Ipt.net
كشفت كريس كوبشكا وهي مستشار أمني سابق لشركة أرامكو ما جرى في أعقاب الهجمة الضخمة التي تعرضت لها شركة أرامكو وجرى فيه مسح الأقراص الصلبة لعشرات الآلاف من الكمبيوترات، وذلك في مؤتمر بلاك هات في لاس فيجاس الاسبوع الماضي بحسب موقع انفورميشن ويك.
نجحت أرامكو في تلافي كارثة كبرى من خلال مبادرة استعادة أنظمتها، بحسب كريس التي قالت للحضور في المؤتمر يوم الخميس الماضي، إن مواصلة العمل واسترداد الأنظمة هو أمر ممكن. وكانت كريس قد استدعيت من قبل أرامكو لتشكيل مركز العمليات الأمنية وكانت مهمتها تأمين كل المكاتب الفرعية للشركة في الشرق الأوسط وأفريقيا وأوروبا.
ووقعت الهجمة في 12 أغسطس 2012 في شهر رمضان، ولاحظ موظفو أرامكو وجود مشكلة يوم 15 أغسطس مع اختفاء الملفات وتعطل الكمبيوترات، وأعلنت جهة تسمي نفسها سيف العدالة البتار Cutting Sword of Justiceمسؤوليتها عن الهجمات
جاء الهجوم الإلكتروني ضد أرامكو من خلال فيروس -واسمه “شمعون”-ليتسبب بإحدى أضخم الهجمات المدمرة التي سبق شنها ضد شركة عبر الإنترنت، حيث قام الفيروس بحذف كل ما تضمه تلك الكمبيوترات التي يبلغ عددها 30 ألفاً دون أن تصل إلى كمبيوترات العمليات بل اقتصرت على كمبيوترات المكاتب. وتقدر قيمة أرامكو السوقية بحوالي 8 تريليونات دولار أي قرابة 14 ضعف قيمة شركة أبل على أساس إنتاجها لحوالي 260 مليار برميل من النفط.
دام الهجوم ساعات قليلة كانت كفيلة بتعطيل قرابة 35 ألف كمبيوتر.
قام موظفو تقنية المعلومات في أرامكو فورا بفصل كل الأنظمة ومراكز البيانات لإيقاف انتشار الفيروس الذي جرى إطلاق اسم شمعون-أو دستراك Distrack -عليه لاحقا.
عزل كل مكتب لأرامكو عن الإنترنت لتنفصل الشركة تماما عن العالم، وأصبح لا يوجد أي وسيلة اتصال لا بريد إلكتروني ولا هاتف ولا إنترنت، فيما لم تتأثر عمليات إنتاج النفط ولا أنظمة الحفر والضخ كونها تعمل بأنظمة مؤتمتة، فيما رجعت باقي العمليات للأسلوب القديم من استخدام الورق لإدارة التوريدات وتتبع الشحنات والعقود والتعاملات الحكومية. عاد موظفو أرامكو لاستخدام الآلة الكاتبة والفاكس واضطر موظفو تقنية المعلومات إيجاد متاجر تبيع أجهزة الفاكس. وترتب على توقف أنظمة تقنية المعلومات تأثر كل أنظمة الدفع، وتقاطرت شاحنات نقل الوقود على مدى أميال انتظار للحصول على دفعات مالية. وكان قرابة 10% من مصادر النفط العالمية التي تؤمنها أرامكو مهددة بالتوقف.
تلمح كريس إلى أنه رغم الوقت والموارد المكرسة للتحقيق بالهجمة لا تزال أمور كثيرة غامضة. فقد بدأ الهجوم ثنائي المحور في شهر رمضان هو أنسب وقت لاستهداف الشركة على أساس أن نصف موظفي تقنية المعلومات والأمن المعلوماتي هم في إجازة خلال شهر رمضان، وتمكن المهاجمون من اختراق أرامكو بسبب قيام موظف واحد في الشركة بالضغط على رابط في رسالة بريد إلكتروني تنتحل هوية مرسل وهو جهة معروفة لمتلقي الرسالة (Spear phishing) دون أن يعلم أن تلك الرسالة هي هجمة إلكتروني، إلا أن المحققين لا يعرفون متى أرسلت تلك الرسالة.
قامت أرامكو بتشكيل أفضل فريق ممكن جمعه لاستعادة عمل أنظمة تقنية المعلومات، وذلك من أعضاء دوليين ومحليين، وكانت كريس كوبشكا تعيش في هولندا قبل استدعائها، ليتولى كل هؤلاء مهام بناء شبكة آمنة وتأسيس مركز عمليات أمن في السعودية. وتم ترسيخ تكامل في عمل فريق أمن المعلومات مع فريق تقنية المعلومات لكي ينجح برنامج الأمن واستعادة عمل أنظمة تقنية المعلومات.
وتقول كريس إن العملية كانت مكلفة جدا كون الشركة قامت ببناء مركز عمليات أمن من الصفر مع توظيف كوادر له. وتلمح إلى أن أي شركة صغيرة تتعرض لهجمة مماثلة فإنها ستفلس عند محاولة استعادة عملياتها.
وتقول كريس إن إمكانيات أرامكو الهائلة ساعدت في جهودها لاستعادة الأنظمة، فمثلا، تدمير الأقراص الصلب استدعى استبدالها بأخرى جديدة، وقامت الشركة فورا باستخدام اسطول طياراتها لنقل موظفيها مباشرة إلى مصانع الأقراص الصلبة في جنوب شرق آسيا لشراء كل الأقراص الصلبة الموجودة، ودفعت الشركة أسعارا أعلى للحصول على 50 ألف قرص صلب، لترفع الأسعار مؤقتا بين سبتمبر 2012 ويناير 2013، وتقول إن أي شخص حول العالم اشترى قرصا صلبا في تلك الفترة اضطر لدفع سعر أعلى بسبب أرامكو!
توضح كريس بالقول إنه كان من الممكن أن يقوم فريق تقنية المعلومات بإعادة استخدام الأقراص الصلبة بدلا من شراء أخرى جديدة لكن استرداد البيانات من تلك الأقراص أو استكشاف ما هو صالح للاستخدام منها، هو أمر يستغرق وقتا طويلا، ومسألة الوقت هي قضية جوهرية في استرجاع عمليات أنظمة التقنية.
واستغرق الامر 5 أشهر، لكن أرامكو عادت لتتصل أنظمتها بالإنترنت ونجحت في التحدي.