اختراق أرامكو.. ماذا حدث وماذا سيحدث؟

قبل البدء بالحديث، لا يعنيني هنا من خلف هذا الاختراق، كل ما يهمني هو تعرض البنية التحتية التقنية لشركة أرامكو للاختراق ويجب إصلاح الخلل والتأكد من عدم عودته.

تعرضت الشركة السعودية العريقة (أرامكو Aramco) إلى عملية اختراق كبيرة من نوعها أدت إلى تعطل مواقعها على الإنترنت عن العمل،  أدت إلى تعطل 30 ألف جهاز كمبيوتر ما بين حاسب شخصي وسيرفر تعمل بنظام ويندوز مما عطل عمل بعض أنظمتها.

تم الاختراق بتاريخ 15 أغسطس، وقد تحدث الأصدقاء عنه مسبقاً في عالم التقنية وقت وقوعه.

سوف أتحدث في البداية عن واقعات الاختراق ثم أتحدث عن التفاصيل التقنية للاختراق وكيف حدث وماذا كان يجب على أرامكو للحد من هذة الأضرار التي حدثت.

عندما حدث الاختراق بتاريخ 15 أغسطس، انتشرت بالإنترنت شائعات أن هناك مصدران للاختراق: داخل أرامكو(موظف) وخارج أرامكو(جهة خارجية) مما إدى إلى تعطل أجهزة أرامكو وسرقة بيانات.

بناء على البيانات المنشورة في الإنترنت عن الإختراق، الضرر كبير جداً. حيث تمت سرقة بيانات من أجهزة أرامكو، تم تعطيل سيرفرات الإيميل، تم تعطيل Active Directory وهو النظام المسئول عن حسابات موظفي أرامكو، تم تعطيل سيرفرات الموقع الرئيسي Aramco.com & SaudiAramco.com، تم تعطيل مواقع أرامكو للدخول من الخارج مثل access.aramco.com.

الإختراق إنقسم إلى نوعين:

النوع الأول: تعطيل مواقع أرامكو الرئيسية Aramco.com و SaudiAramco.com بواسطة هجمات الحجب الموزع DDoS.

النوع الثاني: هجمات فايروس.

لن أتحدث عن النوع الأول من الاختراق، لأنه هاجس عالمي معروف وإلى الآن لم يوجد له حل على مستوى العالم سوأ زيادة سعة الإتصال Bandwidth، عانت من شركات مثل Visa, MasterCard, PayPal وغيرهم.

سوف أتحدث فقط عن الهجمات من النوع الثاني، وهي هجمات الفايروس.

قامت شركات الحماية(مكافي، سيمانتك وكاسبرسكاي) بالتحدث عن تفاصيل هذا الاختراق الذي كان بواسطة فايروس إسمه (شمعون Shamoon)، قام هذا الفايروس بمسح محتويات 30 ألف كمبيوتر(2000 سيرفر والبقية حاسبات شخصية) خاصة بشركة أرامكو.

وبتاريخ 22 أغسطس، تم نشر تهديد بأنه سوف يتم اختراق أنظمة أرامكو من جديد يوم السبت الموافق 25 أغسطس عند الساعة 9:00 ليلاً بتوقيت السعودية و 21:00 بتوقيت غرينتش.

حسناً، لنتكلم تقنياً.

قام فايروس شمعون بالإنتشار بين 30 ألف كمبيوتر موزعة ما بين حاسب شخصي و سيرفر، لكن ماذا عمل هذا الفايروس، كيف دخل، كيف يعمل وكيف إنتشر؟

1- كيف دخل فايروس شمعون إلى أرمكو؟

بناء على معلومات تم نشرها بالإنترنت عن واقعة الاختراق، بأنه تم نشر فايروس شمعون عن طريق اختراق بعض أنظمة ويندوز الموجودة إما بداخل أرامكو أو موجودة لدى أحد الجهات المتصلة بها ومن ثم تم زرع الفايروس بداخلها ليتنشر بعدها إلى جميع أنظمة ويندوز الموجودة بالشركة.

2- كيف إنتشر؟

بناء على تقارير شركات الحماية مثل سيمانتك، يقوم فايروس شمعون بعد زراعة نفسه في أحد الأجهزة المصابة بعمل “بحث Scan” على نطاق الأيبيات IP Range التي يتبع لها النظام المصاب. على سبيل المثال إذا كان هناك نظام مصاب عنوان الأي بي الخاص به هو 10.1.1.3 سوف يقوم شمعون بالبحث عن الأنظمة التي تحمل أي بي من نفس النطاق Range، مثل 10.1.1.4, 10.2.1.5, 10.x.x.x.

بعد بحثه عن الأجهزة التي موجودة في نفس نطاق الجهاز المصاب، يقوم شمعون بنقل نفسه إلى مجلدات المشاركة المفتوحة بشكل إفتراضي في ويندوز، مثل: ADMIN$, C$, D$.

3- كيف يعمل شمعون؟

يعمل شمعون بوقت معين اختاره المخترق ليعمل به Timer، في حالة أرامكو تم تفعيل فايروس شمعون عند الساعة 11:08 صباحاً.

عند حلول الوقت، يقوم شمعون بعد زراعة نفسه بشكل وثيق بالنظام بعمل التالي:

- البحث عن جميع الملفات الموجودة في النظام المصاب وإتلافها بإدخال بيانات خاطئة وغير صحيحة Garbage مما يحولها إلى هذه الصورة التالفة:

وهي صورة مقتطعة من هذه الصورة الأصلية:

- إرسال معلومات الجهاز وبعض الملفات إلى الجهاز الأساسي الذي أنطلق منه، وهذه المعلومات تحتوي على: عنوان الأي بي، إسم الجهاز، نوع النظام، حزمة التحديثات Service Pack والملفات.

- تدمير Master Boot Record الخاص بالجهاز مما يمنعه كلياً من العودة للعمل بعد إعادة تشغيله. علماً بأن MBR هو المسؤول عن تشغيل النظام Booting بعد ضغطك لزر التشغيل.

ماذا كان يجب على قسمي أمن وتقنية المعلومات في أرامكو فعله للحد من هذه الأضرار؟

1- من مراجعة للبيانات المنشورة في الإنترنت عن تفاصيل الاختراق، أجد نفسي متعجب من السهولة التي إنتقل فيها الفايروس بين أجهزة الحاسب الشخصي الخاصة بالموظفين إلى سيرفرات ارامكو الرئيسية مثل سيرفرات الويب، الإيميل و Active Directory وغيرها.

2- بناء على قائمة أنظمة التشغيل المصابة، أستغرب من عدم وجود معيار ثابت Stranded في أرامكو بالنسبة لنسخة نظام التشغيل ومستوى تحديثه. لذلك تجد أنظمة تعمل على ويندوز سيرفر 2003 بحزمة التحديث 2 وأنظمة تعمل بنظام ويندوز سيرفر 2008 بدون أي حزم تحديث، وأنظمة أخرى تعمل على ويندوز سيرفر 2008 بحزمة التحديث 1 أو 2.

3- كيف انتقل الفايروس من vLan   إلى vLan ومن Subnet إلى أخرى بهذه السهولة؟ لماذا لم يتم صده عن طريق الجدار الناري Firewall؟

4- هل يوجد نظام IDS, Intrusion Detection System “نظام كشف الإختراقات” فعال أرامكو؟ وإذا كان موجود لماذا لم يعمل ولماذا لم ينبه مسئولي الشبكة عن النشاط الغير طبيعي بين 30 ألف جهاز كمبيوتر!.

5- هل يوجد تدقيق Auditing على أنظمة أرامكو بشكل دوري؟ كيف يتم نشر فايروس بين 30 ألف كمبيوتر عن طريق خدمة مشاركة الملفات؟ لماذا هي من الأساس مفعلة؟ لماذا لم يطلب فريق التدقيق إغلاق مشاركة الملفات إلا في حالة الحاجة لها وحصر مشاركة الملفات على الأجهزة\الأشخاص الذين يحتاجونها؟!

6- لماذا برنامج مضاد الفايروسات Antivirus لم يكن محدثاً؟ لو كان نظام مضاد الفيروسات محدثاً لما حصل هذا الضرر الهائل.

7- إذا كان هناك أنظمة تم اختراقها في أرامكو وعن طريقها تم نشر الفايروس، لماذا لما تكتشف هذه الأنظمة من اللحظة الأولى؟ أين مراجعة سجلات أحداث Logs الخاصة بالسيرفرات والتي تبين محاولات الإختراق؟!

8- لماذا لم يتم ملاحظة أن هناك نشاط بالشبكة مشبوه؟ لماذا لم يتم ملاحظة أن هناك كمية بيانات متداولة بين الجهاز المصاب الرئيسي والأجهزة 29999 الأخرى؟! أين دور مراكز عمليات الشبكة وعمليات الأمن SOC & NOC؟! لو تمت ملاحظة هذا النشاط لتم الحد من هذا الضرر من البداية!

9- ماهي الجهات المتصلة بشبكة أرامكو لتستخدم أنظمتها؟ هل هي ثقة؟ هل هي آمنة؟!

10- بغض النظر إذا كان التهديد صحيح أو لا، يجب على أرامكو أن تكون على أهبة الإستعداد ويجب توقع الأسواء والإستعداد له.

المصدر.