وطن. يغرد خارج السرب

الوسم: برمجيات خبيثة

  • “الموساد من الهند”.. شبكة تجسس تخترق إيران ودول الخليج

    “الموساد من الهند”.. شبكة تجسس تخترق إيران ودول الخليج

    كشفت صحيفة “كيهان” الإيرانية عن واحدة من أكبر عمليات التجسس الرقمي التي يشهدها الشرق الأوسط، حيث استخدم جهاز الموساد الإسرائيلي برمجيات هندية لاختراق أنظمة حكومية وعسكرية داخل إيران، بالإضافة إلى عدد من دول الخليج.

    التحقيق الأمني الذي أعقب هجومًا سيبرانيًا متطوّرًا كشف أن هذه البرمجيات، التي ظاهريًا تمثل أدوات تقنية مساندة، كانت تحتوي على برمجيات خبيثة (Backdoors) ترسل معلومات حساسة مباشرة إلى إسرائيل، شملت بيانات من السجل المدني، وجوازات السفر، والمطارات، وحتى أنظمة عسكرية حساسة.

    اللافت أن هذه البرمجيات ما زالت تُستخدم حتى اليوم في بعض الأنظمة الخليجية، ما يضع تلك الدول تحت تهديد رقابي خفي، وسط صمت رسمي من الحكومتين الهندية والإسرائيلية.

    المثير للقلق أن هذه البرمجيات، المرتبطة بشركات تعمل كواجهة للموساد، لا تكتفي بسرقة المعلومات، بل تستطيع تعطيل المعدات العسكرية والتحكم بها عن بُعد، ما يشكل تهديدًا مباشرًا للأمن السيادي.

    وبحسب التقرير، تم التواصل بين المخترقين والمبرمجين عبر شبكة “ستارلينك”، ما مكّنهم من تجاوز الرقابة المحلية، فيما لم تُظهر السلطات المعنية في بعض الدول المستهدفة أي ردة فعل رسمية حتى الآن.

    الفضيحة، التي وصفت بـ”الكارثية”، تكشف عن حجم الخطر الكامن في الاعتماد على تقنيات أجنبية دون تدقيق، وتدق ناقوس الخطر حول أمن البيانات السيادية في المنطقة.

  • رسائل بريدية مسربة من شركة إيطالية للبرمجيات الخبيثة تفضح سعود القحطاني وزير الذباب المعزول

    رسائل بريدية مسربة من شركة إيطالية للبرمجيات الخبيثة تفضح سعود القحطاني وزير الذباب المعزول

    في فضيحة جديدة للنظام السعودي وتأكيدا للتقارير التي تم تداولها سابقا عن تورط سعود القحطاني مستشار ولي العهد المقال بإدارة عمليات خبيثة لاختراق هواتف معارضين والتجسس عليهم، كشف تحقيق لمجلة “مذربورد” الأميركية، أن القحطاني كان مكلفاً بشراء برمجيات خبيثة من شركة “هاكنج تيم”.

     

    هذا بالإضافة إلى عمله سراً كعضو في موقع الجرائم الإلكترونية على الإنترنت “هاك فورمز”، للاستفسار عن أساليب استهداف حواسب معارضين للحكومة السعودية.

     

    بدأت المجلة تحقيقها بتقديم خلفية عن اكتشاف باحثين مطلع شهر أكتوبر محاولات السعودية اختراق هواتف معارضين في أميركا وكندا، وجهودها لإسكات أصوات المعارضين على الإنترنت.

     

    وتقول “مذربورد” إن المملكة تحولت إلى آلة قرصنة معقدة، بإمكانها استهداف المعارضين المقيمين في الضفة الأخرى من العالم ببرمجيات تجسس باهظة الثمن، إذ ركز النظام السعودي على أدوات المراقبة واشترى برامج خاصة بالقرصنة من شركة “هاكنج تيم” الإيطالية، وفقاً للرسائل البريدية المسربة نتيجة اختراق موقع الشركة ونشر بياناتها عام 2015.

     

    وكانت “مذربورد”، قد نشرت تقريراً حصرياً أشارت فيه إلى شراء مستثمر سعودي غامض لحصة 20% من الشركة الإيطالية، منقذاً إياها من الإفلاس.

     

    وذكرت المجلة أن رسائل “هاكينج تيم” المسربة تؤكد أن سعود القحطاني -الذي أسمته المجلة بـ “مستر هاشتاج”- عمل كنقطة اتصال رئيسية بين الشركة الإيطالية وبين حكومة الرياض، مشيرة إلى أن القحطاني ورد اسمه في تقرير لـ “رويترز” بصفته المشرف على قتل خاشقجي عبر اتصال سكايب.

     

    وأشارت المجلة إلى أن القحطاني، حتى طرده الأسبوع الماضي، عمل كمستشار إعلامي لـ “بن سلمان”، كما أطلق عليه أحياناً اسم “ستيف بانون السعودية”، في إشارة لمستشار دونالد ترمب السابق، وأيضاً نال القحطاني اسم “مستر هاشتاج” نظراً لاستخدامه للبروباجندا ووسائل الإعلام الاجتماعي، كما أنه لعب دوراً محورياً في جهود حكومة الرياض لنشر معلومات مضللة ومضايقة منتقدي النظام على وسائل التواصل الاجتماعي، والذي أكسبه لقب “قائد الذباب الإلكتروني”.

     

    ولكن وبعيداً عن الإعلام الاجتماعي، كشفت “مذربورد” أن سعود القحطاني لعب فيما يبدو دوراً أكثر أهمية للنظام السعودي، وهو التواصل مع شركة “هاكينج تيم” وتنظيم اجتماعات مع مسؤوليها لكي يشتري برمجيات مراقبة من إنتاج الشركة الإيطالية، مضيفاً أن مستشار بن سلمان ربما يكون بحث على الإنترنت بشكل مكثف عن أدوات اختراق وتجسس للحكومة السعودية لاستخدامها ضد المعارضين.

     

    وأوضحت “مذربورد” أن القحطاني كان فيما يبدو عنصراً أساسياً في علاقة السعودية بشركة “هاكينج تيم”، إذ وجدت المجلة أن شخصاً يعرف نفسه باسم سعود القحطاني أجرى مراسلات ضخمة على مدار سنوات مع الشركة الإيطالية مستخدماً عنوان بريد إلكتروني حكومي سعودي (email [email protected])، وآخر باسم ([email protected]).

     

    وجاء في إحدى مراسلات القحطاني المسربة مع الرئيس التنفيذي لشركة “هاكينج تيم” ديفيد فينسينتزي، خلال 2015: “نحن هنا في مركز تحليل ومراقبة وسائل الإعلام في الديوان الملكي السعودي، نود الدخول في تعاون مثمر معكم وتطوير شراكة استراتيجية وطويلة”.

     

    وتظهر الرسائل أن “هاكينج تيم” كان لها نشاط تجاري مع القحطاني: إذ أجاب “فينسينتزي” فوراً على الرسالة بالرد على المستشار السعودي قائلاً: إن “موظفاً عربياً في الشركة سيتواصل معك بعد فترة وجيزة”، كما أشارت رسالة بريدية أخرى متبادلة بين البريد الحكومي السعودي و”هاكينج تيم” إلى مكالمات هاتفية جرت بين ممثلي الشركة والقحطاني، بينما تشير رسالة أخرى إلى حل مشكلة تقنية.

     

    وتابعت المجلة قولها إنه “في عام 2012، وقبل سنوات من تواصل صاحب البريد الإلكتروني الحكومي السعودي ([email protected]) مع شركة “هاكينج تيم” الإيطالية، تواصل أيضاً أشخاص يحملون اسم (سعود القحطاني) مع الشركة ويمثلون الحكومة السعودية، ويقولون إن حكومتها مهتمة بشراء برمجيات خبيثة، وفقاً للرسائل البريدية المسربة.

     

    وقالت المجلة إن القحطاني الذي تواصل مع الشركة عرف نفسه بأنه موظف في الديوان الملكي السعودي، مستخدماً بريداً إلكترونياً يحمل نفس الاسم ([email protected]).

     

    وأشارت “مذربورد” في تحقيقها إلى أن اسم الحساب الرسمي المثبت على موقع “تويتر” لسعود القحطاني هو (@saudq1978)، أي نفس الاسم الذي يستخدم في التواصل مع شركة “هاكينج تيم” الإيطالية.

     

    وأضافت “مذربورد” أن هناك عنواناً بريدياً على “جوجل ميل” باسم ([email protected]) استخدم عام 2009 لتسجيل حساب على موقع الجرائم الإلكترونية الشهير “هاك فورمز”، وهو البريد الذي استخدم قبل مراسلاته مع شركة “هاكينج تيم” وتسجيله حساباً رسمياً على “تويتر”.

     

    وذكرت المجلة أن سعود القحطاني استعمل بريداً بعنوان ([email protected]) خلال كتابة رسالة أولية إلى “هاكينج تيم” يقول فيها: “نحتاج قدومكم في أسرع وقت ممكن”.

     

    ورغم أن المجلة لم تستطيع التأكد من الربط بين مستخدم البريد السابق وبين سعود القحطاني، فإن محتوى الرسائل ولهجتها تتشابه مع تلك المُرسلة من البريد الإلكتروني ([email protected]) الرسمي الخاص بالقحطاني.

     

    وأوضحت المجلة أن سعود القحطاني اضطر لاستخدام بريد رسمي بعدما شككت الشركة بداية في هويته وطلبت منه استخدام بريد آخر رسمي بدل حساب “جوجل ميل”.

     

    وتابع التحقيق أن القحطاني رد عبر بريده ([email protected]) على رسالة الشركة الإيطالية بالقول: “أنا مخول من قبل حكومتي بالتواصل معكم. نحن نتبع الديوان الملكي السعودي، ليس لدينا بريد إلكتروني رسمي ولكن نستخدم فاكس مؤمن”.

     

    وأشار التحقيق إلى أن “هاكينج تيم” من الواضح أنه اقتنع بهذا الرد (أو بفاكس لاحق) من القحطاني، لأن الشركة استمرت بعد في ذلك في المراسلة على بريد جوجل ميل، ثم نظمت اجتماعاً لاحقاً في الرياض في يوم 9 مايو 2012.

     

    وانتقل القسم الثاني من تحقيق المجلة الأميركية، إلى الكشف عن أن القحطاني استخدم بريد جوجل ميل ([email protected]) للمشاركة كعضو نشط في موقع “هاك فورمز” لسنوات، وكان هدفه البحث عن برمجيات خبيثة وطلب استهداف ضحايا له.

     

    يذكر أن الموقع المذكور يعد مكاناً للهاكرز الشباب ذوو المهارات المحدودة، حيث يمكنهم طلب وتبادل المساعدة البدائية في أدوات التجسس.

     

    وأشارت المجلة إلى أن القحطاني سجل في الموقع تحت اسم “Nokia2mon2″، وكان لديه عنوان سعودي في حسابه على “بايبال” لدفع الأموال إلكترونياً، وذلك حسب مصدر داخل موقع “هاك فورمز” تمكنت “مذربورد” من الحديث معه.

     

    ويقول المصدر ذاته إن القحطاني ذكر أن مقدمي أدوات التجسس على “هاك فورمز” عملوا معه بفرضية أنه يعمل لصالح الحكومة السعودية، وأنه سرت شائعات حينئذ أنه يشتري أدوات التجسس تلك لاستهداف صحافيين وأجانب ومعارضين.

     

  • هذه هي مخاطر ‘واتس اب‘ على مستخدميه

    هذه هي مخاطر ‘واتس اب‘ على مستخدميه

     

    نشرت شركة “Comodo Labs”، المتخصصة في مجال الأمن الرقمي، تقريرا مفصّلًا عن المخاطر الحقيقية التي قد تصيب مستخدمي تطبيق المحادثات “واتس اب”.

     

    وأول هذه المخاطر الوجوه التعبيرية Emoji التي لاقت رواجا كبيرا في الفترة الأخيرة، حيث يأتي الخطر عند إرسال رسالة تحوي على أكثر من 4500 وجه تعبيري.

     

    ويزداد هذا الخطر على وجه الخصوص في نسخة واتس آب للمتصفح WhatsApp Web ، حيث يمكن للمستخدم كتابة رسالة تحتوي على 6500-6600 حرف تقريبا، وعند محاولة إرسال 4500 وجه تعبيري سيتوقف المتصفح عن الاستجابة وقد يتوقف عن العمل بشكل كامل في بعض الأجهزة، وحتى عند استلام الرسالة، وإذا قام المستخدم بفتحها سيتوقف “فايرفوكس” أو “غوغل كروم” نهائيا عن العمل لأن استخدام الكثير من الوجوه التعبيرية في نفس الصفحة سيؤدي إلى ثِقَل المتصفح قبل أن يتوقف عن العمل.

     

    والأمر ينطبق أيضا على الأجهزة الذكية وتحديدا “أندرويد”، فعند وصول رسالة تحوي على أكثر من 4500 وجه تعبيري ومحاولة فتحها، ستظهر رسالة تخبر أن “واتس آب” توقف عن العمل، أما على أجهزة آيفون فالتطبيق سيتوقف لبضعة ثوان عن الاستجابة قبل أن يعود للعمل من جديد.

     

    لذا من الجيّد أن لا يتم فتح أي رسالة مصدرها مجهول وتبدأ بالكثير من الوجوه التعبيرية.

     

    التهديد الثاني أكثر جدية، فهو قائم على مبدأ إجبار المستخدم على زيارة رابط ما يحتوي على برمجيات خبيثة مستغلّين انتشار “واتس آب” الكبير حول العالم.

     

    هذا التهديد يأتي في شكل رسالة تصل إلى عنوان البريد الإلكتروني بعنوان “هذا الشخص قام بإرسال صورة” أو “فلان أرسل مقطعاً صوتياً” وغيرها الكثير من العناوين المغرية، وبعض هذه الرسائل يأتي باسم “واتس آب”، وبعنوان “رسالة من هيئة الدعم الفني لتطبيق واتس آب” أو “حساب “واتس آب” الخاص بك بحاجة إلى تفعيل” أو “صدرت نسخة لواتس آب يجب تحميلها”.

     

    هذه الرسائل ستجذب المستخدم من العنوان فقط، لكن بعد فتحها سيجد المستخدم نفسه مضطرًا للضغط على رابط ما للإطلاع عليها، وهنا يبدأ الاختراق للسيطرة على الجهاز بالكامل.

     

    منطقيا، يعتمد تطبيق “واتس آب” على رقم هاتف المستخدم فقط، دون وجود أي رابط بينه وبين البريد الإلكتروني، فلو أرادت الشركة إرسال هذا النوع من الرسائل، فلن يتم إرساله إلى بريده الإلكتروني، لأنها لا تمتلكه بالأصل.

     

    أما إذا كانت الرسالة بعنوان مثل أحد الأصدقاء قام بإرسال صورة أو فيديو، فالتنبيه يجب أن يظهر داخل التطبيق وليس كرسالة على البريد الإلكتروني، لذا من الجيّد جدًا تحديد الرسالة على أنها خبيثة Spam لتجنّب وصولها إلى صندوق الوارد في المستقبل.

     

  • هكذا تمكنت “عصابة إلكترونية روسية” من استهداف بيانات مالية حساسة

    أعلنت شركة “فاير آي”، عن تمكنها مؤخراً من اكتشاف برمجية خبيثة متطورة للغاية قادرة على تعطيل عمليات فحص أداء النظام التقليدية.

     

    وتستخدم هذه البرمجية الخبيثة من قبل عصابة إلكترونية للوصول إلى بيانات الإجراءات المالية الحساسة.

     

    وقد تمكنت “مانديانت” وهي مجموعة “فاير آي” الأمنية للكشف عن الهجمات الإلكترونية، من التعرف على إحدى عصابات القرصنة الإلكترونية ذات الدوافع المالية والتي تستهدف السطو على بيانات بطاقات الدفع باستخدام البرمجيات الخبيثة المتطورة التي تنشط قبل إقلاع نظام التشغيل.

     

    ويشار إلى أن هذه التقنية، التي قلما تُشاهد، باسم “bootkit”، حيث تعمل على إصابة مكونات النظام الأدنى مستوى من حيث الأهمية، مما يجعل من الصعب جداً اكتشافها. إن مجرد تثبيت البرمجية الخبيثة في موقعها المحدد يعني أنها ستبقى نشطة وفاعلة، حتى بعد مرحلة إعادة تثبيت نظام التشغيل التي تعتبر من منظور شريحة واسعة من عامة الناس على أنها من اكثر الطرق الفاعلة للتخلص من البرمجيات الخبيثة.

     

    وبعد تتبع هذه البرمجية الخبيثة تبين أنها تشغّل عن طريق عصابة إلكترونية تسعى وراء أهداف مالية تعرف باسم “FIN1″، ويقع مقرها في روسيا أو في بلد يتحدث اللغة الروسية، وذلك استناداً إلى إعدادات اللغة المستخدمة في كثير من وسائل الهجوم الشائعة.

     

    وتشتهر هذه العصابة ببراعتها في سرقة البيانات التي يتم الحصول عليها بسهولة من مؤسسات الخدمات المالية مثل البنوك والاتحادات الائتمانية وعمليات أجهزة الصراف الآلي، وشركات إنجاز المعاملات المالية ومزودي الخدمات المالية للشركات.

     

    وتشتمل Nemesis، بحسب “البوابة العربية للاخبار التقنية”، وهي البيئة الإيكولوجية للبرمجية الخبيثة المستخدمة من قبل عصابة “FIN1″، على حزمة شاملة من برامج التسلل من الباب الخلفي backdoors التي تدعم طيفاً متنوعاً من بروتوكولات الشبكة وقنوات الاتصال الخاصة بمنصات التحكم والسيطرة.

     

    وهي تمنح مجموعة من الإمكانات القوية، بما في ذلك نقل الملفات والتقاط صور للشاشة الرئيسية وتسجيل ضربات لوحة المفاتيح والتلاعب في عمليات الإنجاز وجدولة المهام. وتقوم العصابة باستمرار بتحديث البرمجية الخبيثة أثناء الاختراق المتواصل لبيئات الضحية، وذلك عن طريق نشر بدائل مختلفة لنفس الأدوات وإدخال مهام جديدة بين الأنماط المتكررة.

     

    ويشير الاستخدام الانتقائي لبرمجية bootkit الخبيثة، التي تعمل على توفير منصة اختراق دائمة، إلى أنه من الممكن لبعض مجرمي الإنترنت استخدام وسائل قرصنة إلكترونية أكثر تطوراً وتعقيداً.

     

    فقد يقوم مجرمو الإنترنت باستخدام هذه الوسائل الخبيثة المتقدمة على نحو انتقائي في حال كان من الصعب اختراق الشركة الضحية أو في حال كانت البيانات المستهدفة ذات قيمة عالية. ويحرص القراصنة على ضمان توفير بوابة دخول دائم لهم إلى البيئة المخترقة.

     

    يذكر أن من أبرز خصائص برمجيات bootkits الخبيثة صعوبة اكتشافها، حيث أنه من الممكن تثبيتها وتفعيلها بشكل تام تقريبا خارج نطاق نظام التشغيل ويندوز. ونظراً لأن منصة تثبيت هذه البرمجية الخبيثة يتم تشغيلها قبل إقلاع نظام التشغيل ويندوز نفسه بشكل كلي، فهي لا تخضع لاختبارات جودة وأداء نظام التشغيل الاعتيادية.

     

  • انتبه .. “فيروس” بالهاتف يلتقط صورا وهو مغلق

    انتبه .. “فيروس” بالهاتف يلتقط صورا وهو مغلق

    وطن- اكتشفت مؤخرا برمجيات خبيثة تصيب أجهزة “آندرويد” قادرة على إجراء مكالمات وإرسال رسائل نصية إلى هواتف أخرى وأيضا التقاط الصور حتى بعد غلق المستخدمين لهواتفهم الذكية.
    واكتشفت البرنامج الخبيث شركة أبحاث الأمن “AVG” حيث يعمل الفيروس عن طريق السيطرة على الهاتف لحظة إغلاقه، بحيث أنه عندما يضغط المستخدم على زر الإغلاق، يجعل الفيروس الهاتف يبدو وكأنه مغلق. وبينما تعرض الشاشة الرسوم التي تسبق الغلق، وتصبح الشاشة مظلمة تماما، يُبقي البرنامج الخبيث الهاتف في الواقع في وضع التشغيل، ويمكنه ممارسة كافة مهامه بدون علم المستخدم.

    3 أسباب ستُجبرك على تجنب شحن هاتفك الذكي عبر جهاز الكمبيوتر

    وبعد أن يسيطر البرنامج الخبيث على الهاتف تماما، يبدأ في اجراء اتصالات هاتفية، وإرسال رسائل نصية، والتقاط صور وتنفيذ العديد والعديد من المهام الأخرى. وأطلقت شركة “AVG” على هذا الفيروس اسم “PowerOffHijack”، وقالت أنه يصيب الأجهزة التي تعمل بنظام آندرويد ما دون الـ 5.0.

    وكشفت الشركة أن حوالي 10 آلاف جهاز قد أصيبت بهذا الفيروس حتى هذه اللحظة، كانت الاغلبية العظمى منها في الصين، حيث تم اكتشاف الفيروس لأول مرة.

    وينصح خبير شركة “AVG” حاملي هواتف آندرويد بالتأكد من أن الهاتف قد تم إغلاقه فعلا بصورة كاملة، ويجب فصل البطارية ثم إعادتها مرة اخرى.

    في هذه الحالة.. هاتفك النقال قد يقتلك لذا احذر منه جيدا ! “شاهد”

  • سرقة مئات الملايين في عملية سطو تاريخية على بنوك

    سرقة مئات الملايين في عملية سطو تاريخية على بنوك

    وطن- كشفت شركة “كاسبرسكي لاب” عما وصفتها بواحدة من أكبر عمليات السطو على البنوك في التاريخ الحديث، باستخدام البرمجيات الخبيثة، والتي أثرت على نحو 100 بنك ومؤسسة مالية من 30 دولة حول العالم.
    وأوضحت الشركة الأمنية أن قراصنة استخدموا برمجية خبيثة، أطلقت عليها اسم Carbanak cybergang، لاختراق حواسيب البنوك المستهدفة، ومن ثم مراقبة كيفية القيام بعمليات إيداع وتحويل الأموال فيها.
    وقالت “كاسبرسكي لاب” إن “البرمجية الخبيثة صممت لتنقل كل حركة يقوم بها موظفو البنوك المستهدف على الحواسب إلى القراصنة، عبر صور أو فيديوهات، وذلك لتمكينهم من تقليد تلك التحركات بدقة عند سحب الأموال”.

    وأشارت الشركة إلى أن القراصنة قاموا باستغلال المعلومات التي حولتها إليهم البرمجية الخبيثة لتنفيذ عمليات سحب أموال من ماكينات الصراف الألي، أو القيام بتحويلات بنكية إلى حسابات وهمية ومن ثم نقلها إلى حساباتهم.
    وأكدت “كاسبرسكي لاب” أن القراصنة استخدموا طرقا ذكية لتجنب اكتشافهم، ومنها القيام بسحب الأموال بحد أقصى 10 ملايين دولار في كل عملية وذلك لضمان عدم إثارة شكوك البنوك أو العملاء المتضررين.

    تطبيق شهير يسرق بياناتكم الشخصية وحساباتكم البنكية .. احذفوه فوراً

    وقال كريس دوجيت المدير العام لمكتب “كاسبرسكي لاب” في أميركا الشمالية، في تصريح لجريدة نيويورك تايمز التي كشفت عن تقرير شركة الحلول الأمنية الخاص بعملية السطو: “أعتقد أن هذا الهجوم هو الأكثر تطورا حتى الآن من حيث أساليب التنفيذ وطرق التخفي التي استخدمها المجرمون الإلكترونيون للبقاء مدة طويلة دون أن يكتشف أمرهم”.
    وقدرت “كاسبرسكي لاب” مبدئياً حجم الأموال التي نجح القراصنة في السطو عليها بما يزيد عن 300 مليون دولار أميركي، متوقعة أن تكشف المزيد من التحقيقات عن مبلغ أكبر، موضحة أنه قد يصل إلى ثلاثة أضعاف التقدير المبدئي.

    وشددت الشركة على أن المبلغ قابل للزيادة لأنها لم تجد خلال تحقيقها أي مؤشرات تؤكد إنتهاء عمليات هؤلاء القراصنة، مما يرجح أن مؤسسات بنكية ومالية ما زالت مخترقة وعرضة للسطو.
    يذكر أن “كاسبرسكي لاب” أشارت إلى أن أغلب البنوك المتضررة في روسيا، إلا أنها لم تنف تأثر عدة بنوك ومؤسسات مالية أخرى حول العالم خاصة في أوروبا واليابان وأميركا.

    بالفيديو.. شاهد طريقة مبتكرة لسرقة البطاقات المصرفية