ماذا يفعل فيروس ” شمعون ” عندما يصيب الحواسيب و الخوادم
فيروس شمعون هو فيروس كمبيوتر قياسي اكتشفته شركة Seculert في عام 2012، يستهدف أحدث إصدارات نواة NT 32 من نظام التشغيل مايكروسوفت ويندوز. لاحظ أن للفيروس سلوكا مختلفا عن البرامج الضارة الأخرى بسبب طبيعته المدمرة، واشتهر على مدى السنوات بأنه “أكبر اختراق في التاريخ”. كان من الواضح أن الفيروس مصمم للاستخدام في الحروب السيبرانية .
شمعون يمكنه الانتشار من جهاز مصاب إلى أجهزة كمبيوتر أخرى على الشبكة. عند إصابة أحد الفيروسات، يستمر الفيروس في جمع قائمة بالملفات من مواقع محددة في النظام، ثم يقوم بتحميلها إلى المهاجم ومسحها. وفي النهاية، يقوم الفيروس بالكتابة على سجل التمهيد الرئيسي للكمبيوتر المصاب، مما يجعله غير قابل للاستخدام. تم استخدام هذا الفيروس في الهجمات السيبرانية ضد شركات النفط الوطنية في شركة أرامكو السعودية وشركة راس غاز في قطر، وتم الكشف عنه في 16 أغسطس 2012 .
إصابة شمعون للحواسب والخوادم
تعرضت المنظمات في المملكة والإمارات العربية المتحدة لآخر هجمات برمجية خبيثة، بعد غياب دام عامين. انتشرت برمجية شمعون المدمرة (W32.Disttrack.B) مرة أخرى في 10 ديسمبر 2018، ضد الشرق الأوسط، وتتضمن هذه الهجمات ممسحة جديدة (Trojan.Filerase) التي تحذف الملفات من أجهزة الكمبيوتر المصابة قبل أن تمسح برمجية شمعون سجل التمهيد الرئيسي، وهذا يزيد من تدميرية هذه الهجمات .
ظهرت أخبار الهجمات في 10 ديسمبر 2018، عندما قالت شركة سايبم للخدمات النفطية الإيطالية إنها تعرضت لهجوم سيبراني على خوادمها في الشرق الأوسط، وبعد يومين ، قالت الشركة إن شمعون قد قام بهذا الهجوم ، الذي أثر على ما بين 300 و 400 خادم وما يصل إلى 100 حاسوب شخصي، ووجدت أدلة على هجمات ضد منظمتين أخريين خلال الأسبوع نفسه ، في المملكة والإمارات العربية المتحدة، وكلا المنظمتين أعمالهم خاصة بصناعة النفط والغاز.
بالاختلاف عن الهجمات السابقة لشمعون، تتضمن الهجمات الأخيرة قطعة برمجية ضارة جديدة (Trojan.Filerase)، حيث تقوم هذه البرمجية بحذف الملفات والكتابة عليها في جهاز الكمبيوتر المصاب، وفي نفس الوقت، يقوم شمعون بمحو سجل التمهيد الرئيسي للكمبيوتر بنفسه، مما يجعله غير قابل للإستخدام. وإضافة ممسحة Filerase تجعل هذه الهجمات أكثر تدميرا من استخدام برامج الضرر “شمعون” وحدها. وعلى الرغم من أن جهاز الكمبيوتر المصاب بشمعون قد يصبح غير قابل للإستخدام، إلا أن الملفات الموجودة على القرص الصلب قد يمكن استعادتها، ولكن إذا تمت مسح الملفات بواسطة برامج الضرر Filerase أولا، فإن الاستعادة تصبح مستحيلة .
كيف ينتشر الفيروس على شبكة الضحية
ينتشر Filerase عبر شبكة الضحية من كمبيوتر أولي واحد، باستخدام قائمة من أجهزة الكمبيوتر البعيدة، هذه القائمة في شكل ملف نصي وهي فريدة من نوعها لكل ضحية ، مما يعني أن المهاجمين قد جمعوا هذه المعلومات خلال مرحلة استطلاعية سابقة للتطفل، ويتم أولاً نسخ هذه القائمة بواسطة مكون يسمى OCLC.exe وتمريرها إلى أداة أخرى تسمى Spreader.exe، ثم يقوم مكون Spreader بنسخ Filerase إلى كافة أجهزة الكمبيوتر المدرجة، وسوف يقوم في وقت واحد بتشغيل البرامج الضارة Filerase على جميع الأجهزة المصابة .
من الممكن أن تكون البرمجيات الخبيثة شمعون نفسها منتشرة عبر هذه الأدوات نفسها ، لكن هذا غير معروف، وفي حالة واحدة على الأقل ، تم تنفيذ شمعون باستخدام PsExec ، وواحدة من ضحايا شمعون الجديدة هي منظمة في المملكة ، والتي تعرضت لهجوم آخر من قبل مجموعة أخرى تسمى (Elfin) ، وقد أصيبت بفيروس Stonedrill (Trojan.Stonedrill) وكانت هناك هجمات إضافية ضد هذه المنظمة في عام 2018 .
ما الذي يستهدفه فيروس شمعون
تم تنظيم هذا الفيروس من قبل قراصنة الإنترنت لمقاومة شركات النفط الوطنية في المملكة وقطر، ويستهدف فيروس شمعون أجهزة الكمبيوتر التي تعمل بنظام التشغيل Windows NT و Windows 9 x و Windows Me. اكتشف أن فيروس شمعون يشترك في بعض الخصائص مع فيروس اللهب الذي تم اكتشافه أيضا في عام 2012، وقد تم تطويره من قبل مجرمي الإنترنت لاستهداف المؤسسات التعليمية والمنظمات الحكومية والأفراد بشكل ملحوظ في الشرق الأوسط مثل إيران. يعمل فيروس شمعون عبر عدة مراحل، حيث يقوم المهاجم بتثبيت شمعون على الشبكة، ثم ينتقل العدوى إلى أقراص الأنظمة الأخرى المتصلة بالشبكة من خلال تنفيذ تقنية تسمى `قطار` .
يقوم الفيروس بجمع قائمة الملفات على كل كمبيوتر مصاب من موقع معين، ثم يتم إرسال معلومات كاملة عن الملف عن طريق وظيفة تسمى “مراسل” إلى الهاكر، ويوجد وظيفة أخرى تسمى “ممسحة” تقوم بمسح جميع الملفات المصابة، وبعد ذلك يقوم الفيروس بمسح سجل التمهيد الرئيسي (MBR) الخاص بالنظام المصاب، مما يمنع النظام من إعادة التشغيل. نفذت مجموعة من الناشطين هجوما على محطات العمل في أرامكو السعودية في 30 أغسطس 2012، وكانت العواقب صعبة، واستغرق الأمر حوالي أسبوعين لكي تعمل الشركة بشكل طبيعي .