إي ميل

برمجية خبيثة متطورة تتجسس على السعودية والعديد من دول الشرق الأوسط والعالم

سمعي
الصورة من موقع symantec.com

كشفت شركة سيمانتك عن برمجية خبيثة معقدة ومتطورة جدا تستخدم للتجسس على شركات الإنترنت والاتصالات والشركات الخاصة في دول عديدة وبالدرجة الأولى السعودية وروسيا. التفاصيل مع نايلة الصليبي.

إعلان

أعلن خبراء شركة سيمانتك المتخصصة بأمن المعلومات ومكافحة الفيروسات عن  إكتشافهم لمجموعة من البرمجيات الخبيثة من نسق حصان طروادة ذات شيفرة شديدة التعقيد  ومتطورة جدا تخترق الأجهزة والخوادم التي تعمل بنظام التشغيل ويندوز وهدفها التجسس وجمع البيانات، أطلق عليها إسم Regin .ويعتقد أن مصدرها مؤسسات حكومية نظرا للتصميم المعقد لـRegin.
 
برمجية خبيثة تُضم إلى اللائحة الطويلة مما يمكن أن نعتبره  اسلحة إلكترونية، التي بدأهاStuxNet  مستهدفا منذ سنوات المنشأت النووية الإيرانية وبعض الأنظمة الصناعية في الصين وباكستان وأندونيسيا، وبعد ذلك برزكل من Duqu وFlame، في حرب صامتة طالت بعض دول الشرق الأوسط. وتستهدف البرمجية الخبيثة Regin بالدرجة الأولى المملكة العربية السعودية وروسيا، ومن ثم بدرجات متفاوتة الهند و إيرلندا. أما أهدافها فمختلفة ، أبرزها الشركات المزودة لخدمة الإنترنت و العمود الفقريBackBones لشركات الإتصالات .و أيضا من بين الأهداف الفنادق و شركات النقل الجوي والشركات المزودة للطاقة والشركات الصغيرة والمتوسطة الحجم ومؤسسات الأبحاث.
 
يؤكد خبراء سيمانتك أن لـRegin مواصفات مشابهة في شيفرته لشيفرة ومواصفات StuxNet ،Duqu وFlame ويملك بنية على درجة عالية من التعقيد، مما يشير إلى أن تلك البرمجية تطلبت أشهروسنوات من التطوير ، فهي تضم حوالي عشر وحدات مختلفة تتيح للمهاجمين تكييف البرمجية الخبيثة حسب الأهداف. ووفق خبراء سيمانتك فإن هذه البرمجيية قد فُعلت للمرة الأولى عام 2008 ومن ثم أختفت فجأة  في مايو  2011 لتعود  وتظهر بإصدار جديد عام 2013. وما زالت مستخدمة حتى اليوم .
 
في تقرير نشر على موقع شركة سيمانتك شرح الخبراء آلية عمل برمجية Regin التي تنظم عملها على ست مراحل كي تبقى متخفية ولا تكشفها أنظمة مكافحة الفيروسات وأنظمة رصد أمن الشبكات المعلوماتية.
كل مرحلة من مراحل عمل تلك البرمجية هي مشفرة ما عدا المرحلة الأولى وكل مرحلة تتبعها مجموعة من الآليات تتوالى و تنتج عنها تعليمات معينة .تفك المرحلة الأولى تشفير البرمجية الخبيثة ومن ثم تنفذ التعليمات البرمجية الخاصة بتلك المرحلة قبل الإنتقال إلى المرحلة التالية .
 
قام خبراء سيمانتك، لفهم عمل البرمجية الخبيثة Regin، بتعقب ورصد كل تلك المراحل والتي يبدو أنها تحوي فهرسا كاملا لعمليات الهجوم  والقرصنة الممكنة، كإلتقاط صورة شاشة سطح المكتب، السيطرة على عمل الفأرة أو سرقة كلمات المرور، ومراقبة و رصد حركة تبادل البيانات من الجهاز إلى الإنترنت و حتى إستعادة الملفات المتلفة.
 
بعد كشف سيمانتك عن هذه البرمجية الجاسوسة أعلنت بدورها شركة كاسبيرسكي  المتخصصة بمكافحة الفيروسات وأمن شبكة المعلومات ،أنها تتبع هذه البرمجية منذ عامين وهي تستهدف أيضا الوكالات الحكومية والمؤسسات المالية والأفراد الذين يقومون بأبحاث متقدمة في مجال الرياضيات وتقنية التشفير. وألمرالأخطر الذي كشفت عنه شركة كاسبيرسكي هو تعرض مكاتب رؤساء دول للرصد و المراقبة من خلال Regin.

حسب كاسبيرسكي  فقد صممت البرمجيات الخبيثةRegin لإرسال المعلومات  والبيانات، التي تم جمعها بهدوء، إلى الأجهزة الخارجية  وخوادم  "القيادة والسيطرة"، أو  C & C . وقد تعقب خبراء شركة  كاسبيرسكي أربعة عناوين بروتوكول الإنترنتIP و تبين لهم أن اثنان منها موقعها في الهند، وأخرى في تايوان، وواحدة في بلجيكا.ومع ذلك لا يمكن توريط تلك البلدان. فأي شخص يمكن أن ينشئ  بسهولة خادم في أي بلد في العالم.

أضاف خبراء كاسبرسكي أسماء دول أخرى  إستهدفها Regin: كـإيران وباكستان وأفغانستان والعراق ومصر .
وحددت شركة  كاسبيرسكي عددا من الدول الجديدة على قائمة المستهدفينو هيتشمل دول غير عادية كدول جزر المحيط الهادئ كيريباتي وفيجي بالإضافة  لسوريا وماليزيا واندونيسيا.

يبقى أن كثير من الغموض يحيط هذه البرمجية الخبيثة المعقدة، فعدد الأجهزة التي تعرضت للتلوث منخفض نسبيا نظرا لنوعية هذه البرمجيات الجاسوسة الخطيرة، ولم يتمكن خيراء سيمانتك وكاسبرسكي من كشف المواقع  الأخرى لأنظمة القيادة والسيطرة التابعة لهذه البرمجيات الخبيثة الجاسوسة . وبالتالي ليس لديهم أدنى فكرة عن البلد وراء إنتشار هذه البرمجية الخبيثة رغم أن الأنظار يمكن ان تتجه إلى الولايات المتحدة وإسرائيل والصين.

نايلة الصليبي

الرسالة الإخباريةأبرز الأحداث الدولية صباح كل يوم