تيار توقيته في آخر يوم عمل لإحداث أكبر قدر من الضرر

بعد اختفاء 4 سنوات.. "شمعون" يعود لمهاجمة السعودية




[/URL]



https://cdn.sabq.org/uploads/media-cache/resize_800_relative/uploads/material-file/583fddb3059c601f885a13a5/583fdd9c8b4cc.png




A A A


[URL="https://twitter.com/intent/tweet?text=%D8%A8%D8%B9%D8%AF%20%D8%A7%D8%AE%D8%AA %D9%81%D8%A7%D8%A1%204%20%D8%B3%D9%86%D9%88%D8%A7% D8%AA..%20%22%D8%B4%D9%85%D8%B9%D9%88%D9%86%22%20% D9%8A%D8%B9%D9%88%D8%AF%20%D9%84%D9%85%D9%87%D8%A7 %D8%AC%D9%85%D8%A9%20%D8%A7%D9%84%D8%B3%D8%B9%D9%8 8%D8%AF%D9%8A%D8%A9%20https%3A%2F%2Fsabq.org%2FSy5 V9W%20%40sabqorg"] (https://twitter.com/intent/tweet?text=%D8%A8%D8%B9%D8%AF%20%D8%A7%D8%AE%D8%AA %D9%81%D8%A7%D8%A1%204%20%D8%B3%D9%86%D9%88%D8%A7% D8%AA..%20%22%D8%B4%D9%85%D8%B9%D9%88%D9%86%22%20% D9%8A%D8%B9%D9%88%D8%AF%20%D9%84%D9%85%D9%87%D8%A7 %D8%AC%D9%85%D8%A9%20%D8%A7%D9%84%D8%B3%D8%B9%D9%8 8%D8%AF%D9%8A%D8%A9%20https%3A%2F%2Fsabq.org%2FSy5 V9W%20%40sabqorg)

254مشاركة


https://cdn.sabq.org/uploads/media-cache/resize_120_120/uploads/users-profile-images/56882f68b9f34.png خالد علي - نيويورك (https://sabq.org/city/%D9%86%D9%8A%D9%88%D9%8A%D9%88%D8%B1%D9%83)
1
17
84,220




قالت شركات أمن إلكترونية أمريكية: إن الفيروس المستخدم في الهجمات الإلكترونية المنظمة التي تتعرض لها عدة جهات حكومية، ومنشآت حيوية وجهات أخرى في السعودية هو فيروس "شمعون".



(http://inread-experience.teads.tv/)


وسبق لهذا الفيروس أن هاجم أجهزة كمبيوترات شركات الطاقة في السعودية والشرق الأوسط في عام 2012، وعبّر حينها مسؤولون في أمن المعلومات في الولايات المتحدة عن اعتقادهم في أن تكون إيران وراء تلك الهجمات الإلكترونية.

وأشارت شركات الأمن الأمريكية إلى أن الفيروس الجديد "شمعون 2" عاد فجأة بعد 4 سنوات للنشاط مجدداً لمهاجمة الأجهزة الحكومية في السعودية للاستيلاء على معلومات الدخول للنظام، وزرع برمجية خبيثة لتعطيل بيانات المستخدم.

وذكرت تقارير أمريكية أنه لا تُعرَف الجهة المهاجمة ولا الدوافع؛ إلا أن الواضح أنه تم اختيار توقيت البرمجيات الخبيثة على العمل في مهاجمة الأجهزة ومسح البيانات مع نهاية دوام يوم الخميس الذي يُعَد آخر يوم للأعمال الرسمية في السعودية، في محاولة لتقليل فرص اكتشافه، وللسماح للفيروس الخبيث بإحداث أكبر قدر من الضرر.

وكان مركز الأمن الإلكتروني بالسعودية، قد قام بإرسال تحذيرات عن تهديد يستهدف تعطيل الخدمات لبعض الجهات (بتاريخ 18 صفر 1438هـ، الموافق 19 نوفمبر 2016)، ومشاركة عدد من الجهات الحكومية والمرافق المهمة هذه التحذيرات التي تَضَمّنت المعلومات اللازمة لتجنب الإصابة بالهجمة، وسبل الحماية منها، والخطوات التقنية لتلافي تبعات الاختراق.

يختفي ويظهر منذ عام 2012م.. وقراصنته غامضون

"فايروس شمعون" يطل برأسه مجددًا.. تعرّف على حقيقته وأضراره الإلكترونية




[/URL]



https://cdn.sabq.org/uploads/media-cache/resize_800_relative/uploads/material-file/58864d8451a773ec1fbca63a/58864cf83f4b8.jpg




A A A


[URL="https://twitter.com/intent/tweet?text=%22%D9%81%D8%A7%D9%8A%D8%B1%D9%88%D8%B3 %20%D8%B4%D9%85%D8%B9%D9%88%D9%86%22%20%D9%8A%D8%B 7%D9%84%20%D8%A8%D8%B1%D8%A3%D8%B3%D9%87%20%D9%85% D8%AC%D8%AF%D8%AF%D9%8B%D8%A7..%20%D8%AA%D8%B9%D8% B1%D9%91%D9%81%20%D8%B9%D9%84%D9%89%20%D8%AD%D9%82 %D9%8A%D9%82%D8%AA%D9%87%20%D9%88%D8%A3%D8%B6%D8%B 1%D8%A7%D8%B1%D9%87%20%D8%A7%D9%84%D8%A5%D9%84%D9% 83%D8%AA%D8%B1%D9%88%D9%86%D9%8A%D8%A9%20https%3A% 2F%2Fsabq.org%2FcgnJC3%20%40sabqorg"] (https://twitter.com/intent/tweet?text=%22%D9%81%D8%A7%D9%8A%D8%B1%D9%88%D8%B3 %20%D8%B4%D9%85%D8%B9%D9%88%D9%86%22%20%D9%8A%D8%B 7%D9%84%20%D8%A8%D8%B1%D8%A3%D8%B3%D9%87%20%D9%85% D8%AC%D8%AF%D8%AF%D9%8B%D8%A7..%20%D8%AA%D8%B9%D8% B1%D9%91%D9%81%20%D8%B9%D9%84%D9%89%20%D8%AD%D9%82 %D9%8A%D9%82%D8%AA%D9%87%20%D9%88%D8%A3%D8%B6%D8%B 1%D8%A7%D8%B1%D9%87%20%D8%A7%D9%84%D8%A5%D9%84%D9% 83%D8%AA%D8%B1%D9%88%D9%86%D9%8A%D8%A9%20https%3A% 2F%2Fsabq.org%2FRbnSrN%20%40sabqorg)

575مشاركة


https://cdn.sabq.org/uploads/media-cache/resize_120_120/uploads/users-profile-images/568e2077a9666.jpg محمد حضاض - جدة (https://sabq.org/city/%D8%AC%D8%AF%D8%A9)
1
27
64,855




عاد "فايروس شمعون" ليطل برأسه من جديد مهاجماً عديد الأنظمة الإلكترونية للهيئات والشركات السعودية اليوم الاثنين، وسط ترقب وحذر من قبل تلك الجهات التي تعمل بكامل طاقاتها لتفادي تلك الهجمات.

وطالبت عدد من الجهات موظفيها بعدم فتح الرسائل الإلكترونية في حين اضطر بعضها إلى غلق خدمة الإنترنت تفادياً للغزو الإلكتروني الشمعوني.

الفايروس وإيران
وكان هذا الفيروس قد هاجم أجهزة كمبيوترات شركات الطاقة في السعودية والشرق الأوسط في عام 20122، وعبّر حينها مسؤولون في أمن المعلومات في الولايات المتحدة عن اعتقادهم في أن تكون إيران وراء تلك الهجمات الإلكترونية.

وأشارت شركات الأمن الأمريكية إلى أن الفيروس عاد فجأة بعد أربع سنوات للنشاط مجدداً لمهاجمة الأجهزة الحكومية في السعودية للاستيلاء على معلومات الدخول للنظام، وزرع برمجية خبيثة لتعطيل بيانات المستخدم، مطلع ديسمبر الماضي، قبل أن يهدأ ويعود مرة أخرى صباح اليوم.

شمعون المرعب
ويعد فايروس شمعون أحد أكثر الأسماء المرعبة للأجهزة الحاسوبية، حيث لم يعرف من مطوره الحقيقي، وهو فايروس من النوع الخطير للغاية لاستهدافه كبريات الشركات حول العالم وقيامه بتعطيل أجهزة الحواسيب الخاصة بها عن طريق إلحاق ضرر بملفات الإقلاع في الحاسوب ليصبح صاحبه غير قادر على تشغيله مجددًا.

طريقة الاختراق
ووفقًا لموقع "محترفو الشرح الإلكتروني" فإن المحاولات السابقة كشفت أن القراصنة المسؤولين عن تنفيذ هجماتهم من خلال فايروس "شمعون" يخترقون الجهاز بالكامل ويحصلون على جميع بياناته ثم يعطلونه ويمنعون إمكانية الوصول إليه، ويستهدف هؤلاء القراصنة والذين لم يتم الكشف عن هويتهم بعد مجموعة من الشركات في دول الخليج مثل السعودية وأيضا شركات أخرى عملاقة في الولايات المتحدة الأمريكية.


وقد ظهر فايروس "شمعون" للمرة الأولى في عام 2012 وبدأ أكبر هجماته في سنة 20144 بحيث سيطر على مجموعة من الحواسيب الخاصة بشركات تعمل في مجال السينما بهوليود وأيضا قام بإلحاق ضرر بمجموعة من الشركات المتخصصة في إنتاج الطاقة بدول الخليج العربي.

حقيقة الصور
وعادت شركات الأمن والحماية مجددًا لتحذر الشركات من فايروس "شمعون"، حيث انتشرت نسخة جديدة من هذا الفايروس تلحق الضرر بأجهزة الجواسيب، والغريب في الفايروس عرضه الصور أثناء سيطرته على الحاسوب، حيث إنه في الهجمات التي تم شنها في عام 2014 بواسطة هذا الفايروس على شركات أمريكية وأيضا خليجية تم نشر صورة لعلم أمريكي يحترق، وفي الهجمات التي تم شنها العام الماضي تم نشر صورة للطفل إيلان كردي الذي تم العثور عليه ميتًا على أحد الشواطئ التركية بعد أن جرفته الأمواج.

​نصح بخطوات لتجنب الهجمات وشدد على المنشآت بضرورة تدريب كوادرها

"خبير شبكات" يحذر: الحسابات المتعددة لمسؤولي الشبكات عرضة لـ"شمعون"




[/URL]



https://cdn.sabq.org/uploads/media-cache/resize_800_relative/uploads/material-file/588777aa51a773e91fbca641/588777a50d22a.jpg




A A A


[URL="https://twitter.com/intent/tweet?text=%22%D8%AE%D8%A8%D9%8A%D8%B1%20%D8%B4%D8 %A8%D9%83%D8%A7%D8%AA%22%20%D9%8A%D8%AD%D8%B0%D8%B 1%3A%20%D8%A7%D9%84%D8%AD%D8%B3%D8%A7%D8%A8%D8%A7% D8%AA%20%D8%A7%D9%84%D9%85%D8%AA%D8%B9%D8%AF%D8%AF %D8%A9%20%D9%84%D9%85%D8%B3%D8%A4%D9%88%D9%84%D9%8 A%20%D8%A7%D9%84%D8%B4%D8%A8%D9%83%D8%A7%D8%AA%20% D8%B9%D8%B1%D8%B6%D8%A9%20%D9%84%D9%80%22%D8%B4%D9 %85%D8%B9%D9%88%D9%86%22%20https%3A%2F%2Fsabq.org% 2FHqJrfK%20%40sabqorg"] (https://twitter.com/intent/tweet?text=%22%D8%AE%D8%A8%D9%8A%D8%B1%20%D8%B4%D8 %A8%D9%83%D8%A7%D8%AA%22%20%D9%8A%D8%AD%D8%B0%D8%B 1%3A%20%D8%A7%D9%84%D8%AD%D8%B3%D8%A7%D8%A8%D8%A7% D8%AA%20%D8%A7%D9%84%D9%85%D8%AA%D8%B9%D8%AF%D8%AF %D8%A9%20%D9%84%D9%85%D8%B3%D8%A4%D9%88%D9%84%D9%8 A%20%D8%A7%D9%84%D8%B4%D8%A8%D9%83%D8%A7%D8%AA%20% D8%B9%D8%B1%D8%B6%D8%A9%20%D9%84%D9%80%22%D8%B4%D9 %85%D8%B9%D9%88%D9%86%22%20https%3A%2F%2Fsabq.org% 2FHqJrfK%20%40sabqorg)

29مشاركة


https://cdn.sabq.org/uploads/media-cache/resize_120_120/uploads/users-profile-images/5634de8622869.jpeg هادي العصيمي - مكة المكرمة (https://sabq.org/city/%D9%85%D9%83%D8%A9-%D8%A7%D9%84%D9%85%D9%83%D8%B1%D9%85%D8%A9)
3
4
6,275




حذّر خبير الشبكات والأمن الإلكتروني، المهندس فواز نشار، من مغبة تعدد أصحاب الصلاحية في الدخول إلى الشبكات داخل المنشآت، خاصة الذين يمتلكون حسابات لديها صلاحيات إدارة الأنظمة، مؤكداً أن ذلك من شأنه إتاحة الفرصة للهجمات الإلكترونية على المنشأة.
وفي الوقت الذي نشط فيه الإصدار الثاني من فيروس "شمعون 2.0" وفيروس "الفدية Ransomware"؛ قدم المهندس نشار، وهو مدير عام قطاع تطوير الأعمال والخدمات بالغرفة التجارية الصناعية بمكة المكرمة، بضرورة اتباع خطوات محددة للحيلولة دون وصول هجمات الفيروس للأجهزة الإلكترونية، مشدداً على ضرورة اهتمام المنشآت بالأمن الإلكتروني حفاظاً على مصالحها ومكتسباتها.



ولخص توصيات مواجهة "شمعون" في ضرورة التحقق من وجود نسخ احتياطية حديثة للمعلومات، وعدم أخذ نسخ احتياطية على نفس الجهاز المصاب بالفيروس، مع ضرورة التأكيد على عدم فتح الروابط أو مرفقات البريد الإلكتروني، وعدم تصفح المواقع المشبوهة، أو التي لا تمت بصلة للعمل.
ودعا المهندس نشار إلى أهمية تحديث أنظمة التشغيل والتطبيقات بشكل دوري وفعال، مع ضرورة استخدام برامج مكافحة الفيروسات والتأكد من تحديثها دورياً، واستخدام أنظمة الكشف المتطورة عن البرمجيات الخبيثة، والإسراع بعزل الأجهزة المشتبه بإصابتها عن الشبكة، وعدم تحميل ملفات من مواقع الانترنت غير المعروفة أو غير الموثوقة.
وأكد أن على المنشآت تدريب كوادرها العاملة في مجال الأمن الإلكتروني بشكل دوري للتعامل باحترافية مع الهجمات الفيروسية، والحد من انتشارها وتوسعها، مع زيادة جرعات توعية الموظفين من خلال تكثيف الحملات التوعوية؛ لتسليط الضوء على أنواع الإصابات المحتملة.

شارت إلى أنها ستراقب المجموعة حتى ظهور أدلة جديدة

"سيمانتيك" تكشف المتهم الذي يقف وراء فيروس شمعون




[/URL]



https://cdn.sabq.org/uploads/media-cache/resize_800_relative/uploads/material-file/5887b17a815736d9ed87d676/5887b16230a1b.jpg




A A A


[URL="https://twitter.com/intent/tweet?text=%22%D8%B3%D9%8A%D9%85%D8%A7%D9%86%D8%AA %D9%8A%D9%83%22%20%D8%AA%D9%83%D8%B4%D9%81%20%D8%A 7%D9%84%D9%85%D8%AA%D9%87%D9%85%20%D8%A7%D9%84%D8% B0%D9%8A%20%D9%8A%D9%82%D9%81%20%D9%88%D8%B1%D8%A7 %D8%A1%20%D9%81%D9%8A%D8%B1%D9%88%D8%B3%20%D8%B4%D 9%85%D8%B9%D9%88%D9%86%20https%3A%2F%2Fsabq.org%2F kX5wdx%20%40sabqorg"] (https://twitter.com/intent/tweet?text=%22%D8%B3%D9%8A%D9%85%D8%A7%D9%86%D8%AA %D9%8A%D9%83%22%20%D8%AA%D9%83%D8%B4%D9%81%20%D8%A 7%D9%84%D9%85%D8%AA%D9%87%D9%85%20%D8%A7%D9%84%D8% B0%D9%8A%20%D9%8A%D9%82%D9%81%20%D9%88%D8%B1%D8%A7 %D8%A1%20%D9%81%D9%8A%D8%B1%D9%88%D8%B3%20%D8%B4%D 9%85%D8%B9%D9%88%D9%86%20https%3A%2F%2Fsabq.org%2F nCjZYN%20%40sabqorg)

7مشاركة


https://cdn.sabq.org/uploads/media-cache/resize_120_120/uploads/users-profile-images/56a91540ce1d5.jpg عبدالله الراجحي - جدة (https://sabq.org/city/%D8%AC%D8%AF%D8%A9)
0
0
2,949




وجهت شركة سيمانتيك أصابع الاتهام إلى مجموعة قرصنة وتجسس إلكتروني تدعى “جرين بج” والتي تعتقد سيمانتيك أنها الجهة التي تقف وراء فيروس “شمعون” الذي عاد ليضرب في الساعات الماضية عدداً من الجهات الرسمية في المملكة العربية السعودية. واستندت سيمانتيك في اتهامها على تحليل تقني معمق.

وكانت سيمانتيك قد اكتشفت مجموعة القرصنة والتجسس الإلكتروني “جرين بج” أثناء تحقيقها في هجوم تسبب في تدمير ومسح بيانات استخدم فيه فيروس W32.Disttrack.B المعروف باسم شمعون Shamoon. وتصدر فيروس W32.Disttrack الأخبار لأول مرة في عام 2012 عندما استخدم في هجوم إلكتروني استهدف شركات الطاقة في المملكة العربية السعودية. وظهر الفيروس بوجه جديد في نوفمبر 2016 باسم W32.Disttrack.B ليستهدف مرة أخرى شركات في المملكة العربية السعودية.

ويحمل فيروس W32.Disttrackk فقط أوامر المسح، ويلزمه ملفات أخرى ليستطيع الدخول والانتشار في شبكات الشركات المستهدفة، وهذه الملفات يجب أن تكون مبنية على ملفات الشركة المصرح بها. وفي الوقت الذي تمت تغطية الهجمات في وسائل الإعلام، تبقى الإجابة على السؤال التالي غامضة: كيف استطاع القراصنة المهاجمون الاستيلاء على هذه الملفات المعتمدة وتوجيه W32.Disttrack إلى الشبكات المستهدفة؟!.

وبينت أنه تم اكتشاف مجموعة “جرين بج” عندما استهدفت مجموعة من المؤسسات في الشرق الأوسط، منها شركات تعمل في مجالات مثل الطيران والطاقة والاستثمار والتعليم وحتى الحكومية. واستخدمت المجموعة برمجية من نوع “حصان طروادة” (Trojan (RAT لسرقة المعلومات عن بعد والمعروفة باسم Trojan.Ismdoor، بالإضافة إلى مجموعة من أدوات القرصنة التي ساعدتها على سرقة ملفات معتمدة حساسة من المؤسسات المخترقة.

ولا يوجد دليل قاطع على صلة مجموعة “جرين بج” بفيروس “شمعون”، إلا أن المجموعة سيطرت على حاسوب رئيس واحد على الأقل في هجمة شمعون التي سبقت هجمة W32.Disttrack.B والتي استهدفت شبكة المؤسسة في 17- نوفمبر- 2016.

ونشطت مجموعة القرصنة والتجسس "جرين بج" في شهر يونيو 20166، وتعتمد المجموعة في هجماتها على البريد الإلكتروني لتتمكن من اختراق المؤسسة. وترى سيمانتيك أن هذه المجموعة تملك صلاحيات دخول حصرية على البرمجية الخبيثة Trojan.Ismdoor. وتستخدم المجموعة أدوات إضافية للسيطرة على أجهزة الحاسوب الأخرى المتصلة بالشبكة وسرقة اسم المستخدم وكلمة السر الخاصة بكل حاسوب من داخل نظام التشغيل نفسه أو حساب البريد الإلكتروني ومتصفح الإنترنت.

واستخدمت برمجية Trojan.Ismdoor الخبيثة بين يونيو ونوفمبر 20166 ضد عدد من الأهداف وعلى نطاق واسع في منطقة الشرق الأوسط. وكجزء من العملية استخدمت المجموعة البنية التحتية لإحدى شركات الطاقة لاستضافة Ismdoor. وشملت الهجمات شركات تعمل في مجال الطيران والتعليم والمنظمات الحكومية والاستثمار. وتأثرت بها بلاد مثل المملكة العربية السعودية والبحرين والعراق وقطر والكويت وتركيا وإيران. وتم استهداف مؤسسة سعودية في أستراليا.

ويعتقد أن الهجوم بدأ ببريد إلكتروني طلب من المستخدم تحميل ملف مضغوط RARR يحمل معلومات وصفت في البريد بأنها عرض عمل، والملف مستضاف على موقع إنترنت قانوني قد تكون المجموعة سيطرت عليه قبل الهجمة، وبداخل الملف RAR توجد برمجية Ismdoor الخبيثة مختبئة باستخدام تقنية دفق البيانات البديلة.

وتقنية "تدفق البيانات البديلة" Alternate Data Streams تعمل على الأقراص الصلبة التي تعمل بنظام NTFSS على نظام Windows، وتستخدم في الأصل لإضافة تفاصيل الملف الأصلي ولا يستطيع المستخدم رؤيتها، ما يجعلها مكاناً مثالياً للمهاجم ليخبئ بها ملفات البرمجية الخبيثة المراد زرعها داخل الحاسوب لاختراقه.

وجود "جرين بج" على شبكة المؤسسات المستهدفة قبل هجوم مسح البيانات W32.Disttrack.BB يبني صلة مبدئية لعلاقتهم بالهجمات. فاختيار "جرين بج" المؤسسات المستهدفة والأدوات المستخدمة وهجمة Ismdoor جاءت قبل يوم واحد من هجوم "شمعون" في 17-نوفمير-2016 كل هذا يثير الشبهات حول المجموعة. وأكدت سيمانتيك أنها ستراقب المجموعة حتى ظهور أدلة جديدة.