الجمعة، 29 يونيو 2012

الفيروس Flame، جاسوس دولة

مقالة منشورة في صحيفة "لو موند" الفرنسيّة بتاريخ 20/06/2012، كتبها إيف إيود
في أوائل شهر أيار/مايو الفائت، تلقّى الاتّحاد الدولي للاتصالات السلكية واللاسلكية(UIT)، (وكالة تابعة للأمم المتّحدة في جنيف) نداءً للمساعدة من دول عدّة في الشرق الأوسط تشكو
وقوع مختلف المنشآت النفطية في المنطقة ضحيّة هجومٍ مدمّرٍ، تمثّل باختفاء كمٍّ هائلٍ من البيانات المخزّنة على الأجهزة الحاسوبيّة لهذه الدول، وبطريقةٍ مفاجئة. وفي أواخر نيسان/أبريل، وكمحاولةٍ منها لإصلاح هذا الضرر، قامت إيران بفصل شبكات الكمبيوتر عن صناعتها النفطيّة بشكلٍ مؤقّت. وبدا أن فيروساً جديداً(أُطلق عليه مؤقتاً اسم "وايبر" Wiper ) هو الذي سبّب كلّ هذه الفوضى.
ظنّ خبراء العالم بدايةً أنّ هذه القضية هي حلقة جديدة من الحرب الإلكترونيّة الغامضة، التي شنّها قراصنة مجهولون ضدّ إيران. وبالفعل! ففي العام 2010، أُدخل فيروس "ستكسنت" Stuxnet المصمّم حديثاً آنذاك، أجهزة الكمبيوتر التي تراقب معدّات الطرد المركزي لمصنع تخصيب اليورانيوم الإيراني في ناتانز، ونجح في تخريبها. حتى أنّ الفيروس نفسه سبّب انفجارات، مسجّلاً بذلك سابقةً عالميّة في تاريخ القرصنة المعلوماتيّة. ثمّ، عثر الإيرانيّون في شبكات الكمبيوتر الخاصة بهم على فيروسٍ للتجسّس في خريف العام 2011، أطلقوا عليه اسم "دوكو" Duqu، تمّ تصميمه لسرقة معلومات حسّاسة. هذه الهجمات لم تكن مطلوبةً، ولكن، ووفقاً للخبراء، ثمّة دولةٌ واحدة بإمكانها تعبئة الموارد البشرية والمالية اللازمة لإنشاء مثل هذه البرامج المعقّدة والمبتكرة. وقد صبّت الشكوك على الولايات المتحدة أو إسرائيل، أو كليهما.
علبة أدواتٍ ضخمة
(...) في هذه الأثناء، قامت مجموعات أخرى بتعقّب الفيروس (المسمّى أيضاً بالممحاة). وفي أوائل شهر أيار/مايو، اتّصل بعض الشركاء بالمختبر الهنغاري CrySys، في جامعة بودابست للتكنولوجيا، بعدما فضّلوا عدم الكشف عن هويتهم، مقترحين على المختبر التحرّي عن "وايبر". وCrySys هو مختبر مشهور جداً، لأنه هو من قام باكتشاف الفيروس "دوكو" في العام 2011.
وبسرعةٍ، اكتشف الهنغاريون الفيروس نفسه تماماً كما فعل الروس قبلاً، إلاّ أنهم وجدوا أنّ الفيروس الحالي هذه المرّة هو ذو قوة لم يسبق لها مثيل. ونظراً لعظمة المهمّة، أحالوا الملف على الشركة الأمنيّة الأميركيّة "سيمانتيك" Symantec، التي عملت على القضيّة بأساليب لوجستيّة ضخمة.
في 28 أيار/مايو، عمد كلٌّ من الروس والهنغاريين والأميركيين، وحتى الإيرانيين، الذين شاركوا في هذه المطاردة، عمدوا إلى نشر بيانات إخباريّة تُعلن اكتشاف "الميغا فيروس" الذي تقرّرت تسميته عالمياً بفيروس Flame. وبعدما كان "وايبر" هو المستهدف بحثاً وتحقيقاً، تمّ إهماله كليّاً، على اعتبار أنه غير فعّال.
بمجرّد تحديد الفيروس Flame، قام الخبراء من دولٍ عدّة بتطوير برامج طوارىء قادرة على تجميده. كما انخرطوا أيضاً في مهمة طويلة الأجل، ألا وهي تحليل الشفرة التي يتألف منها، متنقّلين من مفاجأة إلى أخرى. وفي نسخته الكاملة، بلغ وزن شفرة الفيروس Flame 20 ميغا بايت، أي 20 مرّة أكثر من فيروس "ستكسنت".
متى اكتملت مهمّته، يُدمَّر ذاتيّاً
(...) يتمّ التحكّم بفيروس Flame عن بُعد، شأنه في ذلك شأن معظم برامج التجسّس، بواسطة الكثير من "مراكز القيادة والسيطرة"، المثبّتة على الخوادم الموجودة في أيّ مكانٍ في العالم. ويستهدف هذا الفيروس الآلات المجهّزة بنظام تشغيل "ويندوز" من "مايكروسوفت"؛ وبموجب شهادات التأمين المصنّعة بواسطة خوارزميات شديدة التعقيد، يجري تحديثه وفقاً لنظام "ويندوز"؛ بالإضافة إلى أنه لا ينتقل تلقائياً عبر الشبكة، لكن بشكلٍ متقطّع فقط، وبناءً على قرارٍ صادر عن مركز القيادة. إذ إن الهدف هو تجنّب التكاثر الفوضويّ لهذا الفيروس الذي تتضاعف مخاطر الكشف عنه.
قبل إرسال البيانات إلى مراكز القيادة، يقوم الفيروس بتأمين اتصالاته من خلال أنظمة تشفير متكاملة. إذ إنّ وظيفته في النهاية هي "تدمير الذات": ما إن يستكمل مهمّته، حتى يقوم بتدمير نفسه بنفسه. وقد يكون للفيروس Flame وظائف أخرى غير مُكتشفة بعد، لأنّ التحليل قد بدأ للتوّ. علاوةً على ذلك، يقول بعض الباحثين إنه اشتغل لمدة سنتين على الأقل قبل أن يتمّ رصده.
وفي ما يتعلّق بضحايا الفيروس، قام المحققون في البداية بتحديد أكثر من 400 جهاز كمبيوتر مصابة به: حوالى 200 جهاز في إيران، و100 في فلسطين، و30 في السودان وسوريا، وأعداد أخرى في لبنان، والمملكة العربية السعودية، ومصر... في المجموع، يقدّر عدد الإصابات بـ1000 جهازٍ تقريباً.
حتى هذه المرحلة، ترفض الشركات الأمنيّة الإفصاح عن قطاعات الأنشطة المستهدفة في كلّ بلد. بل إنها تشير فقط إلى أنّ الفيروس Flame كان يبحث بشكلٍ خاص عن الملفات المتعلقة ببرامج الأوتوكاد Autocad (الرسومات الهندسية، الخطط المعمارية، رسومات تخطيطية للآلات.. إلخ). كما تزعم الشركات أيضاً إنه تمّ العثور على الفيروس على أجهزة الكمبيوتر الشخصيّة - إما لأنّ الحياة الخاصة لأصحابها تهمّ الجواسيس، أو لأنّ هؤلاء الناس كانوا يعملون على ملفات حسّاسة من داخل منازلهم.
الشكوك تطال الولايات المتّحدة وإسرائيل

(...) بالنسبة إلى الشركات الأمنيّة، يتوقف التحقيق عند هذه المرحلة: إذ ما من ضرورة لمحاولة فضح مصمّمي فيروس Flame ولا حتى الشركاء فيه. فهذه التحقيقات هي، نظريّاً، من مسؤولية القضاء في البلدان المعنيّة، غير أنّه يكاد يكون من المستحيل التغلّب على العقبات التقنية والقانونية والدبلوماسية. فيما يكتفي "كاسبيرسكي" بالتأكيد على أنّ دولةً واحدة فقط لديها الموارد اللوجستية والمالية اللازمة من أجل إنشاء أداةٍ على هذا المستوى من التطوّر.
من جهته، نشر المركز الإيراني "ماهر" بياناً حول المسائل التقنية البحتة يرد فيه الآتي: "نظراً لنمط تسمية الملفات، وطرق انتشارها، ومستوى التعقيد، ودقة إصابة الهدف، والكمال في العمل، قد يكون الفيروس Flame على ارتباط وثيق بـ (...) فيروس "ستكسنت" و"دوكو" (...). والحوادث الأخيرة المتمثّلة بفقدانٍ كميٍّ هائلٍ للبيانات في إيران ناتجة على الأرجح عن تركيب وحدات هذا الفيروس". ويصرّح ليفينتي بوتيان، مدير المختبر الهنغاري CrySys في بودابست، بطريقة أكثر مباشرة قائلاً: "ليس هناك أيّ دليلٍ، ولكن عندما نعاين أساليب العمل، ونأخذ بعين الاعتبار المنطقة التي تتمركز فيها الأهداف، يبدو جلياً أنّ الشكوك ترتكز على الولايات المتحدة وإسرائيل".
ولا تزال أبوّة الفيروس Flame غير معروفة حتى الآن، غير أنّ أطروحة تورّط الولايات المتحدة تمّ تعزيزها من طريق نشر كتاب، بتاريخ 5 حزيران/يونيو، بعنوان: "المواجهة المستترة: حروب أوباما السرية"، لمراسل صحيفة نيويورك تايمز في واشنطن "ديفيد سانجر".
وبالتفصيل شرح سنجر، المتواجد كثيراً في البيت الأبيض، كيف تمّ تصميم فيروس "ستكسنت" وكيف تمّ استخدامه بعد ذلك ضدّ المحطة النووية الإيرانية من قبل المخابرات الأميركيّة وبمساعدة الإسرائيليين، خلال عملية أُطلق عليها اسم "الألعاب الأولمبية". وقد أكّد أيضاً أنه في أعقاب خطأ في المناورة، انتشر فيروس "ستكسنت" على شبكة الإنترنت، مصيباً بذلك ما يقرب من مائة ألف جهاز في مختلف أنحاء العالم، وكيف أنّ إدارة أوباما كانت قد قرّرت مواصلة العملية على الرغم من الأضرار الإضافيّة الناتجة عنها.
إلاّ أنّ الولايات المتحدة تُدين على الصعيد الرسمي كلّ الأنشطة الخاصة بما يسمّى "الحروب الإلكترونية"، وتقود حملةً دبلوماسيّة بغية إقناع بقية دول العالم، بما في ذلك الحلفاء، بصنع فيروسات هجوميّة. وكانت أول ردّة فعلٍ لحكومة أوباما بعد تصريحات ديفيد سانجر، فتح تحقيقٍ جنائي للعثور على المسؤولين عن تسرّب كلّ هذه المعلومات(فكان ذلك بمثابة اعترافٍ ضمنيّ منها بأنها تصنع فيروسات هجوميّة). وأكّدت صحيفة نيويورك تايمز من جهتها أنها سبق أن حذّرت الحكومة الأميركيّة قبل نشر هذه المعلومات، وأنّ الأخيرة طلبت من الصحيفة عدم نشر بعض التفاصيل التقنيّة، باسم المصلحة الوطنية.
إذا ما تبيّن أن حكومة الولايات المتحدة تصنّع الفيروسات، فإنّ الشركات الأمنية الأميركيّة العاملة في كثير من الأحيان لمصلحة الدولة، تجد نفسها في وضعٍ متناقض يضطرّها إلى مواجهة العمليات الخاصة بالحكومة الأميركيّة. وفي لقاءٍ مع صحيفة "لوموند" في حزيران/يونيو 2011، تمّت تهنئة الرئيس التنفيذي لشركة "سيمانتيك" Symantec، إنريك سالم، على نجاحه في العام 2010 في تجميد عمل مركزين للمراقبة خاصين بفيروس "ستكسنت" Stuxnet، في ماليزيا وهولندا، ولتحديده ثلاث ثغر أمنية يستخدمها الفيروس لكي ينتشر بالعادة. وأكّد أنه تمّ تصنيع فيروس "ستكسنت" Stuxnet من طرف "دولة" ما، من دون تحديد اسمها.
وفي ما يتعلق بالفيروس Flame، يذكّر المسؤولون في شركة "سيمانتيك" Symantec أنهم يدافعون في المقام الأول عن مصالح عملائهم – ولكن، في ما يخصّ الحظر الذي تفرضه الولايات المتّحدة، فهم ليس لديهم أيّ عملاء في إيران. على أيّ حال، فإنّ الأميركيين ليسوا في الواقع في طليعة الصراع ضدّ هذه الفيروسات: فقد تمّ الكشف عن فيروس "ستكسنت" Stuxnet للمرّة الأولى من قبل فريق في روسيا البيضاء، وتمّ أيضاً الكشف عن فيروس "دوكو" من قبل الهنغاريين، والذين كشفوا عن Flame بالتعاون مع الروس أيضاً ومع الإيرانيين المتربّعين دائماً في الطليعة.

ترجمة: حنان أرناؤوط

ليست هناك تعليقات:

إرسال تعليق

أهلا بك ،
أشكر لك إطلاعك على الموضوع و أن رغبت في التعليق ،
فأرجو أن تضع إسمك ولو حتى إسما مستعارا للرد عليه عند تعدد التعليقات
كما أرجو أن نراعي أخلاقيات المسلم;حتى لانضطر لحذف التعليق
تقبل أطيب تحية
ملاحظة: يمنع منعا باتا وضع أية : روابط - إعلانات -أرقام هواتف
وسيتم الحذف فورا ..