الفيروس الإلكتروني ''فليم'' يهدد شبكات وأنظمة الشركات الكبرى توصل معمل الشركة العالمية لحماية وأمن المعلومات ''كاسبر سكاي'' في سان فرانسيسكو إلى أحد أهم الخيوط المؤدية إلى معرفة مصدر الفيروس الإلكتروني ''فليم'' الذي حذرت منه الأممالمتحدة أخيرا، والذي عدته أخطر الفيروسات على الإطلاق. وذكرت في بيان نشرته أن معمل الشركة توصل إلى اكتشاف برنامج فرعي مستقل يدعى ''ميني فليم'' مصمم خصيصا للسرقة والتجسس من خلال سرقة البيانات والتحكم في الأنظمة المخترقة بشكل أكثر دقة، في الوقت الذي يمكنه شن هجمات إلكترونية عميقة. فيما أوضح عدد من خبراء المعمل أن البرنامج الفرعي الخبيث يعمل كأداة للتجسس وخادم في الوقت نفسه لمرسل الفيروس أو المتحكم فيه، فيعد كباب خلفي مخفي مصمم لمرور البيانات وسرقتها والوصول مباشرة إلى الأنظمة المستهدفة، وهو على الأرجح سلاح إلكتروني موجه ومستخدم فيما يمكن تعريفه بالموجة الثانية للهجوم الإلكتروني. أولاً : يتم استخدام برنامجي ''فليم'' أو ''جوازوس'' لإصابة أكبر عدد ممكن من الأهداف لجمع كميات كبيرة من المعلومات، وبعد جمع البيانات ومراجعتها، يتم تعريف وتحديد الجهاز المصاب ذي المحتوى المغري، ويتم تثبيت ''ميني فليم'' من أجل إجراء مزيد من عمليات المراقبة والتجسس الإلكتروني المتعمقة. وأشار خبراء أمن المعلومات إلى أن اكتشاف ''ميني فليم'' يوفر لكاسبر سكاي أدلة إضافية عن التعاون القائم بين مبتكري أبرز البرامج الخبيثة المستخدمة في الهجمات الإلكترونية وهي : ''ستيكنيست، دكوا، فليم، وجوازوس''. وتعود التفاصيل عندما اكتشف خبراء في شركة كاسبير سكاي عن برنامج ''ميني فليم'' المعرفة باسم SPE في تموز (يوليو) الماضي، وتم تصنيفه كفيروس ضمن فيروسات ''فليم'' إلا أن الأبحاث التي توصلت إليها الأسبوع الماضي أكدت أن ''ميني فليم'' أداة قابلة للتشغيل المتبادل التي يمكن استخدامها كبرنامج خبيث مستقل، أو في الوقت نفسه كبرنامج مساعد لبرنامجي ''فليم'' و''جوازوس'' الخبيثين. ويرتكز برنامج ''ميني فليم''، المعروف أيضاً باسم SPE، على المنصة الهندسية نفسها الخاصة ببرنامج ''فليم''، ويمكنه أن يعمل كبرنامج مستقل للتجسس الإلكتروني أو كمكون داخل برنامجي ''فليم'' والآخر الأقل خطورة ''جوازوس''. فيما أكدت ''كاسبر سكاي'' الشرق الأوسط ل''الاقتصادية'' أن عام 2007 شهد أول تطوير لفيروس ''ميني فليم'' واستمرت تلك التطورات حتى عام 2011، والمهم هنا هو معرفة التطورات التي حدثت للفيروس لنتمكن من عمل المضاد المناسب له، إذ توصل معمل الشركة إلى كشف 6 إصدارات مختلفة من برنامج ''ميني فليم''، يعود تاريخ إنشائها جميعاً إلى عامي 2010 و2011. وأشارت إلى أن قدرة ''ميني فليم'' على استخدامها كبرنامج مساعد لبرنامجي ''فليم'' أو ''جوازوس'' تربط بوضوح التعاون بين فريقي التطوير لهذين البرنامجين. وبما أن العلاقة بين برنامجي ''فليم'' و''جوازوس'' قد تم كشفها مسبقاً، فيمكن القول إن جميع التهديدات المتقدمة تأتي من مصدر ''الهجمات الإلكترونية'' نفسه. أوضحت ''كاسبر سكاي'' أن الناقل الأصلي لبرنامج ''ميني فليم'' لم يتم تحديده بعد. ونظراً للعلاقة المؤكدة بين ''ميني فليم'' و''فليم'' و''جوازوس''، فإن ''ميني فليم'' قابل للتثبيت على الأجهزة المصابة بالفعل من قبل برنامجي ''فليم'' أو ''جوازوس''. وبعد تثبيته، يعمل ''ميني فليم'' كباب خلفي ويمكن مشغلي البرامج الخبيثة من الحصول على أي ملف من الجهاز المصاب. وتتضمن القدرات الإضافية لسرقة المعلومات تصوير لقطات لشاشة جهاز كمبيوتر المصاب أثناء تشغيله البرنامج أو تطبيق معين مثل متصفح الإنترنت، أو برامج مايكروسوفت أو برنامج قارئ ملفات الأدوبي أو خدمة الرسائل الفورية، أو نظام لنقل الملفات. ويقوم ''ميني فليم'' بتحميل البيانات المسروقة من خلال الاتصال بخادم القيادة والتحكم الذي قد يكون مستقلاً أو مشتركاً مع خوادم القيادة والتحكم الخاصة ببرنامج ''فليم''. وبشكل منفصل، بناء على أمر من مشغل خادم القيادة والتحكم الخاص ببرنامج ''ميني فليم''، يمكن إرسال وحدة إضافية لسرقة البيانات على نظام مصاب، حيث يستهدف محركات USB ويستخدمها لتخزين البيانات التي تم جمعها من الأجهزة المصابة دون الاتصال بشبكة الإنترنت. جدير بالذكر أن إيران ألقت من قبل باللائمة على فيروس ''فليم'' في فقد بيانات على أجهزة الكمبيوتر في مرفأ تصدير النفط الرئيس في البلاد ووزارة النفط، وقال رويل شوفنبرج، وهو باحث كبير في شركة كاسبر سكاي لاب : ''فليم بمثابة سيف كبير يمكن استخدامه في الهجمات الواسعة النطاق، في حين أن ميني فليم بمثابة المشرط الذي يستخدم في عملية جراحية دقيقة''. فيما افترضت شركة كاسبر سكاي أن فيروس ''فليم'' هو الذي وزع في الأساس ''ميني فليم'' وفيروس ''جوس'' للتجسس الذي اكتشف أخيرا وكان الأكثر انتشارا في لبنان وربما كان يهدف إلى تعقب صفقات مالية، وتقول كاسبر سكاي إنه ليست هناك معلومات كثيرة متاحة عن ضحايا ''ميني فليم'' باستثناء أنهم أكثر انتشارا جغرافيا من ضحايا ''فليم'' و''جوس''، واكتشفت أغلب الإصابات بالفيروس في لبنان وإيران لكنه رصد أيضا في الأراضي الفلسطينية والكويت وقطر. "شامون" فيروس الكتروني عطل 30 الف حاسوب مسؤول أمريكي سابق مختص بأمن المعلوماتية "إن الولاياتالمتحدة تعتقد ان إيران تقف وراء هجوم الكتروني كبير على شركة النفط الحكومية السعودية وشركة قطرية للغاز"، وهذا الهدوم ادى الى تعطيل اكثر من 30 الف جهاز كمبيوتر في شركة "ارامكو" عبر فيروس "شامون" الذي اتلف المعلومات واظهر في الحواسيب صورا لاعلام امركية تحترق. "شامون" فيروس الكتروني عطل 30 الف حاسوب في شركة "ارامكو" السعودية وواشنطن تتهم ايران ابنا : قال « جيمس لويس » مسؤول أمريكي سابق مختص بأمن المعلوماتية "إن الولاياتالمتحدة تعتقد ان إيران تقف وراء هجوم الكتروني كبير على شركة النفط الحكومية السعودية وشركة قطرية للغاز"، وهذا الهدوم ادى الى تعطيل اكثر من 30 الف جهاز كمبيوتر في شركة "ارامكو" عبر فيروس "شامون" الذي اتلف المعلومات واظهر في الحواسيب صورا لاعلام امركية تحترق. وكان وزير الدفاع الأمريكي « ليون بانيتا » وجه في خطاب ألقاه الخميس حول أمن المعلوماتية تحذيراً مبطناً الى طهران بأن واشنطن مستعدة للقيام بتحركات وقائية لحماية شبكات الكمبيوتر الأمريكية. وقال إن الجيش الأمريكي يضع اللمسات الأخيرة لقواعد الاشتباك للتصدي لهجمات معلوماتية يمكن أن تسبب أضراراً كبيرة، بما في ذلك عبر وسائل هجومية. وأضاف "القواعد الجديدة ستؤكد ان وزارة الدفاع لا تتحمل مسؤولية الدفاع عن شبكاتها فحسب، بل أن تكون مستعدة أيضاً للدفاع عن البلاد ومصالحنا القومية في اي هجوم". وقال المسؤول جيمس لويس إن "الوكالات الحكومية الأمريكية خلصت الى ان إيران هي من دبر الفيروس شامون الذي أدى الى شل عشرات الآلاف من اجهزة الكمبيوتر في الشركة السعودية ارامكو وشركة راس غاز القطرية للغاز الطبيعي". ولويس عمل لحساب وزارة الخارجية الأمريكية ووكالات حكومية اخرى في مجال الأمن القومي وقضايا الانترنت. واضاف لويس الذي يعمل في مركز الدراسات الاستراتيجية والدولية ان "المسؤولين الأمريكيين لديهم أكثر من شكوك بأن إيران تقف أيضاً وراء هجمات أغسطس التي استهدفت مصارف أمريكية". وقال لوكالة "فرانس برس" "هناك قناعة بشكل عام بأنها إيران". واضاف : "انه من غير الممكن ألا تكون الحكومة الإيرانية على علم بعملية كبرى على الانترنت تأتي من مصادر داخل البلاد". وتساءل "كيف يمكن القيام بعملية واسعة النطاق مثل هذه في إيران بدون علم الحكومة، في حين انها تراقب الانترنت لغايات سياسية". وخلص مسؤولون حكوميون أمريكيون الى أن "إيران قد شنت الهجوم على الأرجح رداً على العقوبات بسبب برنامجها النووي وحملة تخريب على الانترنت اشارت معلومات الى انها حظيت بدعم واشنطن". من جهته قال مسؤول كبير في الإدارة رفض الكشف عن اسمه لوكالة فرانس برس إن الهجوم المعلوماتي على عملاقي النفط والغاز في الخليج الفارسي يعتقد انه تم من "جانب دولة" وأقر بأن إيران قد تكون مشبوها اساسيا. وكان بانيتا تحدث في خطابه عن فيروس الكتروني ضرب أخيراً شبكات شركة النفط السعودية ارامكو ما أدى الى توقف 300 ألف جهاز كمبيوتر عن العمل. وقال إن هذا الفيروس المتطور يعد "الهجوم الأكثر تدميراً على القطاع الخاص حتى اليوم". وبعد اسبوعين على الهجوم المعلوماتي على ارامكو في 15 اغسطس، أعلنت الشركة انها اعادت تشغيل جميع خدماتها الالكترونية التي تعطلت جراء فيروس تخريبي أثر على حوالي ثلاثين ألف جهاز كمبيوتر تابع للشركة لكنه لم يؤثر في العمليات الحيوية المتعلقة بالنفط. وأضاف بانيتا : "ان وزارة الدفاع تعرف ان "أطرافاً اجنبية تختبر شبكات البنى التحتية الأساسية للولايات المتحدة، وخصوصاً أنظمة مراقبة محطات الكهرباء وشبكات توزيع المياه والنقل". وأكد بانيتا ان وزارة الدفاع الأمريكية (البنتاغون) "طورت قدرات على القيام بعمليات فعالة لتطويق مثل هذه الهجمات ضد مصالحنا القومية في مجال الانترنت، بدون ان يستخدم على الإطلاق عبارة القدرة الهجومية". وعبّر بانيتا في الخطاب نفسه أمام اجتماع لرجال اعمال في نيويورك عن"القلق الأمريكي إزاء التهديدات بالهجمات المعلوماتية المرتبطة بالصين وروسيا، قائلاً إن إيران تبني قدراتها الرقمية". واعتبر لويس الذي كان مستشاراً أيضاً للحكومة الأمريكية حول أمن المعلوماتية ان بانيتا "اقترب من الإشارة الى إيران بالنسبة لبعض الخلل الذي شهدناه الشهر الماضي لكن بدون تسميتها". واضاف "نأمل ان يعتبر الإيرانيون ذلك بمثابة تحذير". وقال لويس إن إيران طورت قدراتها الرقمية في المجال العسكري أسرع مما كان يتوقع مسؤولون أمريكيون على الرغم من أن الهجوم المعلوماتي على شركة ارامكو السعودية كان غير متطور نسبياً. واضاف "نحن معتادون على الصين او روسيا، لكن دخول إيران على الخط أمر جديد ومختلف. والكثير من الناس لم يكونوا يعتقدون انها ستتطور بمثل هذه السرعة". وقال مسؤولون أمريكيون إن المعلومات حول الهجمات المعلوماتية الأخيرة رفعت السرية عنها لإفساح المجال أمام بانيتا لكي يشير اليها في خطابه. وأتلف الفيروس شامون ملفات حساسة واستبدلها بصور عن إحراق أعلام أمريكية. شكوك أميركية بوقوف إيران وراء الفيروسات الالكترونية قال مسؤول أميركي سابق عمل في قضايا تتعلق بأمن المعلوماتية الجمعة إن الولاياتالمتحدة تعتقد أن إيران تقف وراء هجوم الكتروني كبير على شركة النفط الحكومية السعودية وشركة قطرية للغاز. وكان وزير الدفاع الأميركي ليون بانيتا وجه في خطاب ألقاه الخميس حول أمن المعلوماتية تحذيرا مبطنا إلى طهران بان واشنطن مستعدة للقيام بتحركات وقائية لحماية شبكات الكمبيوتر الأميركية. وقال إن الجيش الأميركي يضع اللمسات الأخيرة لقواعد الاشتباك للتصدي لهجمات معلوماتية يمكن أن تسبب أضرارا كبيرة، بما في ذلك عبر وسائل هجومية. وأضاف : "القواعد الجديدة ستؤكد أن وزارة الدفاع لا تتحمل مسؤولية الدفاع عن شبكاتها فحسب، بل أن تكون مستعدة أيضا للدفاع عن البلاد ومصالحنا القومية في أي هجوم". وقال المسؤول جيمس لويس إن الوكالات الحكومية الأميركية خلصت إلى أن ايران هي من دبر الفيروس "شمعون" الذي أدى إلى شل عشرات الآلاف من أجهزة الكمبيوتر في الشركة السعودية أرامكو وشركة راس غاز القطرية للغاز الطبيعي. ولويس عمل لحساب وزارة الخارجية الأميركية ووكالات حكومية أخرى في مجال الأمن القومي وقضايا الإنترنت. وأضاف لويس، الذي يعمل في مركز الدراسات الاستراتيجية والدولية، أن المسؤولين الأميركيين لديهم "أكثر من شكوك" بان إيران تقف أيضا وراء هجمات آب/اغسطس التي استهدفت مصارف أميركية. وقال لوكالة فرانس برس : "هناك قناعة بشكل عام بأنها إيران". واضاف انه من غير الممكن ألا تكون الحكومة الإيرانية على علم بعملية كبرى على الإنترنت تأتي من مصادر داخل البلاد. وتساءل : "كيف يمكن القيام بعملية واسعة النطاق مثل هذه في إيران بدون علم الحكومة، في حين أنها تراقب الإنترنت لغايات سياسية". وخلص مسؤولون حكوميون اميركيون الى ان ايران قد شنت الهجوم على الأرجح ردا على العقوبات بسبب برنامجها النووي وحملة تخريب على الإنترنت أشارت معلومات إلى أنها حظيت بدعم واشنطن كما قال. من جهته قال مسؤول كبير في الإدارة رفض الكشف عن اسمه لوكالة فرانس برس أن الهجوم المعلوماتي على عملاقي النفط في الخليج يعتقد انه تم من "جانب دولة" واقر بان ايران قد تكون مشبوها اساسيا. وكان بانيتا تحدث في خطابه عن فيروس الكتروني ضرب مؤخرا شبكات شركة النفط السعودية ارامكو ما ادى إلى توقف 300 ألف جهاز كمبيوتر عن العمل. وقال إن هذا الفيروس المتطور يعد "الهجوم الأكثر تدميرا على القطاع الخاص حتى اليوم". وأضاف بانيتا ان وزارة الدفاع "تعرف" ان "اطرافا اجنبية تختبر شبكات البنى التحتية الأساسية" للولايات المتحدة، وخصوصا أنظمة مراقبة محطات الكهرباء وشبكات توزيع المياه والنقل. وأكد بانيتا أن وزارة الدفاع الأميركية "البنتاغون" "طورت قدرات على القيام بعمليات فعالة لتطويق مثل هذه الهجمات ضد مصالحنا القومية في مجال الانترنت"، بدون ان يستخدم على الاطلاق عبارة "القدرة الهجومية". وعبر بانيتا في الخطاب نفسه امام اجتماع لرجال اعمال في نيويورك عن القلق الاميركي ازاء التهديدات بالهجمات المعلوماتية المرتبطة بالصين وروسيا، قائلا ان ايران تبني قدراتها الرقمية. وتحدث بانيتا عن سيناريوهات عدة لمهاجمة اهداف اميركية من قبل دول او مجموعات قد تسيطر على شبكات حيوية. وقال ان النتيجة يمكن ان تكون "بيرل هاربور الكترونية"، اي "هجوم يؤدي الى دمار مادي او فقدان ارواح او شلل او صدمة للشعب ويولد مجددا احساسا بغياب الامان". واعتبر لويس الذي كان مستشارا ايضا للحكومة الاميركية حول امن المعلوماتية ان بانيتا "اقترب من الاشارة الى ايران بالنسبة لبعض الخلل الذي شهدناه الشهر الماضي لكن بدون تسميتها". واضاف "نامل ان يعتبر الايرانيون ذلك بمثابة تحذير". وقال لويس ان ايران طورت قدراتها الرقمية في المجال العسكري اسرع مما كان يتوقع مسؤولون اميركيون رغم ان الهجوم المعلوماتي على شركة ارامكو السعودية كان غير متطور نسبيا. واضاف "نحن معتادون على الصين او روسيا، لكن دخول ايران على الخط امر جديد ومختلف. والكثير من الناس لم يكونوا يعتقدون انها ستتطور بمثل هذه السرعة". وكانت معلومات اشارت الى ان بانيتا الذي كان مديرا لوكالة الاستخبارات المركزية "سي آي ايه" ساعد في شن حملة تخريب معلوماتية لا سابق لها استهدفت البرنامج النووي الايراني. وقال مسؤولون اميركيون ان المعلومات حول الهجمات المعلوماتية الاخيرة رفعت السرية عنها لافساح المجال امام بانيتا لكي يشير اليها في خطابه. واتلف الفيروس "شمعون" ملفات حساسة واستبدلها بصور عن احراق اعلام اميركية. وبعد اسبوعين على الهجوم المعلوماتي على ارامكو في 15 اب/اغسطس، اعلنت الشركة انها اعادت تشغيل جميع خدماتها الالكترونية التي تعطلت جراء فيروس "تخريبي" اثر على حوالى ثلاثين الف جهاز كمبيوتر تابع للشركة لكنه لم يؤثر على العمليات الحيوية المتعلقة بالنفط. انتشار فايروس الكتروني لمستخدمي سكايبكشف تقرير صادر عن بعض الشركات الأمنية تعرض العديد من مستخدمي برنامج المحادثة الشهير سكايب لفيروس يعرّف باسم دوركبوت "Dorkbot". وأشارت الشركة اليابانية ترند مايكرو "Trend Micro" المتخصصة بالحلول الأمينة إلى تعرض 400 مستخدم للفيروس المذكور، والذين يستخدمون مضاد الفيروس الذي تنتجه الشركة حول العالم، خلال 12 ساعة. وفيروس دوركبوت هو الفيروس الذي تعرض له سابقا الكثير من المستخدمين على شبكات التواصل الاجتماعي فيسبوك وتويتر، ويقوم هذا الفيروس بإرسال عبارات بالإنجليزية أو بالألمانية، من قبيل، هل هذه صورة ملفك الشخصي الجديدة؟ "lol is this your new profile pic؟" يليها رابط يؤدي النقر عليه إلى تحميل ملف مضغوط باسم "Skype_todaysupdate.zip" موجود على موقع Hotfile.com، وعند تثبيت التحديث المزعوم يقع الضحية في فخ الفيروس ثم يعمل على إظهار رسالة على سطح المكتب مفادها أنه قد تم تشفير جميع الملفات الخاصة بالمستخدم وستحذف إن لم يدفع مبلغ 200 دولار في غضون 48 ساعة. وقالت شركة سوفوس Sophos الأمنية إنه لا يزال تأثير هذا الفيروس محدودا على مجتمع مستخدمي سكايب، ويصنف ضمن النوع ransomware. وعلقت شركة سكايب ردا على التقارير التي رفعت إليها عن الفيروس الجديد، بأنها تعمل على حل المشكلة، وبأنها تعمل بجد عندما يتعلق الأمر بأمن المستخدمين، وأنها تحثهم على تحديث برنامج سكايب إلى أحدث إصداراته، وألا يقوم المستخدم بالنقر على أي رابط يظهر له إلا إذا وثق بمن يرسل له هذا الرابط.
