الكشف عن هجوم إلكتروني في المملكة العربية السعودية

الكشف عن هجوم إلكتروني
في المملكة العربية السعودية

دبي، الإمارات العربية المتحدة (CNN)
أعلن المركز السعودي للأمن الإلكتروني، الإثنين، عن تهديد إلكتروني يستهدف المملكة العربية السعودية.
وأشار المركز، التابع لوزارة المعلومات السعودية، إلى أن "التهديد المتقدّم الحديث" "advanced persistent threat" (أو ATP اختصاراً)، يستغل الثغرات برامج تحكم "PowerShell"، التابعة لأنظمة تشغيل "ويندوز"، ويلجأ لبروتوكولات "HTTP" للتواصل مع الخادم لسرقة البيانات أو إرسال الأوامر لجهاز الضحية، وفقاً لما ذكر عبر الموقع الإلكتروني للمركز.
يشار إلى أن هجمات "APT" تعد معقّدة من الناحية التشفيرية، كما أنها تستمر لمدة طويلة، ويتوجب وجود عنصر بشري لإطالة المدة الزمنية التي تستمر بها هذه الهجمات على فترات طويلة.

كيف وصلت هذه الفيروسات للأجهزة المتضرّرة؟

رغم أن المركز لم يذكر من قد يكون وراء هذا الهجوم الإلكتروني أو الجهات والأفراد المتضرّرين بالهجوم في المملكة أو حتى مدى النطاق الذي طاله هذا الهجوم، إلا أن القائمين أشاروا إلى وجود عدد من الطرق التي لجأ إليها القراصنة في شن هذه الهجمات بإرسال البرامج الخبيثة وتثبيتها بالأجهزة المتضررة، منها:
- مستندات "Microsoft Office":
تم إرسال البرامج الخبيثة بهيئة روابط داخل مستندات "Microsoft Office" والتي أرسلت من خلال الرسائل الإلكترونية من مصادر غير موثوقة، كما أنها أتت بشكل ملفات "RAR" محمية بكلمة سر أرسلت عبر الرسالة الإلكترونية ذاتها، وذلك بهدف تجنب البرامج المتصدّية للفيروسات داخل الأجهزة.
- المواقع الخبيثة:
بعض هذه البرامج زرعت في مواقع عبر الإنترنت تعيد توجيه المستخدم إلى مواقع إلكترونية أخرى تطلب تحميل الملفات التي تحوي الفيروسات التي تستهدف الجهاز عن طريق برامج مثل "VBS" و"PowerShell scripts".

هل جهازي مصاب بهذا البرنامج؟

أوصى المركز باتباع الطرق التالية للكشف عن التحركات المشبوهة عبر شبكة الإنترنت والتي قد تكون ذات صلة بالهجوم:
- راجع سجلات "Proxy " و"SIEM" و"Firewall" للبحث عن روابط تستخدم بروتوكول "HTTP" والتي قد تنتهي بهاذين النمطين:
*.php?c=(Base64 data)
*.aspx?c=(Base64 data)
- تحقق من أي اتصال عبر بروتوكول "HTTP" إلى عناوين معرّفات "IPs" غير صحيحة، والتي لا تحوي أسماء نطاقات "domain names"
- ابحث عن أي اتصال بالمعرّفات "IPs" التالية: 148.251.204.131 و144.76.109.88
- البحث في بواية البريد الإلكتروني "email gateway" عن رسائل إلكترونية مرفقة بلمفات تحميها كلمات مرور أو تلك المرفقة بملفات "Office" الحاوية لوحدات ماكرو "macros" تم حظرها أو التنبيه من وجودها.
- زد من استخدام برنامج "PowerShell" المحدّث على نقاط الأجهزة "endpoints" والخوادم "servers".

كيف يمكنني حماية أجهزتي ومعلوماتي من هذا الهجوم؟

قدم المركز عدداً من التوصيات لحماية الأجهزة الإلكترونية من الإصابة بهجوم "ATP" الأخير، منها:
- تحديث برامج تحكم "PowerShell" للنسخة الخامسة وحذف النسخ القديمة منه.
- تفعيل تسجيل الوحدة النمطية " Module Logging" وتسجيل البرنامج النصي " Script-Block Logging" وكتاب تسجيل الدخول " Transcript Logging" في النسخة الخامسة لبرنامج "PowerShell"
- السماح للبرامج التي تحتاج إليها الجهة فقط، وتفعيل خيار "القائمة البيضاء" أو "whitelisting" لاختيار البرامج الآمنة.
- استخدام أدوات تصفية الرسائل الإلكترونية "email filtering" لمسح ومنع أي مستندات مشكوك بها من الوصول للأجهزة الإلكترونية مثل تلك المستخدمة في برنامجي "Windows Host Scripting" و"HTA files"
- منع تشغيل الملفات القابلة للتنفيذ "executables" والنصوص البرمجية القادمة من مجلدات خاضعة لتحكم المستخدم، مثل " C:\Users\<Username>" والمجلدات المؤقتة مثل: " C:\Windows\Temp"
- تطبيق حلول لمراقبة سلامة الملفات أو " File Integrity Monitoring" (FIM اختصاراً) والتي يمكنها مراقبة سلامة المحتوى عبر جميع التطبيقات المقدمة من الإنترنت مثل تطبيقات الويب والبريد الإلكتروني و"VPN portals."، ونبّه المركز من التركيز على عن أي تعديل غير مصرح به داخل تلك الخوادم، حيث قد يشير ذلك إلى نجاح الهجوم.