الروبوت الخبيث
كشف الواقعة الأولى باحثون في أمن المعلومات، يعملون لدى شركة «تريند مايكرو» المتخصصة في أمن المعلومات، وتتعلق باكتشاف «روبوت» برمجي خبيث «بوت نيت»، يحمل اسم «بيرسيراي»، متخصص في تتبع ومسح الكاميرات الموصولة بالإنترنت عبر عناوين رقمية خاصة بكل منها، لاكتشاف الثغرات الأمنية الموجودة بها، ثم استغلال هذه الكاميرات في شن الهجمات المعروفة باسم «هجمات إنكار الخدمة»، على غرار ما حدث في أكتوبر 2016، حينما ظهر «روبوت» خبيث يحمل اسم «ميراي»، قام بالشيء نفسه، واستطاع إكمال المهمة، وتجنيد ملايين من هذه الكاميرات حول العالم، في شن هجمة أسقطت نحو نصف مواقع الإنترنت في العام، وتركزت الهجمة في أميركا الشمالية.
وقال باحثو «تريند مايكرو» إنه على الرغم من وجود بعض التشابه في اسم الـ«روبوت» الخبيث الجديد، مع «روبوت» العام الماضي، فضلاً عن وجود أجزاء من «كود» الروبوت القديم في الجديد، فإنه لا يمكن اعتبار الـ«روبوت» الخبيث الجديد سلالة محدثة من القديم، لأنه يختلف عنه جذرياً، من حيث سلسلة العدوى، وبروتوكول الاتصال مع الكمبيوتر الخادم للقيادة والسيطرة، والمكون المستخدم في الهجوم.
يستغل روبوت «بيرسيراي» الخبيث نقاط الضعف الأمنية المعروفة في الكاميرات لإصابتها، ثم يجبرها على تحميل برنامج خبيث آخر من الكمبيوتر الخادم المخصص للقيادة والسيطرة والتابع للمهاجمين، ثم يحولها إلى مصدر للعدوى، وإصابة غيرها من الكاميرات التي تتضمن نقطة الضعف نفسها، وكذلك استغلالها في شن «هجمات إنكار الخدمة» على أهداف يحددها المهاجمون، وذلك وفق أوامر تستقبلها الكاميرا من كمبيوتر القيادة والسيطرة كل 24 ساعة عند الساعة 12 ليلاً.
آلية العمل
وكشف الباحث المستقل في أمن المعلومات لدى الشركة، بيير كيم، الكيفية التي يقوم بها «بيرسيراي» بالهجوم على الكاميرات، فقال إن الـ«روبوت الخبيث» يستخدم أحد بروتوكولات الإنترنت، لينشئ نفقاً أو قناة اتصال سرية بين الكاميرا والمهاجمين، وهذا البروتوكول يعرف باسم «بروتوكول بيانات المستخدم» أو اختصاراً «يو دي بي»، وبعد ذلك يمكن للمهاجم شن ما يعرف بـ«هجوم القوة الغاشمة» للاستيلاء على جميع بيانات وإعدادات الكاميرا.
ومن حيث مستوى الانتشار والنجاح الذي حققه هذا الـ«روبوت» الخبيث، فقد ذكر تقرير «تريند مايكرو» أن أول اكتشاف لهذا الـ«روبوت» الخبيث كان في الأسبوع الثاني من أبريل، إذ تبين أن هناك 150 ألف كاميرا موصولة بالإنترنت مصابة بالفعل بنقاط ضعف أمنية، تمكن هذا الـ«روبوت» من السيطرة عليها والتحكم فيها من البعد. وبحلول 10 مايو الجاري كان هناك نحو 99 ألف كاميرا من هذا النوع تحت الإصابة والسيطرة بالفعل، وأن هناك نحو 1000 من العلامات والأسماء التجارية المستخدمة في هذه الكاميرات، ظهرت بها نقطة الضعف الأمنية.
ثغرة «مايكروسوفت»
أما الواقعة الخطيرة الثانية، فكشفها باحثا أمن معلومات في «شركة غوغل الأميركية»، يعملان في مشروع «غوغل زيرو»، وهما تافيس أورماندي، وناتالي سيلفانوفيش، اللذان اكتشفا أن هناك خللاً يحدث في عمل أحد المكونات البرمجية التي تنتجها «مايكروسوفت»، ويحمل اسم «محرك الحماية من البرمجيات الخبيثة»، وهذا المكون يعمل مع نظم تشغيل «ويندوز»، بدءاً من «ويندوز 7» وما بعده، كما يعمل مع جميع أدوات ومنتجات أمن المعلومات التي تنتجها «مايكروسوفت». والخلل الذي يحدث أثناء عمل هذا المكون يفتح ثغرة بالغة الخطورة، تجعل من السهل جداً على المهاجمين القيام من البعد بعمليات القرصنة، والسيطرة على أجهزة الكمبيوتر التي يوجد بها هذا المكون.
وطبقاً للتوجيه الأمني الذي أصدرته «مايكروسوفت»، فإن هذه الثغرة الأمنية تحدث حينما يمسح محرك الحماية من البرمجيات الخبيثة بعض الملفات التي لها وضع خاص أو مؤقت، مثل ملحقات الرسائل البريدية التي لم تفتح بعد، والملفات التي لم ينتهِ تحميلها بعد، وملفات الإنترنت المؤقتة، وغيرها، إذ بدلاً من فحصها وتأمينها، فإن هذا المحرك يحولها إلى نقاط ضعف مكشوفة داخل نظام الملفات، يمكن استغلالها في عمليات القرصنة من البعد.
وقد بدأ الباحثان الكشف عن هذا العيب الأمني الخطر جداً في تغريدة نشراها على «توتير»، وألمحا فيها إلى وجود هذا العيب من دون تحديد مكانه، كما أبلغا «مايكروسوفت» به، التي استشعرت بدورها خطورة هذه الثغرة الأمنية، ففحصتها ووضعت العلاج المناسب لها على وجه السرعة، وطرحت التحديث الأمني الذي يعالجها فوراً. وقد سبق للباحث أورماندي أن قال عن الثغرة الأمنية المكتشفة بأنها «سيئة بجنون»، وهي أسوأ الثغرات الأمنية في مجال القرصنة عن بعد في الذاكرة الحديثة.