الهاكرز يتوعد شركة ارامكوا بالاختراق مالم تنفذ مطالبهم الشرعية ؟

ذكرت مجموعة من الهاكر قبل يومين بأنها ستقوم بعملية ضخمه لأختراق شبكة شركة أرامكو ، وكانت شركة أرامكو تعرضت لعملية اختراق كبيرة في اواخر شهر رمضان الماضي تسبب بحسب بعض المصادر الى تعدل الكثير من سيرفرات الشركة و الاجهزة الخاصة بالموظفين ، وستبدأ الحملة الجديدة للمجموعة اليوم وهو اليوم الذي يوافق عودة الموظفين للعمل بعد اجازة العيد و بحسب شركة أرامكو فأن ما حدث في السابق جعلها تفصل الأنظمة الداخلية عن الأنظمة الخارجية حتى لا يتكرر ماحدث , ووفقا للمعلومات فأن هناك تحقيق كبير يدور الأن بين 20-30 موظف لمعرفة ما حصل ، وتشير المعلومات الواردة بأن هناك من له يد في هذا الأختراق من داخل الشركة.

قبل البدء بالحديث، لا يعنيني هنا من خلف هذا الاختراق، كل ما يهمني هو تعرض البنية التحتية التقنية لشركة أرامكو للاختراق ويجب إصلاح الخلل والتأكد من عدم عودته. وقد تعرضت الشركة السعودية (أرامكو Aramco) إلى عملية اختراق كبيرة من نوعها أدت إلى تعطل مواقعها على الإنترنت عن العمل بتاريخ 15 أغسطس ، أدت إلى تعطل 30 ألف جهاز كمبيوتر ما بين حاسب شخصي وسيرفر تعمل بنظام ويندوز مما عطل عمل بعض أنظمتها.

وعندما حدث الاختراق بتاريخ 15 أغسطس، انتشرت بالإنترنت شائعات أن هناك مصدران للاختراق: داخل أرامكو(موظف) وخارج أرامكو(جهة خارجية) مما إدى إلى تعطل أجهزة أرامكو وسرقة بيانات. وبناء على البيانات المنشورة في الإنترنت عن الإختراق، الضرر كبير جداً. حيث تمت سرقة بيانات من أجهزة أرامكو، تم تعطيل سيرفرات الإيميل، تم تعطيل Active Directory وهو النظام المسئول عن حسابات موظفي أرامكو، تم تعطيل سيرفرات الموقع الرئيسي Aramco.com & SaudiAramco.com، تم تعطيل مواقع أرامكو للدخول من الخارج مثلaccess.aramco.com.

الإختراق إنقسم إلى نوعين:

النوع الأول: تعطيل مواقع أرامكو الرئيسية Aramco.com و SaudiAramco.com بواسطة هجمات الحجب الموزع DDoS.

النوع الثاني: هجمات فايروس.

ولن أتحدث عن النوع الأول من الاختراق، لأنه هاجس عالمي معروف وإلى الآن لم يوجد له حل على مستوى العالم سوأ زيادة سعة الإتصال Bandwidth، عانت من شركات مثل Visa, MasterCard, PayPal وغيرهم.

وسوف أتحدث فقط عن الهجمات من النوع الثاني، وهي هجمات الفايروس. وقد قامت شركات الحماية(مكافي، سيمانتك وكاسبرسكاي) بالتحدث عن تفاصيل هذا الاختراق الذي كان بواسطة فايروس إسمه (شمعون Shamoon)، قام هذا الفايروس بمسح محتويات 30 ألف كمبيوتر(2000 سيرفر والبقية حاسبات شخصية) خاصة بشركة أرامكو. وبتاريخ 22 أغسطس، تم نشر تهديد بأنه سوف يتم اختراق أنظمة أرامكو من جديد يوم السبت الموافق 25 أغسطس عند الساعة 9:00 ليلاً بتوقيت السعودية و 21:00 بتوقيت غرينتش.

حسناً، لنتكلم تقنياً.

قام فايروس شمعون بالإنتشار بين 30 ألف كمبيوتر موزعة ما بين حاسب شخصي و سيرفر، لكن ماذا عمل هذا الفايروس، كيف دخل، كيف يعمل وكيف إنتشر؟

1- كيف دخل فايروس شمعون إلى أرمكو؟

بناء على معلومات تم نشرها بالإنترنت عن واقعة الاختراق، بأنه تم نشر فايروس شمعون عن طريق اختراق بعض أنظمة ويندوز الموجودة إما بداخل أرامكو أو موجودة لدى أحد الجهات المتصلة بها ومن ثم تم زرع الفايروس بداخلها ليتنشر بعدها إلى جميع أنظمة ويندوز الموجودة بالشركة.

2- كيف إنتشر؟

بناء على تقارير شركات الحماية مثل سيمانتك، يقوم فايروس شمعون بعد زراعة نفسه في أحد الأجهزة المصابة بعمل “بحث Scan” على نطاق الأيبيات IP Range التي يتبع لها النظام المصاب. على سبيل المثال إذا كان هناك نظام مصاب عنوان الأي بي الخاص به هو 10.1.1.3 سوف يقوم شمعون بالبحث عن الأنظمة التي تحمل أي بي من نفس النطاق Range، مثل 10.1.1.4, 10.2.1.5, 10.x.x.x. وبعد بحثه عن الأجهزة التي موجودة في نفس نطاق الجهاز المصاب، يقوم شمعون بنقل نفسه إلى مجلدات المشاركة المفتوحة بشكل إفتراضي في ويندوز، مثل: ADMIN$, C$, D$.

3- كيف يعمل شمعون؟

يعمل شمعون بوقت معين اختاره المخترق ليعمل به Timer، في حالة أرامكو تم تفعيل فايروس شمعون عند الساعة 11:08 صباحاً. وعند حلول الوقت، يقوم شمعون بعد زراعة نفسه بشكل وثيق بالنظام بعمل التالي:

- البحث عن جميع الملفات الموجودة في النظام المصاب وإتلافها بإدخال بيانات خاطئة وغير صحيحة Garbage مما يحولها إلى هذه الصورة التالفة:

وهي صورة مقتطعة من هذه الصورة الأصلية:

- إرسال معلومات الجهاز وبعض الملفات إلى الجهاز الأساسي الذي أنطلق منه، وهذه المعلومات تحتوي على: عنوان الأي بي، إسم الجهاز، نوع النظام، حزمة التحديثات Service Pack والملفات.

- تدمير Master Boot Record الخاص بالجهاز مما يمنعه كلياً من العودة للعمل بعد إعادة تشغيله. علماً بأن MBR هو المسؤول عن تشغيل النظام Booting بعد ضغطك لزر التشغيل.

ماذا كان يجب على قسمي أمن وتقنية المعلومات في أرامكو فعله للحد من هذه الأضرار؟

1- من مراجعة للبيانات المنشورة في الإنترنت عن تفاصيل الاختراق، أجد نفسي متعجب من السهولة التي إنتقل فيها الفايروس بين أجهزة الحاسب الشخصي الخاصة بالموظفين إلى سيرفرات ارامكو الرئيسية مثل سيرفرات الويب، الإيميل و Active Directory وغيرها.

2- بناء على قائمة أنظمة التشغيل المصابة، أستغرب من عدم وجود معيار ثابت Stranded في أرامكو بالنسبة لنسخة نظام التشغيل ومستوى تحديثه. لذلك تجد أنظمة تعمل على ويندوز سيرفر 2003 بحزمة التحديث 2 وأنظمة تعمل بنظام ويندوز سيرفر 2008 بدون أي حزم تحديث، وأنظمة أخرى تعمل على ويندوز سيرفر 2008 بحزمة التحديث 1 أو 2.

3- كيف انتقل الفايروس من vLan إلى vLan ومن Subnet إلى أخرى بهذه السهولة؟ لماذا لم يتم صده عن طريق الجدار الناري Firewall؟

4- هل يوجد نظام IDS, Intrusion Detection System “نظام كشف الإختراقات” فعال أرامكو؟ وإذا كان موجود لماذا لم يعمل ولماذا لم ينبه مسئولي الشبكة عن النشاط الغير طبيعي بين 30 ألف جهاز كمبيوتر!.

5- هل يوجد تدقيق Auditing على أنظمة أرامكو بشكل دوري؟ كيف يتم نشر فايروس بين 30 ألف كمبيوتر عن طريق خدمة مشاركة الملفات؟ لماذا هي من الأساس مفعلة؟ لماذا لم يطلب فريق التدقيق إغلاق مشاركة الملفات إلا في حالة الحاجة لها وحصر مشاركة الملفات على الأجهزة\الأشخاص الذين يحتاجونها؟!

6- لماذا برنامج مضاد الفايروسات Antivirus لم يكن محدثاً؟ لو كان نظام مضاد الفيروسات محدثاً لما حصل هذا الضرر الهائل.

7- إذا كان هناك أنظمة تم اختراقها في أرامكو وعن طريقها تم نشر الفايروس، لماذا لما تكتشف هذه الأنظمة من اللحظة الأولى؟ أين مراجعة سجلات أحداث Logs الخاصة بالسيرفرات والتي تبين محاولات الإختراق؟!

8- لماذا لم يتم ملاحظة أن هناك نشاط بالشبكة مشبوه؟ لماذا لم يتم ملاحظة أن هناك كمية بيانات متداولة بين الجهاز المصاب الرئيسي والأجهزة 29999 الأخرى؟! أين دور مراكز عمليات الشبكة وعمليات الأمن SOC & NOC , ولو تمت ملاحظة هذا النشاط لتم الحد من هذا الضرر من البداية!

9- ماهي الجهات المتصلة بشبكة أرامكو لتستخدم أنظمتها؟ هل هي ثقة؟ هل هي آمنة؟!

10- بغض النظر إذا كان التهديد صحيح أو لا، يجب على أرامكو أن تكون على أهبة الإستعداد ويجب توقع الأسواء والإستعداد له. تابعونا لمعرفة مستجدات الهكرز وماهي المطالب الخاصة بهم في موضوعنا الاخر وللبقية سنخبركم وقت الحدث ,

مشاركة العضو / سلمان الصبحي