فيروس شمعون هو فيروس كمبيوتر معياري تم اكتشافه بواسطة Seculert في 2012 ، مستهدفاً أحدث إصدارات NT kernel 32 من ميكروسوفت ويندوز، وقد لوحظ أن لدى الفيروس سلوك مختلف عن هجمات البرمجيات الخبيثة الأخرى ، بسبب الطبيعة المدمرة له، وعرف لسنوات بعد ذلك بأنه “أكبر اختراق في التاريخ” ، وكان من الواضح أن الفيروس كان مخصصًا للحرب السيبرانية .

ويمكن لشمعون أن ينتشر من جهاز مصاب إلى أجهزة كمبيوتر أخرى على الشبكة، وبمجرد إصابة أحد الفيروسات ، يستمر الفيروس في تجميع قائمة بالملفات من مواقع محددة على النظام ، وتحميلها إلى المهاجم ، ومسحها، وأخيرًا ، يقوم الفيروس بالكتابة فوق سجل التمهيد الرئيسي للكمبيوتر المصاب ، مما يجعله غير قابل للاستخدام، وقد تم استخدام الفيروس للحرب السيبرانية ضد شركات النفط الوطنية في أرامكو السعودية وشركة راس غاز في قطر، وتم الإعلان عن اكتشافه في 16 أغسطس 2012 .

إصابة شمعون للحواسب والخوادم

تضررت المنظمات في المملكة والإمارات العربية المتحدة في أحدث الهجمات التي تنطوي على البرمجيات الخبيثة مرة أخرى، بعد غياب دام عامين ، عاودت البرمجيات الخبيثة المدمرة شمعون (W32.Disttrack.B) الظهور في 10 ديسمبر 2018، في موجة جديدة من الهجمات ضد الشرق الأوسط، هذه الهجمات الأخيرة لشمعون مدمرة على نحو مضاعف ، لأنها تنطوي على ممسحة جديدة (Trojan.Filerase) ، تقوم بحذف الملفات من أجهزة الكمبيوتر المصابة قبل أن تمسح البرمجيات الخبيثة شمعون سجل التمهيد الرئيسي .

ظهرت أخبار الهجمات في 10 ديسمبر 2018، عندما قالت شركة سايبم للخدمات النفطية الإيطالية إنها تعرضت لهجوم سيبراني على خوادمها في الشرق الأوسط، وبعد يومين ، قالت الشركة إن شمعون قد قام بهذا الهجوم ، الذي أثر على ما بين 300 و 400 خادم وما يصل إلى 100 حاسوب شخصي، ووجدت أدلة على هجمات ضد منظمتين أخريين خلال الأسبوع نفسه ، في المملكة والإمارات العربية المتحدة، وكلا المنظمتين أعمالهم خاصة بصناعة النفط والغاز.

وعلى خلاف هجمات شمعون السابقة ، تتضمن هذه الهجمات الأخيرة قطعة ثانية جديدة من البرامج الضارة (Trojan.Filerase) ، وتعمل هذه البرامج الضارة على حذف الملفات والكتابة فوقها على جهاز الكمبيوتر المصاب، وفي هذه الأثناء ، يقوم شمعون نفسه بمحو سجل التمهيد الرئيسي للكمبيوتر ، مما يجعله غير قابل للاستخدام، إضافة ممسحة Filerase تجعل هذه الهجمات أكثر تدميرا من استخدام البرمجيات الخبيثة ”  شمعون ” وحدها، وفي حين أن جهاز الكمبيوتر المصاب بشمعون قد يكون غير قابل للاستخدام ، قد تكون الملفات الموجودة على القرص الصلب قابلة للاسترداد ، ومع ذلك ، إذا تم مسح الملفات أولاً بواسطة البرامج الضارة Filerase ، يصبح الاسترداد مستحيلاً .

كيف ينتشر الفيروس على شبكة الضحية

ينتشر Filerase عبر شبكة الضحية من كمبيوتر أولي واحد، باستخدام قائمة من أجهزة الكمبيوتر البعيدة، هذه القائمة في شكل ملف نصي وهي فريدة من نوعها لكل ضحية ، مما يعني أن المهاجمين قد جمعوا هذه المعلومات خلال مرحلة استطلاعية سابقة للتطفل، ويتم أولاً نسخ هذه القائمة بواسطة مكون يسمى OCLC.exe وتمريرها إلى أداة أخرى تسمى Spreader.exe، ثم يقوم مكون Spreader بنسخ Filerase إلى كافة أجهزة الكمبيوتر المدرجة، وسوف يقوم في وقت واحد بتشغيل البرامج الضارة Filerase على جميع الأجهزة المصابة .

من الممكن أن تكون البرمجيات الخبيثة شمعون نفسها منتشرة عبر هذه الأدوات نفسها ، لكن هذا غير معروف، وفي حالة واحدة على الأقل ، تم تنفيذ شمعون باستخدام PsExec ، وواحدة من ضحايا شمعون الجديدة هي منظمة في المملكة ، والتي تعرضت لهجوم آخر من قبل مجموعة أخرى تسمى (Elfin)  ، وقد أصيبت بفيروس Stonedrill (Trojan.Stonedrill) وكانت هناك هجمات إضافية ضد هذه المنظمة في عام 2018 .

ما الذي يستهدفه فيروس شمعون

تم تنظيم هذا الفيروس من قبل اللصوص الإلكترونيين لمحاربة شركات النفط الوطنية في المملكة وقطر، ويستهدف فيروس شمعون أجهزة الكمبيوتر التي تقوم بتشغيل Windows NT و Windows 9 x و Windows Me، وقد وجد أن فيروس شمعون يمتلك خصائص مشابهة لفيروس اللهب الذي تم اكتشافه أيضًا في عام 2012، وتم تطويره من قبل مجرمي الإنترنت لاستهداف المؤسسات التعليمية والمنظمات الحكومية والأفراد بشكل ملحوظ في الشرق الأوسط مثل إيران، ويعمل فيروس شمعون في مراحل مختلفة، من خلال مهاجم يثبت شمعون على شبكة، ثم تنتقل العدوى إلى الأقراص الصلبة للأنظمة الأخرى المتصلة بالشبكة من خلال تنفيذ تقنية تسمى قطارة .

ويجمع الفيروس قائمة الملفات على كل كمبيوتر مصاب من موقع معين، ثم يتم إرسال معلومات كاملة عن الملف عن طريق وظيفة تسمى “مراسل” إلى الهاكر، وهناك وظيفة أخرى تسمى ممسحة لمسح جميع الملفات المصابة، ثم يقوم الفيروس بمسح سجل التمهيد الرئيسي (MBR) الخاص بالنظام المصاب ، مما يمنع النظام من إعادة التشغيل، وقد نفذت مجموعة من الناشطين هجومًا على محطات العمل في أرامكو السعودية في 30 أغسطس 2012، وكانت عواقب ذلك صعبة ، واستغرق الأمر حوالي أسبوعين لكي تعمل الشركة بشكل طبيعي .