كشف فريق من خبراء دوليين في مكافحة الفيروسات الإلكترونية عن وجود عدد من الفيروسات الإلكترونية التجسسية التي اخترقت منذ أعوام النظم الكومبيوترية لدول في منطقة الشرق الأوسط.
وأشار تقرير لشركة «سيمانتيك» الأميركية لمكافحة الفيروسات الإلكترونية نشر مساء أول من أمس أن الفيروس الإلكتروني «فليم» (الشعلة) الذي أصاب النظم الكومبيوترية المصرفية في دول الشرق الأوسط ورصد المعاملات والتحويلات المالية، بدأ في التغلغل فيها منذ 5 أعوام، لحين اكتشافه في مايو (أيار) الماضي على يد باحثي مختبرات «كاسبيرسكي» الروسية لمكافحة الفيروسات الإلكترونية.
ونوهت هاتان الشركتان العملاقتان اللتان وحدتا جهودهما للتدقيق في هذه الفيروسات، بأنه يبدو أن الولايات المتحدة تقف وراء أخطر الفيروسات الإلكترونية التي لم تكن معروفة في السابق بهدف استخدامها في عمليات التجسس أو الحرب الإلكترونية، وهي موجهة للتسلل نحو النظم الكومبيوترية للكثير من دول الشرق الأوسط.
وبعد عثورهم على اثنين من الخوادم الكومبيوترية المخصصة لعمليات «القيادة والتحكم» بهذا الفيروس وتحليلهم لسجلاتهما، اكتشف خبراء «سيمانتيك» سوية مع باحثي «مختبرات كاسبيرسكي» وخبراء «الائتلاف العالمي المتعدد ضد تهديدات الفضاء المعلوماتي» و«فريق استجابات الطوارئ الألماني» (سيرت - باند) أن نحو 1000 نظام كومبيوتري على الأقل قد تعرض لعمليات التغلغل والتسلل منذ مارس (آذار) هذا العام، فيما قامت النظم الكومبيوترية الأخرى بالتخلص من هذه الفيروسات التجسسية وذيولها في مايو الماضي.
وظهر أن الخوادم الكومبيوترية للقيادة والتحكم أتاحت لبرامجها الاتصال بخمسة من «زبائنها» أي خمسة فيروسات تجسسية منها فيروس «فليم» وفقا لتصريح فيركام ثاكور مدير الاستجابات الأمنية في «سيمانتيك»، الذي أضاف في حديث نقله موقع «تك ويك يوروب» التقني الإنترنتي أنه لا يعرف لحد الآن نوع الفيروسات الأربعة الأخرى الشقيقة لفيروس «فليم»، كما لا يعرف الخبراء إن كانت هذه الفيروسات لا تزال تمارس دورها في التجسس الآن أم أن أدوارها قد انتهت.
وبينما لا تسلط هذه التحليلات الأخيرة الضوء على أصل البرامج التجسسية فإنها تلمح إلى كيفية تنفيذ الجهات التي طورتها لها والإشراف على عملياتها. وقال باحثون من الشركتين إن عملية تشغيل فيروس فليم كانت تدار باستخدام برنامج يسمى «أخبارلك» newsforyou الذي أنتجه فريق يضم أربعة من مطوري البرمجيات ابتداء من عام 2006. وقالت: «كاسبيرسكي» في تقريرها إن البرنامج جرى تصميمه ليبدو كأنه برنامج عام لإدارة المحتوى على مواقع الإنترنت، على الأرجح في محاولة لإخفاء الغرض الحقيقي من استضافة مقدمي الخدمات أو المحققين حتى لا تتعرض العملية للخطر. وقال خبراء الفيروسات الإلكترونية إن التعليقات التي عثروا عليها في برامج الخوادم الكومبيوترية تشير إلى أن تطبيقات الويب التجسسية هذه طورت على يد أربعة أشخاص لم تذكر أسماؤهم بل حروف تشير لها، وهي: «دي»، «إتش»، «أو»، «آر». كما أشارت تواريخ المراسلات إلى أن عمليات التجسس انطلقت عام 2006. إلا أن بداية عام 2007 شهدت نشاطا كبيرا، ثم شهدت أعمالا إضافية أنجزت في سبتمبر (أيلول) من نفس العام وفي عام 2011. وقال ثاكور إنه عثر على بعض الأخطاء الإملائية وإن الأشخاص كانوا يتواصلون باللغة الإنجليزية.
ولا تعرف الشركتان سوى القليل جدا عن الفيروسات التي تم الكشف عنها في الآونة الأخيرة باستثناء الفيروس الذي تم نشره حاليا في الشرق الأوسط. كما لا تعرف الشركتان لأي غرض طورت هذه البرامج الخبيثة. ومن المحتمل أن تعزز هذه النتائج وجهة النظر المتنامية بأن الحكومة الأميركية تستخدم تكنولوجيا الإنترنت على نطاق واسع أكثر مما كان يعتقد سابقا لتعزيز مصالحها في الشرق الأوسط. وقد ارتبطت الولايات المتحدة بالفعل بفيروس «ستوكس نت» الذي هاجم برنامج إيران النووي عام 2010 وفيروس «فليم» أيضا.
وكانت صحيفة «واشنطن بوست» قد ذكرت أن إسرائيل متورطة أيضا في تلك التطويرات، فيما قالت مصادر سابقة وحالية في الحكومة الأميركية لوكالة «رويترز» إن الولايات المتحدة كانت وراء فيروس «ستوكس نت»، وقال مسؤولون غربيون حاليون وسابقون في مجال الأمن الوطني إن الولايات المتحدة لعبت دورا في ابتكار الفيروس «فليم».
وتجدر الإشارة إلى أن الخبراء ربطوا بين فيروس ستوكس نت وفيروس «فليم» وأوضحوا أن جزءا من شفرة برامج «فليم» متطابق تقريبا مع الشفرة في فيروس «ستوكس نت».
ويعتقد الباحثون أن التشفير قوي جدا لأن الأشخاص الذين ينسقون الهجوم لا يرغبون في أن يتمكن العاملون الذين يستخدمون برنامج «أخبارلك» من قراءة معلومات قد تكون حساسة. وقالت سيمانتيك في تقريرها «هذا النهج لتحميل حزم البيانات يناسب عمليات الجيش أو المخابرات».