أعلن باحثون في الأمن الرقمي مؤخراً اكتشافهم لبرمجية خبيثة بالغة التطور، كانت تختبئ في الحواسيب منذ خمس سنوات كاملة دون أن يكشفها أحد، والظروف التي حولها ما تزال غامضة، فالخبراء رأوا أنها متقدمة جداً للدرجة التي جعلتهم يعتقدون أن من يقف وراءها هي حكومة وليس قراصنة عاديين.
برنامج خبيث .. أم شبح؟
هذه البرميجة الخبيثة بدأت العمل في 2011 كما يعتقد الباحثون الأمنيون، ولم يعلن عنها إلا في عامنا هذا 2016، أي بعد خمس سنوات كاملة، نشاطها استهدف شبكات رفيعة المستوى في روسيا والصين والسويد وبلاد أخرى، والباحثون في شركان الأمن الرقمي العالمية الشهيرة “كاسبرسكاي” و “سيمانتيك”، هم الذين قاموا بكشف هذا البرنامج الخبيث في جهد مشترك، وقد قالوا إنهم اكتشفوه في أكثر من 30 موقع مصاب حتى الآن، متضمناً خطوط طيران في الصين، وسفارة في بلجيكا، بالإضافة إلى منظمة مجهولة الهوية في السويد.
أنت أتفه من الاستهداف بالنسبة لسورون .. إنه يعرف ما يريد
وعلى العكس من البرمجيات الخبيثة الشائعة التي تستهدف المستهلك العادي والحواسيب التقليدية، فإن هذا البرنامج الخبيث “سورون” الذي يعرف أيضاً باسم “ريم سيك”، له أهداف أكثر تحديداً، بالرغم من أنه هو أيضاً يعمل على منصات ميكروسوفت ويندوز، فهذا البرنامج الخبيث تم تصميمه لاختراق الشبكات التي تديرها مؤسسات عالية المستوى مثل الحكومات، والمواقع العسكرية، والمراكز البحثية العلمية وشركات تقنية المعلومات، ليقوم بالتجسس عليها، وفتح باب خلفي لأنظمتها، وتسجيل ضربات المفاتيح، أو سرقة المعلومات الشخصية، وكلمات السر.
اسم البرنامج “مشروع سورون” يعود إلى كلمة ” Sauron” الموجودة في كود البرنامج، وهي ترجع لفريق قرصنة كان غير معروف سابقاً يسمى Strider كما قالت شركة “سيمانتيك”، وهو على ما يبدو مغرم بثلاثية “ملك الخواتم” الشهيرة.
كيف ظل مختفياً لكل هذه السنوات؟
أحد الأسباب التي جعلت خبراء الأمن يتأخرون كل هذه الفترة في إيجاد “سورون”، هو بسبب تصميمه الذي يجعله شبه مخفي، حيث إن المهاجمين يستخدمون كوداً متفرداً لكل هدف مختلف، ما يعني أن البرنامج الخبيث لا يشغل صفارات الإنذار التي يبحث عنها العلماء أثناء كشف البرمجيات الخبيثة، ولهذا، فبالرغم من عمله الذي بدأ منذ 2011، فإن شركة “كاسبرسكاي” لم تكتشف عمل القراصنة إلا السنة الماضية، عندما طلب منها أحد عملائها أن تفسر له حركة إنترنت غريبة لديه، وقد قال أحد الباحثين في “كاسبرسكاي” أن المهاجمين يدركون بوضوح أن خبراء الأمن يبحثون عن وجود أنماط معينة منتشرة كي يشكوا في الأمر، ولهذا، أزِل فكرة التنميط وسوف تصبح العملية أصعب في الكشف.
هل افتضح أمره .. أم مجرد قمة جبل جليدي؟
شركة سيمانتيك وصفت هذا البرنامج بأن له عدداً من “ميزات الشبح”، بما فيها قدرته على تخزين محتوياته في محتويات قابلة لفك الضغط، ما يجعل من الصعب على برامج مكافحة الفيروسات التقليدية أن تكشفه، كما إنه قادر على إصابة حواسيب بالعدوى بالرغم من عدم اتصالها معاً بالإنترنت، وذلك عن طريق USB.
كون البرنامج بهذا التعقيد، هو ما جعل فريق “كاسبرسكاي” يشك أنه مدعوم بجهة عالية يعتقد أن تكون حكومة ما، فتطوير “سورون” يتطلب العديد من الفرق المتخصصة وميزانية قد تصل إلى ملايين الدولارات، قائلين “نحن ندرك أن 30 منظمة قد استهدفت حتى الآن، لكننا نعتقد أن هذه قمة جبل الجليد فقط”.