رفعت مؤسسة البترول الكويتية وشركاتها التابعة، درجة الطوارئ لحماية أنظمتها وأجهزتها الإلكترونية، بعدما هاجم فيروس شركتي أرامكو السعودية وراس غاز القطرية.
وبعدما تسرّب خبر الهجوم الإلكتروني على شركات خليجية، قامت شركات نفطية محلية بتجارب وهمية ناجحة لصد أي عملية اختراق، مع تحديث لبعض أنظمة الحماية، وفقا لصحيفة القبس الكويتية.
وكان فايروس أُطلق عليها اسم "شامون" ألحق أضرارا بمعلومات وأجهزة سعودية وقطرية، وأزال ملفات ومحا أخرى. وهو يتمتع بقوة تدميرية قل نظيرها، بحسب خبراء أمن المعلومات العالميين.
واختلفت الآراء حول هوية مصدر الفيروس، لمعرفة ما إذا كان من إيران أو إسرائيل أو دولة أخرى.
تعرّضت أنظمة الحاسب الآلي لشركة راس غاز القطرية لهجوم إلكتروني، بعد أيام قليلة من تعرّض شركة البترول السعودية العملاقة «أرامكو» لهجوم مماثل. وجاءت الهجمات بعد أن حذر خبراء من احتمال استهداف قراصنة لقطاع الطاقة والبترول في المنطقة عموما.
ورفعت مؤسسة البترول وشركاتها التابعة درجة طوارئ حماية المعلومات لصد أي هجوم.
وأجبر الهجوم الإلكتروني الشركة، التي تتخذ قطر مقرا لها، إلى إغلاق موقعها على شبكة الإنترنت ونظام الرسائل الإلكترونية.
وقالت الشركة: التي تعد من أكبر منتجي الغاز السائل، إن الإنتاج لم يتأثر بالهجوم، حيث لجأت إلى إغلاق خدماتها الإلكترونية منذ بداية الأسبوع حتى يتم التعامل مع الفيروس.
وجاءت هذه التقارير بعد أيام فقط من كشف شركة أرامكو للبترول عن تمكنها من السيطرة على الهجوم الإلكتروني الذي تعرّضت له نحو 30 ألفا من أجهزة الحاسب الآلي بها.
وكان الخبراء حذروا في وقت سابق من فيروسي شامون وديستراك، المصممَين لاستهداف شركات الطاقة والبترول.
وذكر باحثون أمنيون أنهم يحققون في فيروس جديد يقوم بسرقة المعلومات من أجهزة الكمبيوتر المصابة، إضافةً إلى امتلاكه قوة تدميرية عالية تجعله قادراً على حذف جميع المعلومات المخزنة عن طريق الكتابة فوق سجل الإقلاع الرئيسي لأجهزة الكمبيوتر. ويعتقد الباحثون بأن الفيروس يُستخدم في هجمات موجهة ضد شركات معينة.
مسح المعلومات نهائياً
وبدأت التقارير بالظهور منذ أيام حول الفيروس الذي أُطلق عليه اسم «شامون» Shamoon، وهو قادر على سرقة المعلومات من مجلد المستخدمين Users ومجلد المستندات والإعدادات Documents and Settings، وكل من مجلدي النظام System32/Drivers وSystem32/Config وذلك في الأجهزة التي تعمل بنظام ويندوز.
وأفاد مصدر في شركة سيمانتيك ومقرها بدبي، أن «شامون» الذي عُرف أيضاً باسم آخر وهو «ديستراك» Disttrack قد استُخدم في هجمات موجّهة ضد شركة واحدة على الأقل تعمل في قطاع الطاقة.
وقالت الشركة إن هذه التهديدات الأمنية ذات القدرة التدميرية العالية غير معتادة، ولا تُستخدم عادةً في الهجمات الموجّهة. والشركة ما زالت في طور تحليل الفيروس وستقوم بنشر المزيد من المعلومات حال توافرها.
ويتألف الفيروس من مجلد بحجم 900 كيلوبايت، ويحتوي على عدد من «المصادر المشفّرة»، بحسب مصادر في شركة كاسبرسكي التي سارعت بدورها إلى تحليل الفيروس.
ويؤثر شامون على نسخ «ويندوز 95» و«ويندوز 98» و«ويندوز إكس بي» و«ويندوز 2000» و«ويندوز فيستا» و«ويندوز إن تي» و«ويندوز إم إي» و«ويندوز 7» و«ويندوز سيرفر 2003» و«ويندوز سيرفر 2008». وقالت شركة سيمانتيك إنها قامت بتحديث مضاد الفيروسات الخاص بها للحماية ضد الفيروس المكتشف. وبالتالي على الشركات النفطية الكويتية أن تحذر من هجمات هذا الفيروس إذا كانت تستخدم برامج التشغيل السابق ذكرها.
وقالت الشركة المذكورة إن شامون يقوم بمرحلتين من الهجوم. أولاً، يقوم بإصابة جهاز كمبيوتر متصل بالإنترنت، ومن ثم تحويله إلى وكيل للاتصال من خلاله بالمخدم المسؤول عن الإدارة والتحكم بالفيروس. بعد ذلك، يقوم بالانتشار إلى أجهزة كمبيوتر أخرى على شبكة الشركة المُراد مهاجمتها، ثم القيام بسرقة المعلومات، ومن ثم تنفيذ أوامر حذف جميع البيانات المخزنة على الأجهزة. ووفقا للمصادر، فإن الجهة التي تقف وراء هذه الهجمة ما زالت مجهولة.
وعلى غير العادة، لا يقوم هذان الفيروسان بسرقة البيانات بل بمسحها نهائيا و«بلارجعة» وتنتقل بين الاجهزة التي ترتبط بشبكات داخلية بحسب الخبراء.
وكانت شركة أرامكو السعودية، أكبر شركة نفطية بالعالم، قد قالت ان فيروسا عطل أنظمة الحاسوب لديها، مما أجبرها على عزل أنظمتها الإلكترونية ومنع الدخول إليها كإجراء احترازي، وأضافت الشركة في بيان لها ان الفيروس لم يخترق مكونات رئيسية للشبكة وبالتالي فلا تأثير على عمليات الإنتاج بفضل قوة أنظمة الحماية المتطورة. وأشارت أرامكو إلى أن شبكتها الإلكترونية ستعود للعمل بصورة طبيعية قريبا.
ويرجح أن مصدر الفايروس هو ذاته الذي هاجم البرنامج النووي الايراني في عام 2010 تحت مسمى «ستكسنت»، والذي أصاب أيضا 6 منظمات ايرانية في حينها، وقد رجح خبراء أنظمة الأمان الإيرانية في حينها أن إسرائيل وأميركا هما المتورطتان في هذا الفيروس.
وكانت بلومبيرغ قد ذكرت ان منشآت نفطية ونووية إيرانية قد تعرضت لهجمات إلكترونية متوالية، وقد اكتشفت شركة كاسبيرسكاي لاب المتخصصة بالأمن الإلكتروني ومقرها في موسكو فيروسا أوائل الشهر الجاري يسمى فلام، وهو موجه لسرقة معلومات حساسة في منطقة الشرق الأوسط وقد استهدف إيران، وفي الأسبوع الماضي قالت الشركة نفسها إنها حددت فيروسا آخر يحمل اسم غاوس يهاجم البنوك اللبنانية.