17 شباط  2012 | تقرير: بن برومفيلد | سي ان ان

الحرب الإلكترونية في سوريا

Facebook-Malwareنشر انصار النظام السوري سلاحا جديدا ضد نشطاء المعارضة – فيروسات كمبيوتر تقوم بالتجسس على مستخدمي الإنترنت وخصوصاً النشطاء، وفقا لأحد خبراء تقنية المعلومات من المعارضة السورية وموظفة سابقة في إحدى منظمات المساعدات الدولية والتي أصيب جهازها بالفيروس المذكور.

وقد قالت إحدى شركات برامج مكافحة الفيروسات ومقرها الولايات المتحدة، والتي حللت واحد من الفيروسات بناء على طلب سي ان ان، أن الفيروس يبدو أنه كتب مؤخرا لحملة تجسس إلكترونية "cyberespionage" محددة، وأن الفيوس يمرر المعلومات التي يسرقها من جهاز الكمبيوتر المصاب إلى خادم في شركة الاتصالات السلكية واللاسلكية المملوكة للحكومة في سوريا STE "إس تي إي".

يقول عثمان، مهندس البرمجيات: يقوم مناصروا نظام الديكتاتور بشار الأسد بسرقة هويات شخصيات ونشطاء  المعارضة ثم يقومون بتلبس شخصياتهم في غرف المحادثة الإلكترونية حيث يقومون بكسب ثقة المستخدمين الآخرين، وتمرير ملفات فيروسات "حصان طروادة" وتشجيع الناس على فتحها.

وعند فتح الملف على جهاز كمبيوتر الضحية، يقوم بإرسال المعلومات إلى مخدمات محددة من قبل مبرمج الفيروس.

داخل سوريا: الأمل، واللوازم الإنسانية نحو الإضمحلال

السوريون يتظاهرون ضد النظام بعد صلاة الجمعة في مدينة ادلب شمال سوريا في 17 فبراير. النشطاء الذين يعملون ضد النظام لديهم الآن ما يدعو للقلق من برامج الكومبيوتر الضارة التي يمكن أن تعرض أنشطتهم وحياتهم للخطر .عثمان المختص في أمن تكنولوجيا المعلومات يعتبر الشخص الأول الذي يقصده نشطاء المعارضة السوريين.

من أجل تقديم إستشارات وحلول وهو يقيم خارج سوريا حفاظاً على سلامته الشخصية.

منذ ديسمبر كانون الاول، وصل لمسامع عثمان أن العشرات من أجهزة كومبيوتر أعضاء المعارضة السورية قد أصيبت بهكذا فيروسات. اثنان من هذه الفيروسات تم تمريرها لـ عثمان وزميل يعمل معه لتحليل ودراسة آثارهما.

يقول عثمان: أحد هذين الفيروسين معقد جداً، ويمكن أن يخفي نفسه من الكشف بشكل كبير.

إحدى شركات تحليل الفيروسات في الولايات المتحدة قالت أن أحد هذين الفيروسين، الأبسط تركيبة، قد تم إصداره قبل قليل من الوقت الذي بدأت حالات الإصابة تظهر في أنحاء العالم.

يقول فيكرام ثاكور، مدير قسم الاستجابة الأمنية في شركة سيمانتيك، والمعروفة للمستهلكين ببرنامج مكافحة الفيروسات نورتن، أن الفيروس يتكون من جزئين. وقال أن أحدهم يشير أن إصداره تم في 6 كانون الأول والآخر إلى 16 كانون الثاني. وقد اطلق ثاكور على الفيروس الأبسط تركيبة بـ"فيروس الباب الخلفي المتوحش".

أما الفيروس الذي أصيب به جهاز موظفة الإغائة الإنسانية السابقة كان من النوع الأكثر تعقيداً وقد قامت بتحميل الملف المحتوي على الفيروس عن غير قصد خلال محادثة مع مستخدم على سكايب.

وبحكم أنها لا تزال تسافر إلى سوريا فقد طلبت من سي إن إن أن تبقى شخصيتها سرية  لذلك سيتم الإشارة إليها على أنها "سوزان".

صرخات تحد تصدح في إحدى البلدات السورية

للحصول على صورة أقرب للواقع عن الاحتياجات الإنسانية في سوريا، قامت "سوزان" بالإتصال بأحد أعضاء المعارضة عبر الإنترنت. في كانون الثاني، تلقت مكالمة من شخص لا تعرفه عبر سكايب "Skype" واعتقدت أن هذا الشخص كان معارضاً لنظام الأسد. إكتشفت بعد ذلك أن ذاك الشخص كان محتال وتبين أنه مؤيد للنظام.

قاموا بالإتصال بي و تصرفوا أنهم ذاك المعارض، الناشط الذي لم أعرف لأنني لم أتحدث إليه سوى مرتين عن طريق المحادثة الكتابية على الإنترنت. بعد عدة أيام قام نشطاء آخرون بالإتصال بـ "سوزان" وأخبروها أن الناشط المعارض الذي تعرفت عليه تم إعتقاله. وقد إتهم النشطاء قوات النظام السوري بإجبار ذاك المعارض على إعطاء إسم المستخدم  وكلمة السر خاصته وقاموا بإنتحال شخصيته على الإنترنت.

وينقل عثمان عن نشطاء آخرين اعتقلوا وأطلق سراحهم أنهم قد أجبروا لتزويد أجهزة المخابرات بكلمات المرور الخاصة بهم. ولم تتمكن CNN من التأكد بشكل مستقل من هذه الاتهامات، وذلك لأن الحكومة السورية تفرض قيودا صارمة على وسائل الإعلام الدولية التي تغطي الأخبار داخل حدودها.

قام الشخص الذي تحدثت إليه سوزان عبر Skype بتمرير ملف لتنزيله. وأشارت إلى ما قاله لها لاقناعها لفتحه: "هذا الملف يؤكد لك عندما تتحدثين إلي من أنني ذاك الشخص وليس شخصاً آخر".

وفاة مراسلة صحيفة نيويورك تايمز في سوريا

"لقد قمت بالنقر على الملف لفتحه لكن في الواقع لم يحدث شيء"، تقول سوزان بلهجة حيرة. "لم ألحظ أي تغيير على الإطلاق". لم تُفتح أية صورة، ولم يظهر أي تنبيه على الشاشة بأن هناك فيروس يتم إنزاله. لقد ظهر الملف على أنه غير صالح أو أن الرابط غير صحيح، يقول عثمان.

الفيروس الثاني، backdoor.breut، تم إرساله بالبريد الالكتروني لعثمان من قبل ناشط داخل سوريا للتحليل، وقد ظهر أنه يعمل بنفس الطريقة. "تحميل، فتح، ثم لا شيء"، كما قال عثمان.

وقال أنه يحتوي على شعار الفيسبوك وهمي وقد مرر للناشط عبر غرفة محادئة على أنه تحديث لأمن الفيسبوك،.

وبناء على طلب من سي إن إن، قام عثمان بتمرير الفيروس إلى خبير أمن تكنولوجيا المعلومات في ولاية كاليفورنيا لإجراء تحليل مستقل.

وقد قام عثمان بإزالة الفيروس الأكثر ضرراً وتعقيداً من على جهاز سوزان بعد أن عمل صورة عن القرص الصلب المصاب سلفا والذي تجاوز حجمه الـ 250 غيغابايت، وسيتم إرسال المحتوى عن طريق البريد العادي للحصول على تحليل مستقل.

هذا وكان قد أكد خبير أميركي على الطبيعة الغير مرئية للفيروس  backdoor.breut.

احتجاجات ألفية في يوم الجمعة

"لا شيء يحدث بالظاهر عند فتح الملف"، يقول ثاكور. وأضاف "الشيء الوحيد الذي يحدث هو أن الفيروس  بنسخ نفسه إلى موقع مؤقتة على القرص الصلب، ولكن ذلك لن تكون مرئياً بالنسبة للمستخدم العادي." عند إعادة التشغيل، يقوم الفيروس الخبيث بالإنطلاق والعمل.

وأشار الناشط إلكتروني ومدير أمن المعلومات في ولاية كاليفورنيا إلى أن عدم وجود نافذة أو أي فعل عند فتح الملف خلال تحميل يساعد على إخفاء الفيروسات من ضحيته. "ومعظمهم من سيقول انه ملف معطوب"، وسوف ينسون ذلك قريباً، يقول عثمان. وذلك تماماً هو ما فعلته سوزان.

لم تكن تدرك أنها قد تعرضت لاختراق حتى فقدت حسابها على الفيسبوك، وحسابات البريد الإلكتروني بعد أيام قليلة من النقر على الملف. "لم أفتح أي نوع من الروابط أو شيء من هذا، وأظن أنهم كانوا قد علموا كلمة السر" في اشارة الى فقدان حسابها على الفيسبوك.

عندما سلمت كومبيوترها المحمول لـ عثمان وزميله، قال لها أن الفيروس قام بتسجيل ضربات المفتايح، أخذ لقطات للشاشة أثناء إستخدامها له، وفتش مجلدات لها وأخفى عنوان الإنترنت "IP" الذي ارسلت معلوماتها له.

لحسن الحظ عثر عثمان على إحدى لقطات الشاشة التي سرقها الفيروس في أحد المجلدات وفيها صورة من صفحة حساب سوزان البنكي على الإنترنت ونصحها بتغيير جميع كلمات السر. وتقول ساخرة: "أنت لا تريد أن يسرق المال الخاص بك من قبل بعض رجال الأمن السورية"

الفيروس الآخر "backdoor.breut" – يرسل المعلومات التي يسلبها من أجهزة الكمبيوتر المصابة إلى عنوان الإنترنت "216.6.0.28" ولا يخفيه.

وعند فحص عنوان الإنترنت "IP" المشار إليه، تبين أنه ينتمي إلى STE (المؤسسة السورية للاتصالات السلكية واللاسلكية)"، يقول مندوب شركة سيمانتيك لشبكة CNN. و STE هي شركة الاتصالات السلكية واللاسلكية الحكومية في سوريا.

يؤكد ثاكور أن هذا لا يعني بالضرورة أن شخصا ما في مؤسسة الإتصالات السورية يقوم بالقرصنة. "سواء كان ذلك أحد المستخدمين المنزليين وراء ذلك أو انها فعلا شركة أو مؤسسة المالكة لذلك العنوان، والتي تم تحديد مصدر عنوان الإنترنت IP، فإنه لا يمكننا القول"

لكن الحكومة السورية لديها كامل الصلاحية للوصول إلى كل نشاطات ومعلومات هذا الخادم وان أي شخص لا يريد للحكومة أن ترى ما يفعله لن تستخدم هذا الخادم.

نشطاء المعارضة السورية المهرة في مجال المعلوماتية يتجنبون إستخدام خوادم الحكومة في الاتصالات عبر الإنترنت. وقال ثاكور في سيمانتيك أن الفيروس البسيط، backdoor.breut، يتصرف مثل ثور في متجر للخزف الصيني. وأضاف "لم تبدو وكأنها كانت مكتوبة من قبل أي هاكر ذو خبرة"، وقال انه بعد دراسة الفيروس "لقد كان مجرد نوع تم وضعه على عجل"

الفيروسات البسيطة متواجدة وفي متناول الجميع للتحميل من على منتديات و مواقع سرية في شبكة الإنترنت. ويمكن إعادة توظيفها بتعديلات على الأوامر الموجودة بداخلها. ويعتقد عثمان أن البرنامج أو الفيروس  الثاني من تلك الأنواع الجاهزة للاستخدام بسبب تكوينته الغير إحترافية، لكن الخبير من كاليفورنيا لا يوافق على تلك الرؤيا.

"لا يبدو أنه شيئاً قد حدث بتلك البساطة، لا يبدو  أن شخصاً من حصل على الفيروس من الإنترنت وقام بتعديل رموز فيه فقط. لقد صناعة وترميز الفيروس لغرض محدد وواضح".

اسم "backdoor.breut" مستمد من سلوك الفيروس.

يضيف: "انه نوع من الفيروسات "الغاشمة" بسبب ما يفعله في الواقع، يقوم بتحصيل أي شيء ممكن تحصيله من على جهاز الكومبيوتر وإرسال المعلومات للجهة المحددة.

Backdoor.breut يحاول أن يعطي للقراصنة سيطرة على كمبيوتر الضحية عن بعد، وفقا للتحليل. انه يسرق كلمات السر ومعلومات النظام والبرامج الجديدة، وأدلة العمليات الداخلية، وضربات المفاتيح ويأخذ لقطات للكاميرا والشاشة.

كما يقوم بتعطيل رسائل التحذير التي تطلقها برامج مكافحة الفيروسات للمستخدم، ولكنه لا يستطيع إخفاء كل شيء بشكل نهائي وتام. ويقول الخبير “أن بعض البرامج الجيدة قد تتمكن من الكشف عن فيروس كهذا في نفس اليوم".

ويقول ثاكور أن الفيروسات والبرامج الضارة والتي تصدر عن السلطات السورية من الصعب تحديدها والحماية منها ذلك لأنها حديثة العهد ولا يمكن لصانعي برامج الحماية من إكتشافها قبل أن يتعرفوا على الفيروس لتكون قادرة على الحماية منه ومنع تحميل ملفات مصابة بذلك الفيروس.

حيث أنه كلما كان الفيروس منتشر على نطاق أوسع وفي جميع أنحاء العالم، يكون الأقرب لأن يتم إكتشافه  بـ "رادار" صانع مكافحة الفيروسات. في حين أن إنتشار الفيروس في منطقة ضغيرة ومحددة يجعله أقل احتمالا من أن تتم ملاحظته ومكافحته.

وبحسب دراستنا لهذا الفيروس خلال الأيام الخمسة أو الستة الماضية فقد وجدنا أن الفيروس لا يستهدف الناس في جميع أنحاء العالم، لذا يمكن أن تمر أيام قبل أن يصنع توقيع للفيروس من قبل مصنعي برامج الحماية والذي “أي التوقيع” يمكن من الحماية ضد للملف.

ويقول ثاكور أن برامج الحماية الأكثر تعقيدا قد تمكن من الكشف عن برامج ضارة كهذا الفيروس وإن لم تملك حتى الآن توقيع، وذلك بسبب الطريقة التي يتصرف بعد إصابة جهاز الكمبيوتر. إذا كان برنامج الحماية من الفيروسات لا يتضمن مكون التدقيق "السلوكي"، فإن الحماية والدفاع ضد فيروسات جديدة لن تحصل لمدة طويلة حتى يتم تحديد توقيع للفيروس الجديد.

وقد وضع عثمان صفحة على الفيسبوك باسم "سايبر العرب" وفيها يحذر النشطاء من خطورة تحميل الفيروس ويذكر المستخدمين بالحفاظ على البرامج الخاصة بمكافحة الفيروسات محدثة.

يمكن إيجاد برامج لمكافحة الفيروسات ذات المكون “السلوكي” على Download.com، أو موقع CNET لتحميل البرامج، وبعضها ومجاني.

ومع كل هذا فإنه لا يوجد ضمان من عدم الإصابة بـ جرثومة الإنترنت السورية الجديد، كما تقول "سوزان وتذكر.

كل المشكلة، تقول سوزان، وعلى الرغم من كون برنامج الحماية خاصتي كان محدثاً، هو أنني تلقيت ملفاً وكنت غبية لدرجة أن أفتح ملف بإمتداد EXE.

المصدر:

 http://articles.cnn.com/2012-02-17/tech/tech_web_computer-virus-syria_1_opposition-activists-computer-viruses-syrian-town?_s=PM:TECH

روابط:

https://www.facebook.com/photo.php?fbid=209177865845142&set=pu.108760619220201&type=1

Avira Anti-Virus: download.cnet.com/Avira-Free-Antivirus/3000-2239_4-10322935.html

AVG Anti-Virus: http://www.filehippo.com/download_avg_antivirus_32/

Comodo Personal Firewall: personalfirewall.comodo.com/free-download.html

أضف تعليقاً

إملأ الحقول أدناه بالمعلومات المناسبة أو إضغط على إحدى الأيقونات لتسجيل الدخول:

WordPress.com Logo

أنت تعلق بإستخدام حساب WordPress.com. تسجيل خروج   / تغيير )

صورة تويتر

أنت تعلق بإستخدام حساب Twitter. تسجيل خروج   / تغيير )

Facebook photo

أنت تعلق بإستخدام حساب Facebook. تسجيل خروج   / تغيير )

Google+ photo

أنت تعلق بإستخدام حساب Google+. تسجيل خروج   / تغيير )

Connecting to %s