبريطانية ، المتخصصة بأنظمة الدفاع العسكرية  والمعلوماتية التي تحقق بعمليات الإختراق هذه مع مكتب التحقيقات الفيدرالي، بوجود رابط بين جزئين من التعليمات البرمجية في شيفرة البرمجيات الخبيثة المستخدمة في الهجمات ضد مصرف بنغلادش والمصرف التجاري الفيتنامي وعملية القرصنة الضخمة وغير المسبوقة التي تعرضت لها عام 2014 شركة "سوني بيكتشورز" في الولايات المتحدة الأمريكية.
 
فقد كشفا عن طريق الهندسة العكسية، أن تلك البرمجيات تستخدم نفس الإجراءات و نفس آلية العمل عند تلويث جهاز الكمبيوتر و من ثم نفس آلية التدمير الذاتي لمسح أثر عملها في الجهاز الملوث. وقاما بالبحث في قاعدة بيانات للبرامج الخبيثة على الإنترنت عن ملف مماثل لهذه البرمجية و وجدا برمجية مطابقة تحمل إسم msoutc.exe، و هي برمجية تم تجميعها في 24 أكتوبر 2014، ونقلت إلى الولايات المتحدة في 4 مارس 2016.
و شيفرة البرنامج للتدمير الذاتي المستخدم في برمجية msoutc.exe مطابقة للشيفرة التي كشفتها شركة Novetta  لأمن المعلومات في تقريرها حول ما أسمته Blockbuster operation   أي  عملية قرصنة شركة "سوني بيكتشورز" ، والتي حسب Novetta قامت بها "مجموعة لازاروس" واضعة هذه الشيفرة،  و هم قراصنة برزواعام 2009 ومركزهم في آسيا.
 
baesystemsai.blogspot.fr
 
 
كيف تعمل البرمجيات الخبيثة التي إخترقت شبكة "سويفت"؟  
 
يحاول الملف القابل للتنفيذ بإنشاء أداة مزامنة Mutex- Mutual exclusion تستخدمها بعض الخوارزميات المستعملة في البرمجة لتفادي الاستخدام المتزامن للموارد المشتركة أو شيفرة صدّ ، تسمى "Global\FwtSqmSession106839323_S-1-5-20. و إستعمال هذه التسمية لتجنب  تفعيل نسخ متعددة من البرمجيات الخبيثة على نفس جهاز الكمبيوتر. إذا كانت الشيفرة  البرمجية موجودة  في الجهاز الملوث ، فهذا يعني أن نسخة أخرى من البرمجيات الخبيثة قيد التشغيل. وفي هذه الحالة، فإن النسخة الجديدة من البرنامج الخبيث  تدمر نفسها و تمحو كل أثر لها في  النظام. وفي حال لم تعثر البرمجيات الخبيثة على نسخة أخرى منها ، يتم تفعيل التعليمات البرمجية، التي  تنشئ ملف سجل log ومن ثم خلق  مفتاح التشفير '11yid60u7fdey@!07ou74n001'. لإستخدامه
 
baesystemsai.blogspot.fr
 
و قد تابع باحثا BAE systems  إستكشافهما وتبيّن لهم أن مفتاح التشفير هذا كان قد استخدم  في برمجية خبيثة وهي دودة كشف عنها تقريرلشركة برايس ووترهاوس كوبرز في عام 2015 . وهذه الدودة إنتشرت عن طريق بروتوكول SMB  Server Message Block المستخدم لمشاركة الملفات  والطابعات في نظام التشغيل  Windows، حتى و لوكان  -  Mutex -  Mutual exclusion مختلف بشكل طفيف فهو يتألف من نفس النظام التسلسلي للتسمية .و هذا  الـ Mutex الذي أكتشفته  شركة ،PwCهو ذاته الذي ذكره تقرير لـ CERT - Computer Emergency Response Team  فريق الإستجابة لطوارئ الكمبيوتر الأمريكي ، الذي نشر في كانون الأول/ديسمبر 2014 وصفا البرمجيات الخبيثة المدمرة التي إستهدفت  "شركة ترفيه كبيرة "، إي بمعنى أخر  " سوني بيكتشورز" .
 
غير ان الدودة SMB التي وصفها تقرير فريق الإستجابة لطوارئ الكمبيوتر الأمريكي تستخدم مفتاح تشفير مختلف بالرغم من وجود تشابه كبير .
 
pwc.blogs.com
 
وكان قد وجّه مكتب التحقيقات الفيدرالي حينذاك أصابع الإتهام لكوريا الشمالية في عملية قرصنة "سوني بيكتشورز" رغم أن خبراء الأمن لم يؤكدوا هذا الإتهام .
من هنا طرح البعض تساؤلات حول خلفية هذه الإختراقات الغامضة لشبكة "سويفت" وإستهداف المصارف .
هل  تسعى  كوريا الشمالية لتعزيز إحتياطها من العملات الأجنبية؟ أو أنها مجموعة لازاروس التي عادت لاستخدام التعليمات وشيفرة البرمجية القديمة؟ أوأن  أحدهم يسعى لزعزعة إستقرار التبادل المصرفي العالمي؟
أسئلة عدة  من الصعب الإجابة عنها اليوم إن لم يتم العثور على مؤشر يربط  دوافع عمليات القرصنة هذه  .ولكن من الناحية التقنية فإن التحقيق يتقدم بخطوات كبيرة .
 
وفي عودة لقضية إختراق شبكة " SWIFT"  كانت قد كشفت شركة BAE systems البريطانية المتخصصة بأنظمة الدفاع العسكرية و المعلوماتية أنه تم تطوير و إعداد برمجيات خبيثة لإخفاء رسائل التحويلات  لمصارف من مختلف البلدان منها :
Industrial & Commercial Bank of China Ltd Bank of Tokyo Mitsubishi UFJ Ltd UniCredit SpA (Australia & New Zealand Banking Group Ltd United Overseas Bank Ltd of Singapore, South Korea’s Kookmin Bank Japan’s Mizuho Bank Ltd
 
أثارت المعلومات التي كشفت عنها شركة BAE systems    مخاوف العديد من المصارف العالمية، التي أعتبرت  أن المهاجمين لا يركزون هجماتهم  على المصارف الصغيرة في الدول النامية فقط ، بل يخططون لعمليات أكبر بكثير من التي صرح عنها حتى اليوم .
وفي سياق متصل كانت المؤسسات المصرفية الأمريكية قد طلبت من Society for Worldwide InterbankFinancial Telecommunication و التي مقرها مدينة La Hulpe في بلجيكا ، بتشديد أمن شبكتها . علما أن مكتب التحقيق الفدرالي كان قد أشار إلى أن عملية سرقة مصرف بنغلادش المركزي قد تمت بمساعدة موظفين من داخل المصرف أو من خبراء و تقنين يتمتعون بخبرة عالية بنظام عمل شبكة "سويفت" و في هذا الإطار  كشفت صحيفة "الوول ستريت جورنال" أن مصرف JPMorgan Chase  قد حدد الإذن بالدخول لشبكة "سويفت" لبعض الموظفين فقط .
نايلة الصليبي

 

النشرة الإعلاميةأبرز الأحداث الدولية صباح كل يوم

الصفحة غير متوفرة

المحتوى الذي تريدون تصفحه لم يعد في الخدمة أو غير متوفر حاليا.