تمهيد
“اووووبس تم تشفير جميع ملفاتك المهمة”…….
اذا اختفت جميع ملفاتكك المهمة او ايميلاتك او ملفات العمل…سينتاب المرء شعورٌ سيء وربما شعورٌ بحاجة للبكاء؟؟؟ Wannacry? هذا ما حدث بالتحديد…لكن ليس فقط على نطاق شخصي بل على نطاق عالمي…هجوم الفدية الاكبر بالتاريخ الذي ضرب 150 دولة حول العالم والذي ادى لخسائر بمليارات الدولارات و توقفت شركات عالمية وقطاعات حيوية عن العمل كنهيار النظام الصحي في دولة كبرى كبريطانيا……انه هجوم الفدية رانسموير الاكبر في التاريخ المسمى وانا كراي…..
شركات عالمية توقفت عن العمل كهوندا نيسان فيدكس تيليفونيكا قطارات المانيا انظمة القاطارات في روسيا . وزارة الداخلية في روسيا مراكز حكومبة في الهند . بنك سانتاندر . كي بي ام جي وجامعات عالمية .. اكبر مصنع للرقائق الالكترونية في تايون TSMC المورد لشركات ابل وسامنسغ.
القائمة تطول والكثير من الشركات لا تفشي معلومات حول اصابتها في حوادث امنية سيبرانية
نعم تعطل القطاع الصحي في منظمة الصحة البريطانية ان اش اس حيث كانت من بين الاكثر تضررا من هجمات واناكراي. قدرت خسائرهم بما يعادل 92 مليون باوند جراء تعطل الاعمال التشغيلية وعملية اصلاح وتطوير الأنظمة. لا يمكن الجزم نهائيا بمدى الضرر الذي لحق بالمنظمة او الاثر المباشر او غير المباشر على صحة المرضى وحياتهم. تم تعطل الانظمة لمدة اربع ايام واصاب اكثر من 50 عيادة ومستشفى تابعة ل NHS و تم الغاء ما يقارب ١٩٠٠٠ موعد للمرضى. اليكم هذا المقطع من مريض تم الغاء عملية القلب المفتوح لديه بسبب ransomeware hack. مقطع المريض الئي الغيت عمليته….
هجوم الفدية رانسموير هو برنامج ضار مصمم لمنع الضحية من الوصول لملفات الكومبيوتر المهمة. يتم ذلك عبر تشفير الملفات وطلب مبلغ فدية مقابل فك تشفير الملفات عبر التزويد بمفتاح فك التشفير
[[Ransomeware]]
سلسة احداث دراماتيكية…بدأت بتطوير وكالة الامن القومي الامريكية NSA لسلاح سيبراني بامكانه اختراق انظمة الويندز, عير خدمة فايل شير SMB. من بعدها تم تسريب هذا السلاح من قبل مجموعة وسطاء الظل [[theshadowbrokers]] في ابريل 2017, بعد ابنزاز لعدة اشهر ثم تتيح مجموعة سطاء الظل هذا السلاح للجميع. يمكنكم الرجعوع للحلقة السابقة من حوادث بعنوان وسطاء الظل TheShadowBrokers للاستزادة حول التسريب , بعد شهر من التسريب وتحديدا في 12 مايو 2017 10:44 AM بتوقيت مكة المكرمة تطلق مجموعة اختراق اخرى تابعة لكوريا الشمالية تدعى لازاروس والمتعارف عليها ايضا باسم كود APT38 تطور سلاح سيبراني سريع الانتشار يطلق عليه اصطلاحا كريبتو وورم الدودة السيبرانية ليصيب خلال 8 ساعات اكثر من 150 دولة و نصف مليون جهاز ويشفر بياناتها بالكامل…..ويضرب هذا الهجوم قطاعات حيوية في العالم وتسبب بخسائر فيما يعادل ٤ مليار دولار. استخدمت لازاروس بشكل اساسي الاكسبلويت المسرب لايتيرنال بلو وسلحته بكربيتو ورم. يسمح الورم بنتشار الفايروس عبر شبكات الكومبيوتر بسرعة كبيرة وبعدها يقوم بتشفير الملفات بحيث لا تصبح متاحة للمستخدم.
كانت اسبانيا اول المتضررين في الساعات الاولى من الهجوم. تحديدا اكبر شركة اتصالات تيليفونيكا, حيث اصدرت الشركة تعميما على موظفيها وبمكبرات الصوت على ضرورة اطفاء اجهزة الكومبيوتر و عدم الدخول لل VPN للحد من انتشار المالوير. 85% من اجهزة الحاسب في تيليفونيكا تم تشفيرها وتم اعادة الموظفين لمنازلهم. المشكلة الاساسية في تيليفونيكا انهم لا يحتفظوا بباك اب لملفات الموظفين. يعتقد بان الهجوم بدا بالدخول عل المؤسسة من خلال البريد الالكتروني عن طريق الفيشينغ
اصاب هذا الهجوم ايضا كبرى البنوك والشركات في اسبانيا. BBVA bank. KPMG ومستشفيات حكومية
نص رسالة واناكراي
جاء نص رسالة القدية وب 28 لغة على النحو التالي
ماذا حصل لكومبيوتري؟
تم تشفير اهم ملفاتك..الوثائق الصور قواعد البيانات ليست متوقرة وتم تشفيرها بالكامل. لا تتغب نفسك لا يمكنك استعادتها الى عن طريقنا وخدمتنا في فك التشفير
هل يمكنني استعادة جميع ملفاتي؟؟
بالطبع. نضمن لك استعادة كامل ملفاتك وبشكل سليم و امن …لكن لم يتبق لك المزيد من الوقت….
لديك 3 ايام ودفع 300 دولار والا سيتضاعف المبلغ. واذا لم يتم الدفع خلال 7 ايام لا يمكنك استعادة ملفات بشكل نهائي.
ملاحظة لدينا عرض خاص للفقراء الئين لايمتلكون مبلغ الفدية
كيف يمكنني الدفع؟؟
فقط يمكنك الدفع عن طريق البتكوين ….الخ
اصل التسمية
اصل التسمية؟ من اطلق هذا الاسم
في الايام الاولى للهجوم كان يتداول اسماء WannaCryptor و ايضا WanaDecrypt0r 2.0. تم تسمية الرانسموير WanaCrypt0r من قبل مطوريين المالوير عند تحميله عل الاجهزة المصابة. وايضا كان قد سمي Wana Decrypt0r 2.0 بسبب ظهور هذا الاسم على شاشة لوك سكرين في اجهزة الضحية. وجاء الاسم الاشهر واناكراي بسبب ان الملفات المشفرة كانت تحتوي على فايل اكستنشن .WNCRY. هذا اكستنشن معتمد من قبل مايكروسفت باستخدام اداة تشفير الفايلات المعتمدة لدها التي استخدمت في هذا الهجوم. يبدو ايضا المهاجمين يتحلون بروح الدعابة فقد اضافو كلمة WANACRY! ستزينغ في بداية الملف المشفر ك فايل ماركر واسم واناكراي ايضا اسهل للتداول من ناحية اعلامية هكذا يجري عادة في تسمية الهجمات.
تحليل المالوير
يمتلك مالوير واناكراي خاصية الانتشار والعودى الذاتية self propagation عن طريق استغلال ثغرة على خدمة فايل شير SMB في نظام ويندوز الثغرة رقم MS17-010 المسمى اتيرنال بلو.
يعمل المالوير على تشفير الملفات واضافة اكستنشين .wcry ومن ثم يطلب فدية بمقدار 300-600 دولار
يستخدم المالوير قنوات اتصال بوحدة الاوامر والتحكم C2 Infra عن طريق الشبكة المشفرة تور TOR
لضمان الاستمرارية Persistant يضيف ريجيتسري مفتاح ويخلق سيرفيس خدمة Microsoft Security Center (2.0) Service. وتم استخدام المدخل التجسسي دبل بولسار المسرب من وسطاء الظل في نقل ادات التشفير لاجهزة الضحية
قبل ان يتم عملية التشفير والانتقال لاجهزة اخرى يقوم باستدعاء دومين نيم يستخدم كمفتاح ايقاف في حال نجح المالويل في التواصل مع هذا الدومين سنرى كيف تم ايقاف انتشار واناكراي من خلال ال kill switch domain
تم استخدام لغة Visual C++ في تطوير واناكراي
اصدر بعض الباحثين عدة ادوات قد تمكن من فك تشفير الملفات المشفرة برانسم واناكراي في بعض الحالات بشرط عدم عمل ريستارت للاجهزة. حيث تقوم هذه الادوات بعمل سكان للذاكرة ميموري و استرجاع المفتاح الخاص private key المستخدم في بروتوكول RSA
الاتهام
المتهم الاول هو كوريا الشمالية ومجموعة لازاروس الكورية لكن ايضا تم تحميل وكالة الامن القومي الامريكية [[NSA]] المسؤولية بشكل غير مباشر بسبب تطوير السلاح السيبراني ايتيرنال بلو الذي تم سرقته وتسريبه حيث كتب المدير التنفيذي بشركة مايكروسفت برانك سميث من خلال تدوينه blog ووجه الاتهام للحكومة الامريكية وشبه التسريب كتسريب صواريخ توم هووك من خطورته. وايضا الرئيس الروسي فلادمير بوتن وخلال زيارته للصين وقتها وجه الاتهام للوكالة الامريكية.
صرح بوتين وقتها
بما يتعلق بالهجمات السيبرانية الاخيرة و المتسبب بهذه التهديدات كما قال التنفيذي في شركة مايكروسفت ان مصدر الاسلحة السيبرانية المستخدمة هم الاستخبارات الامريكية. انها لمن الغرابة ان نسمع شيء مختلف < انها حقا تعكس الواقع باجلى صوره لهذه المشكلة حيث ان الولايات المتحدة وحلفائها ايضا من اكبر المتضررين. لقد طالبنا الجميع في السابق لتشكيل تحالف دولي للتنسيق فيما يتعلق في الامن السيبراني لكن طلبنا قوبل بالرفض.
عملية تحديد المتهم الرئيسي تعتبر عملية تقنية معقدة يشترك بها عدة جهات ومؤسسات حكومية وشركات عالمية ومراكز ابحاث لعمل ما يسمى Cyber attribution. حيث يتم تحليل كود المالوير وكشف اذا ما كان تم استخدام جزء منه في هجمات سيبرانية اخرى وايضا يتم تحليل الايميلات بالاستعانه بموزودين الخدمة وايضا يتم تحليل اسلوب الهجمات التقنيات المستخدمة TTP tactic teqnique procedure وايضا يتم تحليل مركز التحكم بالهجمات C2 Infrastructure. في واناكراي تم تحليل لغة رسالة الفدية والتي كانت مترجمة ل 28 لغة حيث تبين انها كانت بالاصل مكتوبة من شخص متمكن من اللغة الانجليزية لكنها ليست اللغة الام وتم تحديد ان الرسالة كانت مكتوبة بالاساس باللغة الصينية وباستخدام كيبورد لغة صينية.
لازالوز و بارك
مجموعة لازاروس APT38 هي مجموعة اختراق اجرامية مدعومة من حكومة كوريا الشمالية وتعرف ايضا باسم الكوبرا المتخفية، على الرغم من قلة المعلومات المتوافرة عنها الى ان يعزى لهذه المجموعة العديد من الجرائم الالكترونية خلال الفترة ٢٠١٠ و ٢٠٢١ اهمها واناكراي و اختراق شركة سوني و اختراق بنك بانغلادش والهجمات على الشركات المصنعة للقاح كورونا في ٢٠٢٠. بناءا على بعض التقارير تعرف المجموعة في الجيش الكوري باسم مكتب التنسيق ٤١٤. ويقال وحدة الاستطلاع العام reconnoissance general bureau حسب التقارير تضم هذه الوحدة ما يقارب ١٨٠٠ مهندس وهاكر. تصنف هذه الوحدة من النخبة في الجيش الكوري الشمالي ويقوم الجيش بتدريبهم وتجهيزم بالقدر المطلوب. حسب احد المصادر يتم تعليم الهاكينغ في المراحل المدرسية المبكرة من ثم تختار الصفوة للانضمام لوحدة الاختراق في الجيش.
يكون طلب الفدية بالبتكوين وتقوم المجموعة بتحويلها لعملة مشفره اخرى تسمى مونيرو بهذه الطرقة يصعب جدا تتبع حركات العملات المشفرة لما تحتوي العملة مونيرو على وسائل حماية وتخفي
ثلاثة من اعضاء المجموعة من بين الاكثر المطلوبين من قبل FBI وهم جين يوك، جون يوك، و بارك جين يوك [[Park Jin Hyok]]
بسبب الرقابة الشديدة على المجموعة وعلى كوريا الشمالية تعمد المجموعة عادة على تنفيذ هجماتها من خارج كوريا الشمالية وكما يعتقد من الصين او الهند في الغالب.
[[Park Jin Hyok]] احد اعضاء [[Lazarus Group APT 38]] , و المتهم الاول والاكثر شهرة في مجموغة لازاروس. يذكر انه سافر عدة مرات للصين للدراسه والعمل في 2013. عندما عاد الى كوريا فب عام 2014 شنت العديد من الهجمات الاكترونية انطلقت من كوريا وكانت المالوير المكتوبة بلغة C++ وجافا وهي التي تلقى بارك تعليمه فيها خلال فترة وجوده في الصين
بالتحقيق الدقيق وبمساعدة مزودين خدمة الايميلات الوهمية التي كان يستخدمها كجوجل و اي او ايل حيث كان كيم يستخدم ما يقارب من 40 بريد الكتروني في شن هجمات التصيد فيشينج ايميل وايضا استئجار خدمات الكلاود لانشاء محطة التحكم البنية التحتية C2 staging حيث تبين ان بارك قام بعدة اخطاء ترتبط بهويته الفعلية. وذلك بالرجوع لسجلات الايميل المرسلة, صلاحيات الفايل شير على بعض الملفات التي كان يستخدمها المتربطة بهذه الايميلات الوهمية وايميله الحقيقي و ايضا الاسم المستعار الذي كان يستخدمه و ايضا تفاصيل كعنواين ال IPs التي استخدمها في تسجيل الايميل و نوع متصفح الويب
صدرت في حقه مذكرات اعتقال في 8 ديسمبر 2020 و 8 يونيو 2018 من قبل الحكومة الفيدرالية الامريكية بتهم جرائم سيبرانية
نبذة عن بارك https://www.youtube.com/watch?v=GR50MAuAc7Q
ماركوس بطل الصدفة
واناكراي هذا الهجوم الضخم للمفارقة تم ايقافه بالصدفة عن طريق باحث في السايبر متخصص في تحليل المالويرز اسمه ماركوس هتشن [[Marcus Hutchins]]
الرانسموير واناكراي قبل الانتقال للهجوم على جهاز اخر في الشيكة يقوم بطلب اسم دومين اذا وجد ان هذا الدومين مسجل يقوم يالتوقف عن الانتشار وتين ان هذا الاسلوب مصمم مفتاح اغلاق للهجوم السيبراني. لاحظ ماركوس هذا الشي وقام بسجيل اسم الدومين بشكل عفوي وهو لا يعلم ان ذلك سيوقف الهجوم. كلف تسجيل الدوين ما يقارب 10 دولارات لكنه انقذ العالم من خسائر بمليارات الدولارت وعواقب مادية حياتية كبيرة على قطاعات الصحة والنقل و التعليم وغيرها. الاكثر غرابنة في ذلك بوجهة نظري كيف يتم اكتشاف مفتاح الاغلاق من قبل باحث لا يتبع لاي جهة وان حكومات كبيرة لم تقم بالتحليل الكافي في الوقت المناسب للمالوير
العالم بعد واناكراي ليس كقبله حيث ان هذا الهجوم الذي على نطاق واسع غير قواعد اللعبة وما سلط الضوء على مكامن الخلل في التعامل والتصدي للهجمات السيبرانية
الخاتمة
في النهاية اريد ان اشير الى ان كما تبين لاحقا انه قد حصل تدقيق لمنظمة الصحة البرطانية في بداية 2016 قبل واناكراي وقد حذر التقرير من عدم جهوزية المنظمة للتصدي لاي هجوم سيبراني وان على منظمة الصحة التخلص في اسرع وقت ممكن من الانظمة القديمة كنظام ويندز اكس بي. لم ياتي رد المنظمة على التقرير الا في شهر تموز ٢٠١٧ بعد شهرين من حادثة واناكراي. حيث ان منظمة الصحة لم تعطي اولوية للحالة التكنولوجية والامنية السيبرانية في وقتها [[WannaCry Hits NHS]]
ايضا تبين ان هناك كان بطء في الاستجابة للكوارث السيبرانية ولم يكن هنالك اعداد وتدريب كافي على كيفية التعامل مع الهجوم السيبراني. في منظمة الصحة البريطانية لم يكن معروف كيف تكون قنوات الاتصال المطلوبة ومن هو الطرف داخل المؤسسة الذي سيقود عملية الاستجابة للحادثة.
الكثير من الشركات لم تتعلم الدرس ووقعت ضحية لهجمات متحورة من واناكراي كما حدث مع اكبر مصنع للرقائق الالكترونية TSMC في 2018 وتسبب بخسائر بالملاين لشركة ابل.
References
Darknet Diaries: Wannacry https://www.malwarebytes.com/blog/news/2017/05/the-worm-that-spreads-wanacrypt0r https://www.zdnet.com/article/tsmc-says-variant-of-wannacry-virus-brought-down-its-plants/ https://www.bleepingcomputer.com/news/security/wannacry-wana-decryptor-wanacrypt0r-info-and-technical-nose-dive/ https://securelist.com/wannacry-ransomware-used-in-widespread-attacks-all-over-the-world/78351/ https://www.infoworld.com/article/3196629/wannacry-ransomware-slipped-in-through-slow-patching.html https://en.wikipedia.org/wiki/WannaCry_ransomware_attack https://cyberpeaceinstitute.org/news/wannacry-is-not-history/ https://github.com/aguinet/wannakey https://github.com/gentilkiwi/wanakiwi https://www.youtube.com/watch?v=MFNVB4mvpKI https://www.youtube.com/watch?v=JQeNUlpGwPA