اختراق شركة ارمكو , كيف حدث بالتفصيل ؟

[Osama.Forex]

قبل البدء بالحديث، لايعنيني هنا من خلف هذا الإختراق، كل ما يهمني هو تعرض البنية التحتية التقنية لشركة أرامكو للإختراق ويجب إصلاح الخلل والتأكد من عدم عودته.
تعرضت الشركة السعودية العريقة (أرامكو Aramco) إلى عملية إختراق كبيرة من نوعها أدت إلى تعطل مواقعها على الإنترنت عن العمل، أدت إلى تعطل 30 ألف جهاز كمبيوتر مابين حاسب شخصي وسيرفر تعمل بنظام ويندوز مما عطل عمل بعض أنظمتها.

موقع أرامكو متوقف ويظهر رسالة أنه تم عزل الأنظمة المصابة بالفايروس
تم الإختراق بتاريخ 15 أغسطس، وقد تحدث الأصدقاء عنه مسبقاً في عالم التقنية وقت وقوعه.
سوف أتحدث في البداية عن واقعات الاختراق ثم أتحدث عن التفاصل التقنية للإختراق وكيف حدث وماذا كان يجب على أرامكو للحد من هذة الأضرار التي حدثت.
عندما حدث الإختراق بتاريخ 15 أغسطس، إنتشرت بالإنترنت شائعات أن هناك مصدران للإختراق: داخل أرامكو(موظف) وخارج أرامكو(جهة خارجية) مما إدى إلى تعطل أجهزة أرامكو وسرقة بيانات.
بناء على البيانات المنشورة في الإنترنت عن الإختراق، الضرر كبير جداً. حيث تمت سرقة بيانات من أجهزة أرامكو، تم تعطيل سيرفرات الإيميل، تم تعطيل Active Directory وهو النظام المسئول عن حسابات موظفي أرامكو، تم تعطيل سيرفرات الموقع الرئيسي Aramco.com & SaudiAramco.com، تم تعطيل مواقع أرامكو للدخول من الخارج مثل access.aramco.com.
الإختراق إنقسم إلى نوعين:
النوع الأول: تعطيل مواقع أرامكو الرئيسية Aramco.com و SaudiAramco.com بواسطة هجمات الحجب الموزع DDoS.
النوع الثاني: هجمات فايروس.
لن أتحدث عن النوع الأول من الإختراق، لأنه هاجس عالمي معروف وإلى الآن لم يوجد له حل على مستوى العالم سوا زيادة سعة الإتصال Bandwidth، عانت من شركات مثل Visa, MasterCard, PayPal وغيرهم.
سوف أتحدث فقط عن الهجمات من النوع الثاني، وهي هجمات الفايروس.
قامت شركات الحماية(مكافي، سيمانتك وكاسبرسكاي) بالتحدث عن تفاصيل هذا الإختراق الذي كان بواسطة فايروس إسمه (شمعون\شامون Shamoon)، قام هذا الفايروس بمسح محتويات هذة 30 ألف كمبيوتر(2000 سيرفر والبقية حاسبات شخصية) خاصة بأرامكو.
وبتاريخ 22 أغسطس، تم نشر تهديد بأنه سوف يتم إختراق أنظمة أرامكو من جديد يوم السبت الموافق 25 أغسطس عند الساعة 9:00 ليلاً بتوقيت السعودية و 21:00 بتوقيت غرينتش.
حسناً، لنتكلم تقنياً.
قام فايروس شمعون بالإنتشار بين 30 ألف كمبيوتر موزعة مابين حاسب شخصي و سيرفر، لكن ماذا عمل هذا الفايروس، كيف دخل، كيف يعمل وكيف إنتشر؟
1- كيف دخل فايروس شمعون إلى أرمكو؟
بناء على معلومات تم نشرها بالإنترنت عن واقعة الإختراق، بأنه تم نشر فايروس شمعون عن طريق إختراق بعض أنظمة ويندوز الموجودة إما بداخل أرامكو أو موجودة لدى أحد الجهات المتصلة بها ومن ثم تم زرع الفايروس بداخلها ليتنشر بعدها إلى جميع أنظمة ويندوز الموجودة بالشركة.
2- كيف إنتشر؟
بناء على تقارير شركات الحماية مثل سيمانتك، يقوم فايروس شمعون بعد زراعة نفسه في أحد الأجهزة المصابة بعمل “بحث Scan” على نطاق الأيبيات IP Range التي يتبع لها النظام المصاب. على سبيل المثال إذا كان هناك نظام مصاب عنوان الأي بي الخاص به هو 10.1.1.3 سوف يقوم شمعون بالبحث عن الأنظمة التي تحمل أي بي من نفس النطاق Range، مثل 10.1.1.4, 10.2.1.5, 10.x.x.x.
بعد بحثه عن الأجهزة التي موجودة في نفس نطاق الجهاز المصاب، يقوم شمعون بنقل نفسه إلى مجلدات المشاركة المفتوحة بشكل إفتراضي في ويندوز، مثل: ADMIN$, C$, D$.
3- كيف يعمل شمعون؟
يعمل شمعون بوقت معين إختاره المخترق ليعمل به Timer، في حالة أرامكو تم تفعيل فايروس شمعون عند الساعة 11:08 صباحاً.
عند حلول الوقت، يقوم شمعون بعد زراعة نفسه بشكل وثيق بالنظام بعمل التالي:
- البحث عن جميع الملفات الموجودة في النظام المصاب وإتلافها بإدخال بيانات خاطئة وغير صحيحة Garbage مما يحولها إلى هذة الصورة التالفة:

الصورة التالفة لفايروس شمعون
وهي صورة مقتطعة من هذة الصورة الأصلية:

الصورة الحقيقة لفايروس شمعون
- إرسال معلومات الجهاز وبعض الملفات إلى الجهاز الأساسي الذي أنطلق منه، وهذة المعلومات تحتوي على: عنوان الأي بي، إسم الجهاز، نوع النظام، حزمة التحديثات Service Pack والملفات.
- تدمير Master Boot Record الخاص بالجهاز مما يمنعه كلياً من العودة للعمل بعد إعادة تشغيله. علماً بأن MBR هو المسؤول عن تشغيل النظام Booting بعد ضغطك لزر التشغيل.
ماذا كان يجب على قسمي أمن وتقنية المعلومات في أرامكو فعله للحد من هذة الأضرار؟
1- من مراجعة للبيانات المنشورة في الإنترنت عن تفاصيل الإختراق، أجد نفسي متعجب من السهولة التي إنتقل فيها الفايروس بين أجهزة الحاسب الشخصي الخاصة بالموظفين إلى سيرفرات ارامكو الرئيسية مثل سيرفرات الويب، الإيميل و Active Directory وغيرها.
2- بناء على قائمة أنظمة التشغيل المصابة، أستغرب من عدم وجود معيار ثابت Standard في أرامكو بالنسبة لنسخة نظام التشغيل ومستوى تحديثه. لذلك تجد أنظمة تعمل على ويندوز سيرفر 2003 بحزمة التحديث 2 وأنظمة تعمل بنظام ويندوز سيرفر 2008 بدون أي حزم تحديث، وأنظمة أخرى تعمل على ويندوز سيرفر 2008 بحزمة التحديث 1 أو 2.
3- كيف إنتقل الفايروس من vLan إلى vLan ومن Subnet إلى أخرى بهذة السهولة؟ لماذا لم يتم صده عن طريق الجدار الناري Firewall؟
4- هل يوجد نظام IDS, Intrusion Detection System “نظام كشف الإختراقات” فعال أرامكو؟ وإذا كان موجود لماذا لم يعمل ولماذا لم ينبه مسئولي الشبكة عن النشاط الغير طبيعي بين 30 ألف جهاز كمبيوتر!.
5- هل يوجد تدقيق Auditing على أنظمة أرامكو بشكل دوري؟ كيف يتم نشر فايروس بين 30 ألف كمبيوتر عن طريق خدمة مشاركة الملفات؟ لماذا هي من الأساس مفعلة؟ لماذا لم يطلب فريق التدقيق إغلاق مشاركة الملفات إلا في حالة الحاجة لها وحصر مشاركة الملفات على الأجهزة\الأشخاص الذين يحتاجونها؟!
6- لماذا برنامج مضاد الفايروسات Antivirus لم يكن محدثاً؟ لو كان نظام مضاد الفيروسات محدثاً لما حصل هذا الضرر الهائل.
7- إذا كان هناك أنظمة تم إختراقها في أرامكو وعن طريقها تم نشر الفايروس، لماذا لما تكتشف هذة الأنظمة من اللحظة الأولى؟ أين مراجعة سجلات أحداث Logs الخاصة بالسيرفرات والتي تبين محاولات الإختراق؟!
8- لماذا لم يتم ملاحظة أن هناك نشاط بالشبكة مشبوه؟ لماذا لم يتم ملاحظة أن هناك كمية بيانات متداولة بين الجهاز المصاب الرئيسي والأجهزة 29999 الأخرى؟! أين دور مراكز عمليات الشبكة وعمليات الأمن SOC & NOC؟! لو تمت ملاحظة هذا النشاط لتم الحد من هذا الضرر من البداية!
9- ماهي الجهات المتصلة بشبكة أرامكو لتستخدم أنظمتها؟ هل هي ثقة؟ هل هي آمنة؟!
10- بعض النظر إذا كان التهديد صحيح أو لا، يجب على أرامكو أن تكون على أهبة الإستعداد ويجب توقع الأسواء والإستعداد له.

المصدر

[Osama.Forex]

قبل البدء بالحديث، لايعنيني هنا من خلف هذا الإختراق، كل ما يهمني هو تعرض البنية التحتية التقنية لشركة أرامكو للإختراق ويجب إصلاح الخلل والتأكد من عدم عودته.
تعرضت الشركة السعودية العريقة (أرامكو Aramco) إلى عملية إختراق كبيرة من نوعها أدت إلى تعطل مواقعها على الإنترنت عن العمل، أدت إلى تعطل 30 ألف جهاز كمبيوتر مابين حاسب شخصي وسيرفر تعمل بنظام ويندوز مما عطل عمل بعض أنظمتها.

موقع أرامكو متوقف ويظهر رسالة أنه تم عزل الأنظمة المصابة بالفايروس
تم الإختراق بتاريخ 15 أغسطس، وقد تحدث الأصدقاء عنه مسبقاً في عالم التقنية وقت وقوعه.
سوف أتحدث في البداية عن واقعات الاختراق ثم أتحدث عن التفاصل التقنية للإختراق وكيف حدث وماذا كان يجب على أرامكو للحد من هذة الأضرار التي حدثت.
عندما حدث الإختراق بتاريخ 15 أغسطس، إنتشرت بالإنترنت شائعات أن هناك مصدران للإختراق: داخل أرامكو(موظف) وخارج أرامكو(جهة خارجية) مما إدى إلى تعطل أجهزة أرامكو وسرقة بيانات.
بناء على البيانات المنشورة في الإنترنت عن الإختراق، الضرر كبير جداً. حيث تمت سرقة بيانات من أجهزة أرامكو، تم تعطيل سيرفرات الإيميل، تم تعطيل Active Directory وهو النظام المسئول عن حسابات موظفي أرامكو، تم تعطيل سيرفرات الموقع الرئيسي Aramco.com & SaudiAramco.com، تم تعطيل مواقع أرامكو للدخول من الخارج مثل access.aramco.com.
الإختراق إنقسم إلى نوعين:
النوع الأول: تعطيل مواقع أرامكو الرئيسية Aramco.com و SaudiAramco.com بواسطة هجمات الحجب الموزع DDoS.
النوع الثاني: هجمات فايروس.
لن أتحدث عن النوع الأول من الإختراق، لأنه هاجس عالمي معروف وإلى الآن لم يوجد له حل على مستوى العالم سوا زيادة سعة الإتصال Bandwidth، عانت من شركات مثل Visa, MasterCard, PayPal وغيرهم.
سوف أتحدث فقط عن الهجمات من النوع الثاني، وهي هجمات الفايروس.
قامت شركات الحماية(مكافي، سيمانتك وكاسبرسكاي) بالتحدث عن تفاصيل هذا الإختراق الذي كان بواسطة فايروس إسمه (شمعون\شامون Shamoon)، قام هذا الفايروس بمسح محتويات هذة 30 ألف كمبيوتر(2000 سيرفر والبقية حاسبات شخصية) خاصة بأرامكو.
وبتاريخ 22 أغسطس، تم نشر تهديد بأنه سوف يتم إختراق أنظمة أرامكو من جديد يوم السبت الموافق 25 أغسطس عند الساعة 9:00 ليلاً بتوقيت السعودية و 21:00 بتوقيت غرينتش.
حسناً، لنتكلم تقنياً.
قام فايروس شمعون بالإنتشار بين 30 ألف كمبيوتر موزعة مابين حاسب شخصي و سيرفر، لكن ماذا عمل هذا الفايروس، كيف دخل، كيف يعمل وكيف إنتشر؟
1- كيف دخل فايروس شمعون إلى أرمكو؟
بناء على معلومات تم نشرها بالإنترنت عن واقعة الإختراق، بأنه تم نشر فايروس شمعون عن طريق إختراق بعض أنظمة ويندوز الموجودة إما بداخل أرامكو أو موجودة لدى أحد الجهات المتصلة بها ومن ثم تم زرع الفايروس بداخلها ليتنشر بعدها إلى جميع أنظمة ويندوز الموجودة بالشركة.
2- كيف إنتشر؟
بناء على تقارير شركات الحماية مثل سيمانتك، يقوم فايروس شمعون بعد زراعة نفسه في أحد الأجهزة المصابة بعمل “بحث Scan” على نطاق الأيبيات IP Range التي يتبع لها النظام المصاب. على سبيل المثال إذا كان هناك نظام مصاب عنوان الأي بي الخاص به هو 10.1.1.3 سوف يقوم شمعون بالبحث عن الأنظمة التي تحمل أي بي من نفس النطاق Range، مثل 10.1.1.4, 10.2.1.5, 10.x.x.x.
بعد بحثه عن الأجهزة التي موجودة في نفس نطاق الجهاز المصاب، يقوم شمعون بنقل نفسه إلى مجلدات المشاركة المفتوحة بشكل إفتراضي في ويندوز، مثل: ADMIN$, C$, D$.
3- كيف يعمل شمعون؟
يعمل شمعون بوقت معين إختاره المخترق ليعمل به Timer، في حالة أرامكو تم تفعيل فايروس شمعون عند الساعة 11:08 صباحاً.
عند حلول الوقت، يقوم شمعون بعد زراعة نفسه بشكل وثيق بالنظام بعمل التالي:
- البحث عن جميع الملفات الموجودة في النظام المصاب وإتلافها بإدخال بيانات خاطئة وغير صحيحة Garbage مما يحولها إلى هذة الصورة التالفة:

الصورة التالفة لفايروس شمعون
وهي صورة مقتطعة من هذة الصورة الأصلية:

الصورة الحقيقة لفايروس شمعون
- إرسال معلومات الجهاز وبعض الملفات إلى الجهاز الأساسي الذي أنطلق منه، وهذة المعلومات تحتوي على: عنوان الأي بي، إسم الجهاز، نوع النظام، حزمة التحديثات Service Pack والملفات.
- تدمير Master Boot Record الخاص بالجهاز مما يمنعه كلياً من العودة للعمل بعد إعادة تشغيله. علماً بأن MBR هو المسؤول عن تشغيل النظام Booting بعد ضغطك لزر التشغيل.
ماذا كان يجب على قسمي أمن وتقنية المعلومات في أرامكو فعله للحد من هذة الأضرار؟
1- من مراجعة للبيانات المنشورة في الإنترنت عن تفاصيل الإختراق، أجد نفسي متعجب من السهولة التي إنتقل فيها الفايروس بين أجهزة الحاسب الشخصي الخاصة بالموظفين إلى سيرفرات ارامكو الرئيسية مثل سيرفرات الويب، الإيميل و Active Directory وغيرها.
2- بناء على قائمة أنظمة التشغيل المصابة، أستغرب من عدم وجود معيار ثابت Standard في أرامكو بالنسبة لنسخة نظام التشغيل ومستوى تحديثه. لذلك تجد أنظمة تعمل على ويندوز سيرفر 2003 بحزمة التحديث 2 وأنظمة تعمل بنظام ويندوز سيرفر 2008 بدون أي حزم تحديث، وأنظمة أخرى تعمل على ويندوز سيرفر 2008 بحزمة التحديث 1 أو 2.
3- كيف إنتقل الفايروس من vLan إلى vLan ومن Subnet إلى أخرى بهذة السهولة؟ لماذا لم يتم صده عن طريق الجدار الناري Firewall؟
4- هل يوجد نظام IDS, Intrusion Detection System “نظام كشف الإختراقات” فعال أرامكو؟ وإذا كان موجود لماذا لم يعمل ولماذا لم ينبه مسئولي الشبكة عن النشاط الغير طبيعي بين 30 ألف جهاز كمبيوتر!.
5- هل يوجد تدقيق Auditing على أنظمة أرامكو بشكل دوري؟ كيف يتم نشر فايروس بين 30 ألف كمبيوتر عن طريق خدمة مشاركة الملفات؟ لماذا هي من الأساس مفعلة؟ لماذا لم يطلب فريق التدقيق إغلاق مشاركة الملفات إلا في حالة الحاجة لها وحصر مشاركة الملفات على الأجهزة\الأشخاص الذين يحتاجونها؟!
6- لماذا برنامج مضاد الفايروسات Antivirus لم يكن محدثاً؟ لو كان نظام مضاد الفيروسات محدثاً لما حصل هذا الضرر الهائل.
7- إذا كان هناك أنظمة تم إختراقها في أرامكو وعن طريقها تم نشر الفايروس، لماذا لما تكتشف هذة الأنظمة من اللحظة الأولى؟ أين مراجعة سجلات أحداث Logs الخاصة بالسيرفرات والتي تبين محاولات الإختراق؟!
8- لماذا لم يتم ملاحظة أن هناك نشاط بالشبكة مشبوه؟ لماذا لم يتم ملاحظة أن هناك كمية بيانات متداولة بين الجهاز المصاب الرئيسي والأجهزة 29999 الأخرى؟! أين دور مراكز عمليات الشبكة وعمليات الأمن SOC & NOC؟! لو تمت ملاحظة هذا النشاط لتم الحد من هذا الضرر من البداية!
9- ماهي الجهات المتصلة بشبكة أرامكو لتستخدم أنظمتها؟ هل هي ثقة؟ هل هي آمنة؟!
10- بعض النظر إذا كان التهديد صحيح أو لا، يجب على أرامكو أن تكون على أهبة الإستعداد ويجب توقع الأسواء والإستعداد له.

المصدر