م.مجدي القبالين يكتب ...ما هو الهجوم السيبراني الذي حصل في الولايات المتحدة الامريكية وكيف ؟
بلكي الإخباري
هناك شركة IT معروفة اسمها SolarWinds موجودة بولاية تكساس بالولايات المتحدة الامريكية احد منتجاتها برنامج اسمه Orion وهذا البرنامج يستعمل لادارة ال IT Assets بأي شركة .
شركة FireEye من شهر أبريل تقريباً اصدرت تحذيرات بخصوص ذلك وكان عندها صورة اولية عن وجود شيء غير مطمن يحدث لبرنامج Orion الموثوق والمستعمل لادارة امور ال IT بالشركات ولكن العالم كان مشغول بفايروس كورونا ولم يعطي الكثير من الاهتمام للموضوع ولكن بالنهاية تبين ان اضرار ذلك الفايروس الالكتروني الخبيث لا تقل خطورة عن اضرار فايروس كورونا !برنامج Orion يستعمله عدد هائل من الزبائن في العالم وفي امريكا لوحدها 33 الف عميل منهم وكالات رسمية امريكية وكذلك وزارات وشركات وخلافه .برنامج التجسس الذي تم استعماله للهجوم يستعمل DLL Library تقوم بكل العمل التنفيذي المطلوب وفنياً هذه الحالة حصلت سابقاً ولكن الذكي بالموضوع ان هذه الاداة تم زرعها على الاجهزة باستعمال برنامج IT موثوق وكانت تملك Digital Signature موثوق وكأنها جزء من برنامج Orion .الجهة المسؤولة عن تنفيذ هذا الامر بأعتقادي الشخصي من وجهة نظر فنية ربما ليست جهة دولية او رسمية وهناك كيانات صغيرة وتجمعات لخبراء اختراق معروف بعضها تمتلك قدرات اكبر من هذا العمل بكثير . اعتقد تم استغلال الامر سياسياً من طرف الولايات المتحدة الامريكية وربما يكون ادعائهم صحيح بخصوص تورط جهة رسمية روسية بذلك ولكن اكرر ان دولة مثل الصين تملك قدرات تتجاوز ذلك بكثير ولها مصلحة أكبر بتنفيذ عمل مماثل وهذا للعلم عمل مخطط له من فترة طويلة والبدء بتنفيذه كان من حوالي عام كامل وتم اكتشافه مؤخراً .حجم الفايروس الذي تسبب بكل هذه الضجة 21 كيلو بايت , يعني حجمه أصغر ب 100 مرة حجم صورة شخصية تخزنها الك على تلفونك وهذه رسالة للعالم اجمع من خطورة هذا الامر وضرورة اخذ اجراءات جدية وتوفير امكانات حقيقية للتعامل مع هذه الامور .يوجد نسخة من الفايروس مخصصة للهواتف الخلوية IOS , Android .
بقلم المهندس مجدي القبالين - خبير أمن سيبراني وأمن شبكات
هناك شركة IT معروفة اسمها SolarWinds موجودة بولاية تكساس بالولايات المتحدة الامريكية احد منتجاتها برنامج اسمه Orion وهذا البرنامج يستعمل لادارة ال IT Assets بأي شركة .
2.تم اعتماد هجوم يسمى Supply chain يعني الاعتماد على برنامج موثوق مثل Orion لادخال برنامج تجسس Malware بحيث يكون البرنامج الاصلي Orion اداة لزرع برنامج التجسس على الاجهزة .
شركة FireEye من شهر أبريل تقريباً اصدرت تحذيرات بخصوص ذلك وكان عندها صورة اولية عن وجود شيء غير مطمن يحدث لبرنامج Orion الموثوق والمستعمل لادارة امور ال IT بالشركات ولكن العالم كان مشغول بفايروس كورونا ولم يعطي الكثير من الاهتمام للموضوع ولكن بالنهاية تبين ان اضرار ذلك الفايروس الالكتروني الخبيث لا تقل خطورة عن اضرار فايروس كورونا !برنامج Orion يستعمله عدد هائل من الزبائن في العالم وفي امريكا لوحدها 33 الف عميل منهم وكالات رسمية امريكية وكذلك وزارات وشركات وخلافه .برنامج التجسس الذي تم استعماله للهجوم يستعمل DLL Library تقوم بكل العمل التنفيذي المطلوب وفنياً هذه الحالة حصلت سابقاً ولكن الذكي بالموضوع ان هذه الاداة تم زرعها على الاجهزة باستعمال برنامج IT موثوق وكانت تملك Digital Signature موثوق وكأنها جزء من برنامج Orion .الجهة المسؤولة عن تنفيذ هذا الامر بأعتقادي الشخصي من وجهة نظر فنية ربما ليست جهة دولية او رسمية وهناك كيانات صغيرة وتجمعات لخبراء اختراق معروف بعضها تمتلك قدرات اكبر من هذا العمل بكثير . اعتقد تم استغلال الامر سياسياً من طرف الولايات المتحدة الامريكية وربما يكون ادعائهم صحيح بخصوص تورط جهة رسمية روسية بذلك ولكن اكرر ان دولة مثل الصين تملك قدرات تتجاوز ذلك بكثير ولها مصلحة أكبر بتنفيذ عمل مماثل وهذا للعلم عمل مخطط له من فترة طويلة والبدء بتنفيذه كان من حوالي عام كامل وتم اكتشافه مؤخراً .حجم الفايروس الذي تسبب بكل هذه الضجة 21 كيلو بايت , يعني حجمه أصغر ب 100 مرة حجم صورة شخصية تخزنها الك على تلفونك وهذه رسالة للعالم اجمع من خطورة هذا الامر وضرورة اخذ اجراءات جدية وتوفير امكانات حقيقية للتعامل مع هذه الامور .يوجد نسخة من الفايروس مخصصة للهواتف الخلوية IOS , Android .
التفصيلات الفنية للفايروس للخبراء والباحثين بهذا المجال متوفرة والفايروس موجود نسخه منه لغايات البحث للراغبين بالمشاركة بإجراء دراسة عليه من اهل الاختصاص بذلك علماً انه يوجد بيئة معزولة كاملة لاجراء دراسة على الفايروس عبر نظام IDA Pro وكذلك Olleydebug من خلال ال Reverse Engineering وللمزيد من المعلومات حول الفايروس متوفرة فنياً على موقع VirusTotal تحت اسم sunburst ولمن يرغب بالمشاركة بدراسة على هذا الفايروس التواصل معي ( اصحاب الاختصاص ) علماً انه يتوفر كامل الامكانات لذلك .
