ملخص

توارد في الفترة الأخيرة تقاير عن استخدام النظام السوري لفيروسات تجسس Spyware لمراقبة الناشطيين وسرقة المعلومات من حواسبهم واستخدام هذه المعلومات لاقتناص شخصيات مما يتيهح للنظام الإقاع بنشطاء آخرون.

أسلوب التجسس لا يعمل على مراقبة الخطوط (لذا برنامج التور Tor لا يحمي منه) بل عن طريق القيام بتحميل ملف فيروس على الحاسوب يقوم بجمع المعلومات.

يقوم الفيروس بإصابة أحد الأجهزة ويعطل تنبيهات برامج الحماية من الفيروسات ويقوم بالبحث في الحاسوب عن المعلومات. خطورة الفيروس أنه يستطيع عمل مايلي:

– تسجيل كل نقرات على لوحة المفاتيح أي تسجيل كافة المعلومات التي يقوم المستخدم بطباعتها على الحاسب (ملفات, كلمات سر, محادثات الكترونية, أسماء مواقع الانترنيت التي يزورها.. كل شيء).

– أخذ صوراً لما يعرض على شاشة الحاسب (مواقع, صفحات أدمنز, حسابات مصرفية على الانترنيت, محتويات الملفات التي تفتح وتقرأ).

– التنصت على الصوت الملتقط باستخدام الميكروفون (محادثات أو تسجيلات صوتية).

– التجسس على الصور الملتقطة من كاميرا الحاسوب.

ترسل هذه المعلومات لجهاز في مؤسسة الاتصال بسوريا.

تستخدم هذه المعلومات لاقتناص شخصية الشخص الذي أصيب حاسبه وبالتالي الدخول إلى حساباته على الانترنت وإجراء اتصالات الكترونية باسمه. ومن ثم إرسال ملف الفيروس إلى أصدقائه أو المرسالة باسمه والإدعاء أنه من الضروري فتح الملف لأسباب أمنية لتأكيد أن الطرفين ثقة. وعند فتح الملف تصاب أجهزتهم بالفيروس.

وهذا دواليك.

هنالك عدة أسماء للفيروس: backdoor.breut- DarkComet -BKDR_ZAPCHAST.SG- BKDR_BREUT.A ولكن هذه القائمة ليست شاملة.

يمكن للملف الفيروس أن يرسل عن طريق محادثات سكايب.

خطوات تساعد على الحماية من الفيروس:

– تحميل وتحديث برنامج للوقاية من الفيروسات. من الضروري أن يكون للبرنامج ميزة الحماية من الفيروسات العادية بالإضافة إلى ال  spywareو ال malware ومن الأفضل أن يكون لديه ميزة التعرف على الفيروسات بتقنية ال heuristics . من الضروري تحديث ملفات التعرف على الفيروسات الخاص بالبرنامج باستمرار.

– فصل الاتصال بالانترنيت وعمل سبر شامل للحاسوب – قد تستغرق هذه العملية عدة ساعات.

– تغيير كلمات السر المستخدمة في الحاسوب وعلى حساباتكم على الانترنيت.

---

برامج التجسس على الحاسوب (spyware) هي أحدث الأسلحة في الصراع بسوريا

بين برامفيلد

17 شباط/فبراير 2012

سي ان ان CNN — يوظف مؤيدو النظام سلاح جديد في الحرب الالكترونية على نشطاء المعارضة وهي فيروسات تصيب أجهزة حواسبهم وتتجسس عليهم كما حصل مع أخصائي معلوماتية في مجموعة معارضة سورية وعامل في احدى المنظمات في مجال الإغاثة .

قالت شركة منتجة لبرامج الحماية من الفيروسات والتي قامت بتحليل احدى الفيروست نزولاً عند طلب السي إن إن بأنه تم كتابة شفرة الفيروس خصيصاً لاستعمالها بحملة تجسس الكترونية على الانترنيت وأنها تقوم بارسال المعلومات التي تسرقها من الحواسيب إلى مخدم موجود في شركة اتصالات ممتلكة من قبل الحكومة السورية.

قال المهندس دلشاد عثمان: في الخطوة الأولى يقوم مناصري الدكتاتور بشار الأسد بسرقة معلومات شخصية لنشطاء المعارضة ثم يقومون باقتباس شخصيتهم في محادثات على الانترنيت. يكتسبون ثقة المستخدمين الآخرين لارسال فيروسات من نوع ملفات حصان طروادة Trojan horse viruses ويشجعون الناس على فتح تلك الملفات.

عندما تصبح تلك الملفات موجودة على حاسوب الضحية ترسل ال malware معلومات لجهات ثالثة.

عثمان خبير بأمن المعلومات يقصده نشطاء المعارضة للاستعانة بخبرته. يقيم خارج سوريا لسلامته الشخصية.

منذ كانون الأول علم من عشرات من أفراد المعارضة كيف أصيبت حواسبهم. قبل مدة قصيرة أرسِلَ إليه وإلى زميله فيروسات عن طريق شخصين من المعارضة. فقاما بتقصي الأمر.

قال عثمان عن طريق محادثة سكايب: “إنهما برنامجان من نوع ال malware – الأول منهما معقد كثيراً” وتابع “يستطيع إخفاء نفسه بشكل أفضل”.

يشير التحليل الذي أجري في الولايات المتحدة على احدى الفيروسات – الأبسط بينهما – إلى أنها اطلقت في بداية العام تقريباً.

يقول فيكرام ثاكور Vikram Thakur مدير التجاوب الأمني الرئيسي لدى شركة سيمانتك Symantec والمعروفة بين جمهور العامة عن طريق منتجها نورتون Norton للحماية من الفيروسات بأن للفيروس جزئين. الأول يشير إلى 6 كانون الأول والآخر إلى 16 كانون الثاني.

لَقَبَ ثاكور الفيروس البسيط ب “backdoor.breut.”.

قامت عاملة سابقة في مجال الإغاثة بتنزيل الفيروس المعقد بدون قصد أثناء محادثة الكرونية. بما أنها تسافر إلى سوريا فقد طلبت من السي إن إن عدم ذكر اسمها لأسباب أمنية والاكتفاء بالإشارة إليها على أنها “سوزان”.

اتصلت “سوزان” بأفراد من المعارضة عن طريق الانترنيت بغية تكوين صورة أفضل عن المعونات الإنسانية المستلزمة على الأرض. في كانون الثاني تلقت مكالمة عن طريق برنامج المحادثة على الانترنيت سكايب من شخص كانت تعتقد بأنه معارض للنظام.

تدعي أنه كان متقمصاً لشخصية أخرى وأنه كان مناصراً للنظام.

“بالحقيقة قاموا بالاتصال بي وادعى أنه هو الناشط.. الناشط الذي لم أكن أعرفه لأنني كنت قد اتصلت به مرتين فقط وبشكل كتابي”.

هذا الرسالة بالعربية وتشجع مستخدمي الكومبيوتر على تحميل برنامج حماية مجاني، ولكنها في الحقيقة تقوم بتحميل برنامج تجسس على حاسب المستخدم، يقول خبراء.

بعد مرور عدة أيام أخبر أعضاء آخرون من المعارضة “سوزان” وعثمان بأن الناشط الذي كانت تعتقد أنها تتحدث معه قيد الإعتقال. يتهم النشطاء القوات الحكومية بإرغامه على التصريح بالاسم الذي يستخدمه على الانترنيت ومن قم تقمص شخصيته على الانترنيت.

يقول عثمان بأن نشطاء آخرين تم اعتقالهم ومن ثم الإفراج عنهم قد أخبروه بأنهم أجبروا على إعطاء السلطات السورية كلمات السر الخاصة بهم.

لا تستطيع السي إن إن التحقق من هذه الادعاءات بشكل مستقل لأن الحكومة السورية تحظر وبشدة التغطية الإعلامية العالمية ضمن حدودها.

اتصالاتنا بالناطقة الرسمية للأسد يوم الجمعة للحصول على تعليق الحكومة السورية على هذا الموضوع لم تتم إجابتها أو أنها لم تصلهم. يوم الجمعة هو اليوم المخصص للصلاة في أسبوع في العالم الإسلامي.

أرسل الرجل الذي كان يتحدث مع سوزان عن طريق برنامج المحادثة على الانترنيت سكايب ملفا لهاً. تتذكر ما قاله لتشجيعها على فتح الملف “هذا للتأكد من أنه عندما تتحدثين معي فإني أنا فعلاً هو الشخص الحقيقي الذي تظنين أنك تتحدثين معه وليس شخصاً آخر”.

ضغطت على رابط الملف لفتحه. “لم يحدث أي شيء” قالت في لهجة كلها احتيار ومفاجأة. تابعت “لم ألحظ أي تغيير إطلاقاً”.

لم تظهر أي صور، لم تفتح أي نافذة جديدة لتنبيه المستخدم بأنه يقوم بتنزيل فيروس. قال عثمان يبدو الرابط معطل وغير فعال.

يعمل الفيروس الثاني backdoor.breut، الذي أرسله له ناشط من داخل سوريا عن طريق البريد الإلكتروني لتحليله، بنفس الطريقة. قال عثمان “أنزلته، فتحته، لاشيء”.

قال إنه يتضمن شعار فايسبوك مزور وكان قد تم نشره في غرفة محادثة على الانترنيت على أنه تحديث أمني لفايسبوك.

نزولاً على طلب من السي إن إن أرسل عثمان ذلك الفيروس لخبير أمن المعلومات في كاليفورنيا لأجراء تحليل مستقل.

أزال عثمان الفيروس الأعقد من على حاسوب “سوزان” بعد أن نسخ كامل محتويات ذاكرة حاسوبها. لأن حجم المحتويات كان أكثر من 250 جيجا فقد اقتضى الأمر نقل هذه المحتويات إلى جهاز ذاكرة خارجية وإرساله بالبريد العادي – البريد البطيء – لتحليله بشكل مستقل.

أقر الخبير الأمريكي الطبيعة المخفية لملف فيروس حصان طروادة backdoor.breut. قال ثاكور “لم يكن يظهر أي شيء”. وأضاف “الشيء الوحيد الذي يقوم به ملف فيروس حصان طروادة هو نسخ نفسه إلى إحدى المجلدات المؤقتة على الحاسوب والتي تكون مخفية حسب إعدادات المستخدم العادي”.

يُفَعّل الفيروس عندما يقوم المستخدم بإعادة تشغيل الحاسوب.

الناشط الإلكتروني السوري ومدير أمن المعلومات بكاليفورنيا أشارا إلى إن عدم ظهور أي تنبيهات أثناء تنزيل الملف يساعد على إخفاء الفيروس عن المستخدم.

قال عثمان “أغلبهم سيظن أن الملف معطل وينسوه”.

وهذا بالضبط ما فعلته “سوزان”.

لم تعلم باختراق حاسوبها وحساباتها الكترونية إلا بعد أن فقدت حسابها على الفايسبوك وبريدها الإلكتروني بعد عدة أيام من نقرها على الملف.

تقول بخصوص فقدانها لحسابها على الفايسبوك “لم أنقر على أي رابط جديد أوما شابه ذلك، لابد أنهم كانوا يعرفون كلمة السر”.

سلمت حاسوبها المحمول لعثمان وزميله اللذان أخبراها أن فيروس حصان طروادة قد سجل كل نقراتها على لوحة المفاتيح، صور ما يعرض على شاشتها و اقتحم مجلداتها بحثاً عن المعلومات. قال عثمان بأن الفيروس أخفى عنوان الجهاز الاكتروني على الانترنيت IP address الذي كان يُرسِل له كل هذه المعلومات التي جمعها.

وجد عثمان صورة أخذها فيروس حصان طروادة لما كانت تعرضه شاشة “سوزان” عندما كانت تتصفح الصفحة الرئيسية لحسابها المصرفي على الانترنيت. يقول “سوزان” أن عثمان طلب منها تغيير كل كلمات السر التي تستخدمها.

قالت بشكل ساخر “لا تريد أن تتيح الفرصة لبعض من رجال الأمن السوري بسرقة أموالك”.

يرسل الفيروس الثاني backdoor.breut المعلومات التي ينهبها من الحواسب المخترقة إلى عنوان ال IP التالي 216.6.0.28 دون إخفاء العنوان.

كتب ممثل السيمانتك للسي إن إن “لقد فحصنا عنوان ال IP الذي أشار له مهندسنا ونستطيع أن نؤكد أنه خاص بال STE مؤسسة الاتصلات السورية”. مؤسسة الاتصالات السورية هي شركة الاتصالات الحكومية.

يؤكد ثاكور: ليس من الضروري أن يعني هذا أن أحد ما في شركة الاتصلات السورية هو الذي يقوم باختراق الأجهزة.

“مما توصلنا إليه الآن لا نستطيع أن نعرف إذا كان شخص عادي وراء تلك الاختراقات أو شركة أو منظمة خصص لها ذلك ال IP”

يقول ثاكور “لا يوجد شك” بأن الحكومة السورية تستطيع التوصل لأي نشاط يتم عم طريق ذلك الخادم. أي شخص ممن لا يريد أن تعلم الحكومة ما يفعله لن يستخدم ذلك الخادم. من لديه دراية من نشطاء المعارضة سيتجنب إستخدام اي مخدم تابع للحكومة.

يقول ثاكور موظف السيمانتك بأن الفيروس البسيط backdoor.breut يعمل كثور في محل للتحف. قال بعد تفحصه “لا يبدو أنه قد تم برمجته من قبل قرصان الكتروني ذكي” ويتابع “تم برمجته على عجل…ليفعل ما براد منه لا أقل ولا أكثر”.

برامج بسيطة من الفيروس متاحة للتنزيل من منتديات سرية على الانترنيت. يستطيع القراصنة الالكترونيون إعادة برمجتها لتحقيق أغراض معينة ومن ثم نشرها”. إعتقد عثمان بأن الفيروس الثاني واحد من تلك البرامج الجاهزة لأنها تبدو مبرمجة بشكل ليس احترافي، لكن الخبير في كاليفورنيا لا يتفق معه.

“لا يبدو بأنه تم تم برمجتها عن طريق نسخ ولصق الشفرة من موقع انترنيت. أكيد أنه تم برمجتها خصوصاً للهدف الذي أُعِدَت لأجله”.

اسم ال backdoor.breut مستوحى من طريقة عمل الفيروس.

قال ثاكور “بدأنا بكلمة bruete العنيف لأنها تصف بالضبط ما يقوم الفيروس بعمله ومن ثم غيرنا عدة حروف لتصبح الكلمة breut”.

“bruete يعني أنها تستخدم القوة العنيفة –إنها تقتحم وتسرق- تحاول أخذ أي شيء تقع عليه ومن ثم الهروب”.

حسب التحليل يحاول فيروس backdoor.breut إعطاء القرصان الالكتروني قدرة التحكم عن بعد بحاسوب الضحية. إنها تسرق كلمات السر ومعلومات عن نظام الحاسوب، تنزل برامج جديدة وتوجه آليات خاصة بنظام التشغيل، تسجل النقرات على لوحة المفاتيح وتأخذ صور عن طريق كاميرة الحاسوب.

كما أنها تطفىء تنبيهات برامج الحماية من الفيروسات ولكن هذا لا يحميها كلياً من أن يتم التعرف عليها وإلتقاطها. يقول ثاكور “بعض من برامج الحماية من الفيروسات الجيدة تستطيع كشفها بنفس اليوم.

طبيعة استخدامها يجعل من الصعب الحماية من backdoor.breut وغيرها من الفيروسات السورية. على حسب تصريح ثاكور على منتجي برامج الحماية من الفيروسات التعرف على الفيروس ليستطيعوا تصنيفه وبالتالي التقاطه واكتشافه لمنع تنزيله.

كلما انتشر فيروس ما حول العالم يزداد اهتمام منتجي برامج الحماية من الفيروسات به. كلما ضاقت المنطقة الجغرافية التي ينتشر فيها الفيروس قل احتمال أن يلاحظها المهتمين باكتشاف الفيروسات للتصدي له.

يقول ثاكور “بالنظر إلى فيروس حصان طروادة هذا والمعلومات التي جمعناها من بعد عنه في الأيام الخمس أو الست منذ بدء التحليل يبدو أن الفيروس لا يستهدف كل الناس حول العالم. لذلك فقد يلزم عدة أيام لمنتجي برامج الحمياة من الفيروسات لتصنيف ملف الفيروس وبرمجة آليات للتعرف عليه”.

يقول ثاكور البرامج المتطورة للحماية من الفيروسات تستطيع اكتشاف الفيروسات من النوع التي ذكرت بهذا المقال عن طريقة ملاحظة ماذا تفعل بعد أن تصيب الحاسوب. إذا لم يمتلك برنامج الحماية من الفيروسات القابلية لملاحظة تصرفات الفيروس فإنه قد لا يستطيع الحماية منه “إلا بعد مضي فترة ليست بقصيرة”.

يحذر عثمان النشطاء من خطر تنزيل الفيروس ويذكر المستخدمين بتحديث برامج الحماية من الفيروسات باستمرار.

يقدم موقع download.com التابع ل CNET برامج حماية من الفيروسات منها تلك التي تستطيع مراقبة تصرفات الفيروسات ومتاحة بشكل مجاني.

ولكن حتى هذا لا يضمن عدم الإصابة بفيروس سوري جديد كما تذكرنا “سوزان”.

قالت “كان برنامج الحماية من الفيروسات محدّثاً” وتتابع “المشكلة هي أنهم أرسلوا لي ملف…وكنت غبية جداً…تصوروا لقد كان ملف ذو لاحقة .exe أي أنه ملف برنامج… وقد فتحته”.

ساهم جون سكوت-رايلتون بهذه المقالة.

المصدر

CNN

Computer spyware is newest weapon in Syrian conflict

ملاحظة:

للمزيد من المعلومات حول برمجيات التجسس Spyware وغيرها من البرمجيات المسيئة والهجمات الالكترونية المسيئة اتبع الرابط التالي إلى موقع سلامتك ويكي  SalamaTechWiki.
https://salamatechwiki.org/wiki/Malicious_Cyber_Attacks
يقدم الموقع أيضا معلومات قيمة جدا حول أمن المعلومات وأمن البيانات الرقمية لذلك ننصح بتصفحه والاستفادة من معلوماته
https://salamatechwiki.org/