حذر تنبيه أمني صادر عن خمسة من أقوى فرق أمن المعلومات في العالم، من موجة هجمات متوقعة خلال الفترة المقبلة، يستخدم خلالها مجرمو الإنترنت أسلوب «هجمات بلا ملفات»، المعروف بأنه من أكثر الأساليب المستخدمة في الهجمات الإلكترونية تطوراً وصعوبة في الاكتشاف والمواجهة، لكونه يستخدم الذاكرة الإلكترونية لأجهزة الكمبيوتر والهواتف في تنفيذ الهجمات، ما يجعل معظم برامج الحماية وأدوات التأمين والمكافحة «خارج المعركة» من الناحية الفعلية. ظهر هذا التنبيه الأمني في تقرير مطول نشره موقع «تيك ريبابليك» techrepublic.com في سبتمبر الجاري، ونسبه إلى خبراء في خمس من أقوى فرق أمن المعلومات عالمياً، وهي فرق أمن المعلومات في شركات: «مايكروسوفت»، و«تريند مايكرو»، و«كاسبرسكي»، و«ماكافي»، و«سيمانتك».
وأكد خبراء هذه الفرق أن الهجمات التي تتم بهذا الأسلوب ستوجه إلى الأجهزة والشبكات العاملة في قطاعات الأعمال المختلفة، مثل الاتصالات، والبنوك، والخدمات المالية، والتصنيع، وقطاعات المرافق من كهرباء وغاز، وتستهدف سرقة البيانات الحساسة ونشر الفيروسات، وتشفير الملفات بغرض الفدية في آنٍ واحد.
«هجمات بلا ملفات»
يقصد بـ«هجمات بلا ملفات» أي الهجمات التي لا تستخدم فيها على الإطلاق أية «أكواد» أو برمجيات خبيثة أو «أوامر»، موضوعة في صورة ملفات، سواء في الوصول إلى الهدف أو تنفيذ الهجمة ذاتها.
ولتنفيذ هذه الفكرة تتم هذه الهجمات بالكامل من خلال شرائح الذاكرة الإلكترونية للجهاز المستهدف، دون المساس بوحدة التخزين على الإطلاق، أو تنزيل أي ملف عليها، إلا تعليمات نصية بسيطة، يتم ادخالها إلى نظام السجل الرئيس للجهاز «ريجستري»، لتعديل القيم و«الأوامر» الموجودة به، لتتوافق مع الهجمة.
وبهذه الصورة يختلف هذا الأسلوب جذرياً عن مئات الأساليب الأخرى المستخدمة في شن الهجمات، والتي تعتمد بالأساس على نقل وتنزيل ملفات على وحدة التخزين، تكون محتوية على «حمولة» من البرمجيات الخبيثة، سواء كانت فيروسات أو برامج تجسسية، أو برامج تشفير، أو برامج سرقة بيانات، ثم «دس» هذه الملفات في مكان ما بوحدة التخزين، لتفرغ بعد ذلك حمولتها من البرمجيات الخبيثة في أماكن محددة، ثم تقوم هذه الحمولة بتثبيت وتشغيل البرامج على النحو الذي حدده المهاجمون.
صعوبة الاكتشاف
أما مكمن الخطورة والصعوبة في هذه الهجمات، فهو أن الغالبية الساحقة من برامج ونظم المكافحة والحماية، صممت بالأساس لتعمل في مراقبة وفحص واكتشاف، والقضاء على الهجمات والتهديدات الأمنية على أساس قاعدة واحدة، وهي أن هناك ملفات يتم تنزيلها على وحدة التخزين، وتنفذ الهجمة، ومن ثم فإن كل عمليات الفحص والاكتشاف والمكافحة، تتعامل مع وحدة التخزين، ومن هنا فإن أسلوب الهجمات بلا ملفات يجعل كل هذه النظم والبرمجيات المتخصصة في الحماية خارج «أرض المعركة»، والتي هي في هذه الحالة شريحة الذاكرة الإلكترونية، وليس وحدة التخزين، وبالتالي يصعب اكتشاف الهجمة وصدها قبل حدوثها، أو إيقافها والقضاء عليها حال حدوثها.
الاكتشاف والعلاج
وقال جاتا شاريا، أحد المشرفين على فريق أمن المعلومات في «مايكروسوفت» المعني بتطوير نظام الحماية المعروف باسم «مايكروسوفت ديفيندر»، إن الإجراء الأكثر فاعلية في كشف هذه الهجمات هو مراقبة ومسح الذاكرة، وتحديد السلوك الشاذ بها، مع فحص الوحدات التي تم حقنها بالبرامج الضارة الخادعة من ناحية أخرى، من نقطة البداية وحتى إنهاء العملية، وعلى نظام الحماية المكلف بصد الهجمة أن يكون قادراً على رؤية الأشياء التي يتم تحميلها في الذاكرة، سواء أكانت حمولة أو رمز قشرة، ثم وقفه، ثم قتل العمليات المرتبطة به، لإيقاف الهجمة تماماً.
وأكد شاريا أن فريق أمن «مايكروسوفت» حقق تقدماً في هذا السياق، وجعل برنامج الحماية المعروف باسم «إيه إم إس آي» قادراً على رؤية ما يحدث في الذاكرة، ورصد النشاط الشاذ التابع للهجمة وإيقافه في النقطة الصحيحة.
النشأة والتاريخ
ظهرت نوعية «هجمات بلا ملفات» كفكرة منذ سنوات عدة، لكنها لم تنفذ حرفياً إلا منذ فترة قريبة، وبدأت التقارير الأمنية الدورية ترصدها فعلياً منذ عام 2017 ومطلع 2018 فقط، وساعتها كانت تتم بمعدلات قليلة نسبياً، وبصورة بدائية إلى حد ما، لا تسبب أضراراً كاسحة واسعة النطاق.
لكن الخبراء في فرق أمن المعلومات الخمسة، يؤكدون أنه حدث تطور كبير في هذه النوعية من الهجمات، سواء على صعيد الكم، أو نوعية الهجمة ومدى خطورتها، بعدما حقق المهاجمون تقدماً في تكتيكاتهم وخبرتهم في التعامل مع وحدات الذاكرة الإلكترونية.