خطر «شمعون2» في التخفي قبل الهجوم.. ونهايته غير معروفة
ما إن أعلن المركز الوطني للأمن الإلكتروني في وزارة الداخلية، نهاية الأسبوع المنصرم، عن استمرار خطر فيروس «شمعون 2»؛ حتى ظهرت للسطح من جديد الكثير من آراء المختصين في أمن المعلومات عن خطورة الهجمة الإلكترونية التي تعرضت لها المملكة، واستطاعت أن تطال بعضا من خوادم وأنظمة الجهات الحكومية والقطاع الخاص.وبالرغم من الاعتقاد السائد بأن الهجمة أثبتت أن التحصينات الإلكترونية لدينا ليست قوية بما يكفي للصمود أمام هجمات من هذا النوع، إلا أن الحقيقة أن الفايروس فشل فشلاً ذريعاً في الوصول إلى الأنظمة الإلكترونية الحساسة التي تتعلق بالجانب الأمني أو المالي بفضل الإمكانيات التي تتمتع بها تلك الجهات، ناهيك أن تمكن مراكز الرصد في مركز الأمن الإلكتروني من التنبوء بالهجمة قبل حدوثها عندما أرسل تحذيرات للجهات ذات العلاقة في 19 نوفمبر الماضي.وقال خبير أمن المعلومات ياسر الرحيلي ل «اليوم»: إن بعض التقارير تشير إلى إن إحدى الجهات المتضررة كانت مخترقة قبل الهجمة الأخيرة منذ أكثر من شهرين!، دون أن تشعر تلك الجهة مبيناً أن «شمعون2» هو مرحلة ثانية من مرحلتين تمت للهجوم على الجهات المستهدفة وهو الاسلوب الذي استخدمه المهاجمون في الهجمات الأخيرة، موضحاً أن الفايروس لكي يعمل فإن المهاجمين يحتاجون لمرحلة أولى يكون هدفها جمع صلاحيات في الشبكات المستهدفة، وجمع صلاحيات وكلمات بهدف الحصول على الصلاحيات العالية والتي تستطيع الدخول على أغلب الأجهزة في المنظمة المستهدفة، أيضا في المرحلة الأولى يستكشف المهاجمون الشبكات ودراستها لفترة طويلة بهدف زرع أبواب خلفية لهم تساعدهم على الدخول لها في أي وقت، حيث تستمر هذه المرحلة عادة لعدة أشهر وتكون مخفية ولا تلاحظها المؤسسات والجهات المستهدفة بسهولة. وأضاف الرحيلي، بعد أن ينجح المهاجمون في جمع الصلاحيات المطلوبة من الجهات المستهدفة يقومون بإنشاء نسخة خاصة من الفايروس للجهة المستهدفة تحتوي على الصلاحيات الخاصة بها وينشرونه في الشبكة ويكون مبرمجاً ليدمر الأجهزة في توقيت معين وعادة ما يكون هذا التوقيت في إجازة نهاية الأسبوع والعطل لينتشر الدمار قبل أن تنتبه الجهة للتخريب الحاصل إلا بعد ما ينتشر، مشيراً إلى أن الهجمة الأخيرة للفايروس كان الوقت المستهدف قبل الدوام الرسمي بحوالي ساعتين، الأمر الذي ساعد الجهات على الاستجابة بسرعة والحد من أثره بشكل أفضل من الهجمات السابقة وإن كان التأثير كبيرا ولكنه أخف بكثير عن السابق.وأعتبر الرحيلي أن الخطورة الكبيرة للفايروس ليست في وقت الهجوم والتدمير وإنما الخطر الحقيقي في المرحلة الأولى من الهجمة، والتي تم بها جمع الصلاحيات وكلمات السر وزرع الأبواب الخلفية لأن هذه المرحلة مخفية ولا يُعلم ما استطعوا الحصول عليه في هذة الفترة من معلومات او بيانات، والخطورة الأعظم أن الكثير من الجهات لا تتنبه لها وتعتقد أنه بتنظيف الشبكة من فايروس شمعون يزول الخطر، لذلك بعض الجهات التي تعرضت لهجمات فايروس شمعون تعرضت للهجمة عدة مرات لأنه لم يتمكنوا من كشف مداخل المهاجمين على الشبكة وإغلاقها.