ماذا حدث في هجوم الفدية الإلكترونية الواسع؟

تعرضت شركات ومستشفيات ومؤسسات أكاديمية وحكومية في أكثر من مائة دولة لهجوم إلكتروني واسع يوم الجمعة الثاني عشر من مايو/أيار بواسطة برمجية يُعتقد أنها سُرقت من ترسانة “وكالة الأمن القومي” الأمريكية. ويُعد أكبر نموذج للهجمات الإلكترونية التي تستهدف الحصول على فدية أو “رانسوموير” من ناحية نطاق الانتشار والضرر، ما يجعل الحادث محاولة ابتزاز عالمية تُبرز مواطن الضعف في العصر الرقمي.

وظهرت على الحواسيب المُصابة رسائل مترجمة بعدة لغات تُعلن تشفير البيانات ومنع المستخدمين من الوصول إليها، وتطلب دفع فدية تتراوح من 300 إلى 600 دولار بعملة “بيتكوين”، وتُهدد بمحو البيانات إذا لم تُلبى الطلبات بعد أيام معدودة.

وبنهاية يوم الجمعة توسعت الهجمات لأكثر من 74 بلدًا. وتقول شركة “كاسبرسكي لاب” الروسية للأمن الإلكتروني أن روسيا كانت أكثر البلدان تضررًا، تبعتها أوكرانيا ثم الهند وتايوان. كما وردت تقاير عن تعرض دول في أمريكا اللاتينية وأفريقيا للهجوم نفسه. ورصدت شركة “أفاست” أكثر من 75 ألف هجوم في 99 بلدًا.

خريطة هجمات الجمعة 12 مايو

تعرض الخريطة الدول التي تعرضت لهجمات الفدية يوم الجمعة 12 مايو وتخطى عددها مائة دولة بحسب أحدث تصريحات رئيس وكالة الشرطة الأوروبية

وتأثرت أنظمة الحاسب التابعة لهيئة الخدمات الصحية الوطنية البريطانية، واضطرت مستشفيات لإيقاف عملها وإلغاء عمليات جراحية وفحوصات للمرضى وتحويل سيارات الإسعاف لمستشفيات أخرى، ولجأت طواقم العمل لاستخدام السجلات الورقية.

وقالت “هيئة الخدمات الصحية الوطنية” أنه ما من دليل حتى الآن على تعرض بيانات المرضى للسرقة، وأعلنت لاحقًا عودة جميع المراكز المتضررة لعملها الطبيعي باستثناء ستة من أصل ثمانية وأربعين فرعًا تضررت من الهجوم. ويُشار إلى اعتماد 90% من مراكز الهيئة على نظام “ويندوز إكس بي” الذي صدر قبل أكثر من خمسة عشر عامًا وتوقفت “مايكروسوفت” عن دعمه أمنيًا قبل فترة.

ولاحقًا تلقت عشرات الشركات في أوروبا وآسيا والولايات المتحدة رسائل تكشف تعرضهم للهجوم وتطلب فدية تُدفع بالعملة الرقمية “بيتكوين” لفك تشفير البيانات وتمكينهم من استخدامها. وصمم المهاجمون البرنامج لزيادة مبلغ الفدية مع مضي الوقت، كما تُهدد رسائلهم بمحو البيانات المُخزنة كليًا بعد انتهاء المهلة.

وتشمل قائمة الشركات التي تعرضت للهجوم “فيديكس” لخدمات الشحن في الولايات المتحدة، و”تليفونيكا” الأسبانية للاتصالات، و”رينو” الفرنسية للسيارات التي أوقفت إنتاجها في بعض المناطق بسبب الهجوم، ومركز تصنيع في شمال شرق انجلترا يتبع شركة “نيسان” اليابانية للسيارات، و”ميجان فون” للاتصالات ومصارف وشركة السكك الحديدية في روسيا.

وفي آسيا تضررت شركات وجامعات ومراكز بحثية. ومُنع الطلاب من الوصول إلى أبحاثهم وأطروحاتهم بالتزامن مع استعدادهم للتخرج. وأصاب الهجوم شركة “دويتشه بان” الألمانية للنقل، وتعطلت بعض الإشارات الإلكترونية التي تُعلن وصول الرحلات ومغادرتها، ونشر الركاب صورًا لشاشات تحمل رسائل تُطالب بدفع مبالغ مالية لإعادة الخدمة.

ترتيب الدول العشرين الأكثر تعرضًا لهجوم "وانا كراي"

ترتيب الدول العشرين الأكثر تعرضًا لهجوم الفدية الخبيثة تتصدرها روسيا ثم أوكرانيا والهند وتايوان وطاجيكستان

وبدأ الهجوم برسالة تصيد بسيطة عبر البريد الإلكتروني تتضمن ملفًا مُشفرًا ومضغوطًا ينقل دودة الحاسب إلى الأجهزة بمجرد تحميل الملف. وضمن تشفير الملف نجاته من رقابة البرمجيات الأمنية وأنظمة الحماية. ويكمن تطور الهجوم في انتقال البرنامج عبر شبكات الحاسب دون تدخل بشري إلى الأجهزة الأخرى.

وبعد إنكار وزارة الداخلية الروسية في البداية استهداف حواسيبها أقرت في بيانٍ لها بإصابة نحو ألف حاسب في الهجوم، وقدرت أن عدد الأجهزة التي تعرضت للهجوم يقل عن 1% من إجمالي أجهزتها. كما أكدت نجاح الحبراء في احتواء الهجوم دون تضرر أية بيانات حساسة.

وشكك بعض مسؤولي الاستخبارات الأمريكية في الإعلان الروسي بسبب اشتباههم في تورط روسيا في سرقة معلومات من “وكالة الأمن القومي”. لكن جيمس لويس، خبير الأمن الإلكتروني في “مركز الدراسات الاستراتيجية والدولية” في واشنطن، يشتبه في مسؤولية مجرمين يرتكزون في أوروبا الشرقية ويعملون لحسابهم الخاص عن الهجوم؛ نظرًا لاختلافه عن الهجمات التي تدعمها حكومات ولطبيعة الأهداف التي أصابها.

وظهرت ضمن الدول التي تعرضت لهجوم الجمعة دولٌ عربية منها السعودية ومصر. وفي مصر قال شريف هاشم، نائب رئيس الجهاز القومى لتنظيم الاتصالات لشؤون الأمن السيبرانى، أن هناك حالة اشتباه واحدة حتى الآن أصيبت في هجوم الفدية الأخير، وأن طريقة التأكد من الإصابة تكمن إما في إعلان الجهة بنفسها، أو إعلان شركات عالمية متخصصة في أمن المعلومات.

وفي السعودية صرَّح الدكتور عباد العياد، المدير التنفيذي للاستراتيجية والتواصل في المركز الوطني للأمن الإلكتروني، يوم السبت أن المركز يُحقق حاليًا للتأكد من عدم تعرض أية مؤسسة حكومية للهجوم، لافتًا إلى عدم تسجيل أية إصابة داخل السعودية حتى ذلك الحين.

هجوم الفدية "واناكراي" الجمعة 12 مايو

ظهرت على الأجهزة التي استهدفها الهجوم رسالة تعلن تشفير البيانات وتطلب تحويل ما يعادل 300 دولار بعملة بيتكوين من أجل فك التشفير  وتهدد بمحو البيانات كليًا بعد مهلة محددة

وأفزعت الهجمات خبراء الأمن الإلكتروني بسبب تطورها وانتشارها الواسع عبر شبكات الشركات والمستشفيات والحكومات. واعتبرها روهيت بيلاني، الرئيس التنفيذي لشركة “بيش مي” PhishMe لأمن البريد الإلكتروني، بمثابة “القنبلة الذرية لهجمات الفدية الخبيثة”، وتحولًا كبيرًا عن الهجمات المُماثلة السابقة، وحذر أن الهجوم قد يكون دلالة على اتجاهٍ مُقبل.

واستخدم المهاجمون برمجية خبيثة تحمل اسم Wanna Decryptor، وهي شكل جديد من برمجيات الفدية الخبيثة WannaCry “واناكراي” التي تُشفر بيانات الضحايا وتمنعهم من الوصول إليها، وتطلب فدية مالية من أجل فك التشفير.

ويرى خبراء أنه في ظل عجز المؤسسات عن فك تشفير البيانات، سيكون أمام الضحايا الذين لم يحتفظوا مسبقًا بنسخ احتياطية التخلي عن بياناتهم أو دفع الفدية. وربما سيزيد الإقبال على الخيار الأخير مع اقتراب نهاية المهلة، وإن كان لا يوجد ما يضمن استعادة البيانات بعد دفع الفدية. وحثت الحكومات على عدم دفع الفدية كي لا تُشجع القراصنة على تكرار هجماتهم.

وفي شهر فبراير/شباط من العام الماضي دفعت إحدى المستشفيات في مدينة لوس أنجليس الأمريكية ما يُعادل 17 ألف دولار بعملة “بيتكوين” للقراصنة كفدية من أجل استعادة الوصول إلى بياناتها.

ويُتوقع أن يجمع المهاجمون مبلغًا يصل إلى مليار دولار. لكن حتى ظهر السبت الثالث عشر من مايو تم تحويل نحو 33 ألف دولار فقط إلى حسابات على صلة بالقراصنة، بحسب شركة “إليبتيك” Elliptic التي تُتابع التعاملات المالية بالعملات الرقمية على الإنترنت.

ويُعتَقد باستخدام المهاجمين أداة “إترنال بلو” Eternal Blue التي سُرقت من مخزون الأسلحة الإلكترونية لدى “وكالة الأمن القومي” الأمريكية، ونشرتها على الإنترنت مجموعةٌ تُطلق على نفسها “وسطاء الظل” Shadow Brokers الشهر الماضي، وتنشر برمجيات من أسلحة القرصنة لدى الحكومة الأمريكية.

وتستغل “إترنال بلو” ثغرةً أمنية في أنظمة “ويندوز”. وبعد ساعات من نشر الأداة على الإنترنت أكدت “مايكرسوفت” تقديمها إصلاحًا للثغرة في تحديث لنظام التشغيل أصدرته في شهر مارس/آذار. وخلافًا لعادة “مايكروسوفت” في نشر أسماء الباحثين الذين يُنبهونها للثغرات الأمنية، لم تُعلن الشركة عن مكتشفي المشكلة، الأمر الذي دفع كثيرين للتكهن بأن الحكومة الأمريكية تقف وراء التحذير بعد تيقنها من تعرض أداة الاختراق للسرقة.

ويرى ناشطون مدافعون عن الخصوصية أنه في حال كان ذلك صحيحًا ستكون الحكومة الأمريكية مسؤولة عن ترك الكثير من الشركات والمؤسسات عرضة لخطر هجمات الجمعة. وسيُجدد الحادث الانتقادات لأساليب وكالات الاستخبارات في المراقبة وجمع البيانات عبر الإنترنت.

ويُعد هجوم الجمعة المرة الأولى التي يستخدم فيها قراصنة سلاحًا إلكترونيًا طورته “وكالة الأمن القومي” ومولته ضرائب المواطنين ضد المستشفيات والشركات والحكومات والمواطنين العاديين. ويتشابه ذلك مع استغلال “دودة ستوكسنيت” التي استخدمتها الولايات المتحدة وإسرائيل قبل سبعة أعوام لمهاجمة البرنامج النووي الإيراني، ويتكرر استخدام بعض مكوناتها في هجمات أقل طموحًا.

ولم تُؤكد الحكومة الأمريكية تبعية الأدوات التي تنشرها “وسطاء الظل” لوكالة الأمن القومي وغيرها من وكالات الاستخبارات، لكن مسؤولين سابقين في الاستخبارات قالوا أن الهجمات الأخيرة تبدو على صلة بوحدة “عمليات الوصول المُخصصة” Tailored Access Operations المعنية باختراق شبكات الحاسب الأجنبية والتابعة للوكالة، وتَغير اسمها لاحقًا.

ويُثير هجوم الجمعة تساؤلات ومخاوف حول تنامي أعداد الدول التي تُطور أسلحةً إلكترونية وتُخزنها واحتمال استغلال القراصنة من مختلف أنحاء العالم لهذه الأدوات وتوجيهها ضد المواطنين، كما أبرز الحادث حجم الضرر الهائل للهجمات الإلكترونية حتى دون استهداف شبكات الكهرباء والاتصالات في بلدٍ ما.

ونظمت إدارة الرئيس السابق باراك أوباما عملية مراجعة الثغرات البرمجية التي تكتشفها وكالات الاستخبارات وتحديد أي نقاط الضعف ستحتفظ بها لعمليات إلكترونية دفاعية أو هجومية في المستقبل وأيها ستُحذر الشركات من وجودها. ويبدو أن الثغرة التي استغلها هجوم الجمعة كانت ضمن الفئة الأولى، ولم تكشف عنها سوى بعد تعرضها للسرقة. وفي العام الماضي قالت الحكومة أنها لم تحتفظ سوى بنسبة صغيرة من ثغرات البرمجيات.

وقال باحثون أن سرعة انتشار الهجوم وتأثيره لم يتكرر خلال ما يقرب من عقد حين أصابت دودة الحاسب “كونفيكر” Conficker في عام 2008 ملايين من حواسيب الحكومات والشركات والأجهزة الشخصية في أكثر من 190 بلدًا، وهددت بالسيطرة على شبكات تتحكم في أنظمة الرعاية الصحية والنقل الجوي والمصارف.

ووصفت “وكالة الشرطة الأوروبية” أو “يوروبول” الهجوم بغير المسبوق، وأكدت الحاجة لتحقيق دولي مُعقد من أجل كشف الجناة. وقال روب وينرايت، رئيس وكالة “يوروبول”، أن هجوم الجمعة أثّر على أكثر من 200 ألف ضحية في 150 دولة, وأعرب عن قلقه عن ارتفاع أعداد المتضررين مع نهاية عطلة نهاية الأسبوع (السبت والأحد) وعودة المؤسسات إلى العمل يوم الاثنين. وأضاف وينرايت: “نُدير سنويًا نحو 200 عملية عالمية ضد الجرائم الإلكترونية، لكننا لم نشهد حدثًا مُماثلًا من قبل”.

صورة بيان من "هيئة الخدمات الصحية الوطنية" في المملكة المتحدة بشأن هجمات الجمعة

صورة البيان الأول من “هيئة الخدمات الصحية الوطنية” في المملكة المتحدة بشأن هجمات الجمعة ذكر أن الهجوم لا يستهدف الهيئة وحدها وأكد العمل لمواجهته بأسرع ما يُمكن

وتُحاول وكالات حكومية مواجهة الهجوم وكشف الفاعلين، وتحديد الخوادم التي يجري تشغيل البرمجيات الضارة منها والتحكم فيها ومن ثم إتاحة مفاتيح التشفير لجميع الشبكات المُصابة. وقد يلجأ المهاجمون أنفسهم لنشر مفاتيح التشفير بعدما باتوا الهدف الأول لوكالات الاستخبارات ومجتمع الأمن الإلكتروني في العالم.

ويرى معنيون بمجال الأمن الإلكتروني أنه سيكون من الصعب الإمساك بالمجرمين؛ نظرًا لطبيعة الهجمات الإلكترونية العابرة للحدود وتحصن المهاجمين بتقنيات معقدة تُخفي هوياتهم، فضلًا عن عدم استعداد الأنظمة القانونية المحلية أصلًا للتعامل مع هذه الجرائم العالمية.

وقال بريان لورد، وهو نائب سابق للاستخبارات والعمليات الإلكترونية في “مكاتب الاتصالات الحكومية” البريطانية، أن أي تحقيق، من شأنه أن يتضمن مشاركة “مكتب التحقيقات الفيدرالي” الأمريكي و”وكالة الجريمة الوطنية” في بريطانيا، سيستغرق عدة أشهر لكشف المهاجمين إن نجح في ذلك.

وقال لورد أن المنظمات الإجرامية تُركز على المؤسسات الكبيرة التي تمتلك سجلًا حافلًا في عدم تحديث أنظمتها. وأضاف أنه على الرغم من التخطيط والتوقيت والتنسيق الجيد للهجوم، فإنه يُشبه غيره كمحاولة للسطو والابتزاز.

ومع الانتشار الواسع للهجوم، نجح باحث بريطاني في أمن المعلومات يُعرف في “تويتر” باسم MalwareTechBlog عن طريق الصدفة في إيقاف تقدم الهجوم. ومن خلال تحليله لكود البرنامج اكتشف اتصاله بعنوان على الإنترنت غير مُسجل يتألف من مجموعة طويلة ومعقدة من الحروف.

وأقدم الباحث، الذي يبلغ من العمر 22 عامًا، على شراء عنوان النطاق، ما أتاح له الوصول إلى بيانات مثل مدى انتشار البرمجية الخبيثة، ومكنه من وقف انتشاره من جهازٍ إلى آخر، دون أن يعني ذلك إصلاح الأجهزة المتضررة بالفعل. وحذر خبراء من تطوير أشكال جديدة من برنامج الفدية الخبيثة قريبًا تتجاهل هذا المفتاح.

وأصدرت شركة “مايكروسوفت” بعد الهجوم تحديثًا أمنيًا غير مسبوق للإصدارات القديمة من “ويندوز” التي لم تُقدم لها دعمًا منتظمًا منذ فترة مثل “ويندوز إكس بي” و”ويندوز 8″ و”سيرفر 2003″. وقالت أنها ستُساعد في حماية المستخدمين من الهجمات التي لم تُصب الأجهزة التي تستخدم “ويندوز 10”. ورأى خبراء، مع إقرارهم بأهمية التحديث، أنه جاء متأخرًا بعد تضرر آلاف الأجهزة وتهديد مستخدميها بمحو بياناتهم.

الصور: 1 2 3 4 5