بقلم "عامر عويضة"
الكاتب في أمن المعلومات لدى شركة "إسيت" ESET
منذ اكتشاف الهجوم قبل ستة أشهر تقريبًا، كانت الثغرات المستغلة من قبل BlueKeep تقلق مجتمع الأمن السيبراني الذي يهتم بنوعية هجمات WannaCryptor المستقبلية. في وقت سابق من شهر نوفمبر، قامت "مايكروسوفت" بالتعاون مع باحثين في مجال الأمن السيبراني، "كيفين بومونت" و"ماركوس هتشينز"، بإلقاء الضوء على الحملة الخبيثة الأولى التي تهدف إلى استغلال عيب تنفيذ التعليمات البرمجية عن بُعد (RCE). واستهدفت الهجمات أنظمة ويندوز الضعيفة لتثبيت برنامج التعدين cryptocurrency، لكنها كانت بعيدة كل البعد عن الأضرار التي سببها WannaCryptor, aka WannaCry في مايو من العام 2017
وتم تعقب BlueKeep بمرجع CVE-2019-0708، وتم العثور عليه في أحد مكونات ويندوز المعروفة باسم Remote Desktop Services. وثبت تأثيره على الأجهزة التي تستخدم إصدارات لم يتم تصحيحها من "ويندوز إكس بي"، " ويندوز سيرفر 2003"، "ويندوز فيستا"، " ويندوز سيرفر 2008"، "ويندوز7" و" ويندوز سيرفر 2008 اَر2". ولا يزال هناك عدد كبير من الأنظمة التي لم يتم تصحيحها و معالجتها، على الرغم من أن "مايكروسوفت" قامت بتطبيق التصحيح في 14 مايو.
الحالات الأولى من هجوم حملة تعدين تعود إلى 23 أكتوبر. وبناءً على تحقيقات قام بها فريق من الباحثين من "مايكروسوفت"، وجدوا أن هناك حملة سابقة حدثت في سبتمبر استخدمت غرسًا رئيسيًا اتصل بخوادم التحكم و القيادة (C&C)وهي نفس نوعية الهجوم الذي تم في أكتوبر. وتأثرت الأجهزة في عدد من البلدان من الهجوم، منها فرنسا وروسيا وإيطاليا وإسبانيا وأوكرانيا وألمانيا والمملكة المتحدة.
استغل المهاجمون BlueKeep الذي تم إصداره بواسطة فريق Metasploit في سبتمبر. وقاموا بإكتساح الإنترنت بحثًا عن الاجهزة التي لديها خدمات "بروتوكول سطح المكتب عن بُعد" (RDP) ضعيفة، ثم قاموا بنشر وتثبيت برنامج إستغلال التعدين cryptocurrency .
يعد هذا الاستغلال غير مستقر، كما يمكن رؤيته من خلال أعطال RDP المسجلة والتي تم الإبلاغ عنها بواسطة إشارات الأمان من "مايكروسوفت". وكان الحادث أيضًا سبب اكتشاف الهجمات في أكتوبر من قِبل الباحث الأمني "كيفن بومونت" بعد أن أبلغ أن نظام "صائد مخترقي الشبكات" (honeypots) كانت تتحطم
وعلى الرغم من أن الهجوم قد يبدو مخيب للاَمال بالنظر إلى التغطية الإعلامية التي تلقاها BlueKeep حول مشكلة عدم الحصانة، إلا أن الأسوأ قد لا يزال في المتجر. مشكلة عدم الحصانة "wormable" تعني عمليات استغلال مستقبلية قد تستخدمها لنشر البرامج الضارة داخل أو خارج الشبكات بطرق مشابهة لما شوهد مع WannaCryptor .
ولا ينبغي التقليل من خطورة الموقف، حيث أصدرت "مايكروسوفت" ثلاثة تنبيهات منذ شهر مايو وحثت مستخدميها على تصحيح الأجهزة المستضعفة وتحديثها. وفي وقت سابق من هذا العام، أصدرت وكالة الأمن القومي الأمريكية (NSA) ووكالة الأمن السيبراني والبنية التحتية (CISA) تحذيرات نادرة من جانبهما. وفي الآونة الأخيرة، ردد مركز الأمن السيبراني الأسترالي التابع لمديرية الإشارات التحذيرات وحث على اليقظة من مخاطر الهجمات.