تاريخ البرامج الضارة: كتاب تمهيدي عن تطور التهديدات السيبرانية

البرامج الضارة، يُقصد بها أي برنامج أو شفرة أو تطبيق حاسوبي تم تصميمه عمدًا لإلحاق الضرر بنظام الكمبيوتر أو مستخدميه. ومعظم الهجمات الإلكترونية التي تحدث في الوقت الحالي تقريبًا تنطوي على نوع من البرامج الضارة. يمكن أن تتراوح هذه البرامج الضارة في شدتها من برامج مدمرة للغاية ومكلفة (مثل برامج الفدية) إلى برامج مزعجة فقط، ولكنها غير ضارة (مثل برامج الإعلانات).

كل سنة، هناك مليارات من هجمات البرامج الضارة على الشركات والأفراد. يمكن أن تصيب البرامج الضارة أي نوع من الأجهزة أو أنظمة التشغيل، بما في ذلك Windows وMac وiPhone وAndroid.

يطور المجرمون الإلكترونيون البرامج الضارة ويستخدمونها لأغراض منها:

• احتجاز الأجهزة أو البيانات أو الشبكات المؤسسية كرهائن مقابل مبالغ كبيرة من المال
• الحصول على وصول غير مصرح به إلى بيانات حساسة أو أصول رقمية
• سرقة بيانات تسجيل الدخول، وأرقام بطاقات الائتمان، وحقوق الملكية الفكرية، ومعلومات التعريف الشخصية (PII) أو معلومات أخرى ذات قيمة
• تعطيل الأنظمة الحيوية التي تعتمد عليها الشركات والوكالات الحكومية

على الرغم من أنه قد يتم الخلط بين المصطلحات، ليست كل أنواع البرامج الضارة فيروسات بالضرورة. البرامج الضارة هي مصطلح شامل يصف العديد من أنواع التهديدات مثل:

الفيروسات: يُعرف فيروس الكمبيوتر بأنه برنامج ضار لا يمكنه التكرار دون تفاعل بشري، سواء من خلال النقر على رابط، أو تنزيل مرفق، أو تشغيل تطبيق معين، أو القيام بعدة إجراءات أخرى.

الديدان: تُعتبر الديدان فيروسات ذاتية التكاثر، ولا تتطلب تفاعلاً بشريًا للانتشار، بل تتغلغل في أعماق أنظمة الكمبيوتر المختلفة وتنتقل بين الأجهزة.

شبكات الروبوت: هي مجموعة من أجهزة الكمبيوتر التي تم اختراقها والتي يتولى مهاجم واحد "راعي الروبوتات" إدارتها والتي تعمل بشكل متزامن.

برامج الفدية: تُعَد هجمات برامج الفدية واحدة من أخطر أنواع البرامج الضارة؛ وذلك لأنها تسيطر على أنظمة الكمبيوتر الحيوية أو البيانات الحساسة، ما يمنع المستخدمين من الوصول إليها وتطلب فدية باهظة بالعملات الرقمية مثل البيتكوين مقابل استعادة الوصول. لا تزال برامج الفدية واحدة من أخطر أنواع التهديدات الإلكترونية في وقتنا الحالي. 

برامج الفدية متعددة الابتزاز: في حين أن هجمات الفدية تُشكل تهديدًا خطيرًا، فإن برامج الفدية متعددة الابتزاز تضيف مستويات إضافية لإحداث مزيد من الضرر أو زيادة الضغط على الضحايا للاستجابة لمطالب المهاجمين. في هجمات الفدية ذات الابتزاز المزدوج، تُستخدم البرمجيات الخبيثة لتشفير بيانات الضحية وسرقة الملفات الحساسة، مثل معلومات العملاء؛ لأن المهاجمين يهددون بكشفها علنًا. وتتجاوز هجمات الابتزاز الثلاثي ذلك، حيث تتضمن تهديدات لتعطيل الأنظمة الحيوية أو توسيع الهجوم المدمر ليشمل عملاء الضحية أو جهات الاتصال. 

فيروسات الماكرو: وحدات الماكرو هي سلسلة أوامر عادةً ما تكون مدمجة في تطبيقات أكبر لأتمتة المهام البسيطة بسرعة. تستفيد فيروسات الماكرو من وحدات الماكرو البرمجية عن طريق تضمين البرامج الضارة في ملفات التطبيق التي سيتم تنفيذها عندما يفتح المستخدم البرنامج المعني.

أحصنة طروادة: سُميت بهذا الاسم نسبة إلى حصان طروادة الشهير، حيث تتظاهر بأنها برامج مفيدة أو تختبئ داخل برامج موثوق بها لخداع المستخدمين لتثبيتها.

برامج التجسس: تُعَد هذه البرامج شائعة في مجال التجسس الرقمي، حيث تتسلل إلى نظام مصاب لتجمع معلومات حساسة بشكل سري ثم تُرسلها إلى المهاجم.

برامج الإعلانات: تُعتبر برامج الإعلانات المتسللة غير ضارة في الغالب، وعادةً ما يتم العثور عليها مدمجة مع البرامج المجانية وتزعج المستخدمين بالنوافذ المنبثقة غير المرغوب فيها أو الإعلانات الأخرى. ومع ذلك، قد تقوم بعض برامج الإعلانات المتسللة بجمع البيانات الشخصية أو إعادة توجيه متصفحات الويب إلى مواقع الويب الضارة.

أدوات التأصيل: نوع من حزم البرامج الضارة التي تسمح للمخترقين بالحصول على امتيازات على مستوى المسؤول للوصول إلى نظام تشغيل الكمبيوتر أو الأصول الأخرى. 

نظرًا لما تتسم به البرامج الضارة من التعقيد والتنوع، سيكون من الصعب تلخيص تاريخها بشكل مختصر. وبدلاً من ذلك، إليك نظرة على بعض اللحظات الشهيرة في تطور البرامج الضارة.

بينما كان يتم بناء أولى أجهزة الكمبيوتر الحديثة، كان عالم الرياضيات الرائد والمساهم في مشروع مانهاتن، John von Neumann، يطور مفهوم برنامج يمكنه التكاثر والانتشار عبر النظام. نُشر عمله بعد وفاته في عام 1966، تحت عنوان Theory of Self-Reproducing Automata ، وأصبح بمثابة الأساس النظري لفيروسات الكمبيوتر.

بعد خمس سنوات فقط من نشر العمل النظري لـ John von Neumann، قام مبرمج يدعى Bob Thomas بإنشاء برنامج تجريبي يسمى Creeper، والذي تم تصميمه للتنقل بين أجهزة كمبيوتر مختلفة على شبكة ARPANET ، وهي الشبكة السابقة للإنترنت الحديث. ثم قام زميله Ray Tomlinson، الذي يُعَد مخترع البريد الإلكتروني، بتعديل برنامج "Creeper" ليس فقط للتنقل بين أجهزة الكمبيوتر، ولكن أيضًا لنسخ نفسه من واحد إلى آخر. وهكذا نشأت أول دودة كمبيوتر.

على الرغم من أن "كريبر" هو أول مثال معروف لدودة الكمبيوتر، إلا أنه في الواقع ليس برنامجًا ضارًا. كان "كريبر" مجرد إثبات لفكرة ولم يُصمم بنية خبيثة، ولم يُحدث أي أضرار أو تعطيل للأنظمة التي أصابها، بل اكتفى بعرض رسالة مرحة: "I’M THE CREEPER : CATCH ME IF YOU CAN." وفي العام التالي، أنشأ توملينسون برنامج Reaper، أول برنامج مضاد للفيروسات مصمم لحذف "كريبر" عبر التنقل في شبكة ARPANET.

تم تطوير برنامج Elk Cloner بواسطة ريتش سكرانتا عندما كان يبلغ من العمر 15 عامًا فقط، وكان الهدف من البرنامج مجرد مزحة عملية. كعضو في نادي الكمبيوتر في مدرسته الثانوية، كان معروفًا بين أصدقائه بتعديل الألعاب والبرامج الأخرى المشتركة بين أعضاء النادي، إلى درجة أن العديد من الأعضاء كانوا يرفضون أخذ أي وسائط تخزين من صاحب المقالب المعروف.

في محاولة لتعديل برمجيات الأقراص التي لم يستطع الوصول إليها مباشرةً، اخترع سكرانتا أول فيروس معروف لأجهزة كمبيوتر آبل. الفيروس المعروف الآن بفيروس قطاع الإقلاع، Elk Cloner، انتشر عبر إصابة نظام التشغيل Apple DOS 3.3، وعند نقله من قرص مرن مصاب، كان يقوم بنسخ نفسه إلى ذاكرة الكمبيوتر. عندما تم إدخال قرص غير مصاب لاحقًا في الكمبيوتر، كان Elk Cloner ينسخ نفسه إلى ذلك القرص، وينتشر بسرعة بين معظم أصدقاء سكرانتا على الرغم من أن Elk Cloner كان يهدف إلى التسبب في الأذى، إلا أنه كان من الممكن أن يتسبب في الكتابة فوق بعض الأقراص المرنة وحذف بياناتها دون قصد. كما تضمن رسالة شعرية نصها:

ELK CLONER:

THE PROGRAM WITH A PERSONALITY

IT WILL GET ON ALL YOUR DISKS

IT WILL INFILTRATE YOUR CHIPS

YES IT’S CLONER!

IT WILL STICK TO YOU LIKE GLUE

IT WILL MODIFY RAM TOO

SEND IN THE CLONER!

بينما كان بإمكان دودة "كريبر" التنقل عبر أجهزة الكمبيوتر على شبكة ARPANET، قبل الانتشار الواسع للإنترنت، كانت معظم البرامج الضارة تنتقل عبر الأقراص المرنة مثل فيروس "إل كلونر". ومع ذلك، بينما كانت آثار فيروس إل كلونر مقتصرة على نادي كمبيوتر صغير واحد، انتشر فيروس "براين" على مستوى العالم.

تم إنشاء فيروس "براين" من قبل موزعي البرامج الطبية الباكستانيين، الأخوين أمجد وباسط فاروق ألفي، ويُعتبر هذا الفيروس أول فيروس للكمبيوتر الشخصي من نوع IBM، وقد تم تطويره في البداية لمنع انتهاك حقوق الطبع والنشر. كان الهدف من الفيروس هو منع المستخدمين من استخدام الإصدارات المنسوخة من برامجهم. عند التثبيت، يعرض "براين" رسالة تحث القراصنة على الاتصال بالأخوين لتلقي التطعيم. لم يدرك الأخوان ألفي مدى انتشار مشكلة القرصنة، وبدأوا يتلقون اتصالات من الولايات المتحدة، تلاها الكثير من المكالمات من دول متعددة.

تُعَد دودة موريس واحدة من البرامج الضارة التي تم إنشاؤها بهدف إثبات فكرة معينة، وليس بدافع خبيث. ومع الأسف، كانت الدودة التي أنشأها روبرت موريس، طالب معهد ماساتشوستس للتكنولوجيا، أكثر فاعلية مما توقعه في البداية. في ذلك الوقت، كان حوالي 60 ألف جهاز كمبيوتر فقط قادرًا على الوصول إلى الإنترنت، معظمها في الجامعات وداخل الجيش. صُممت الدودة لاستغلال ثغرة في أنظمة Unix والبقاء مخفية. ثم انتشرت بسرعة، حيث نسخت نفسها مرارًا وتكرارًا، ما أدى إلى إصابة 10% من جميع أجهزة الكمبيوتر المتصلة بالشبكة.

ونظرًا لأن الدودة لم تكتفِ بنسخ نفسها إلى أجهزة كمبيوتر أخرى، بل كانت تنسخ نفسها مرارًا وتكرارًا على الأجهزة المصابة، فقد استهلكت الذاكرة عن غير قصد، ما أدى إلى توقف العديد من أجهزة الكمبيوتر عن العمل تمامًا. كأول هجوم إلكتروني واسع النطاق على الإنترنت في العالم، تسبب الحادث في أضرار تم تقديرها بالملايين. أما Robert Morris، فقد كان أول مجرم إلكتروني يُدان بالاحتيال السيبراني في الولايات المتحدة.

على الرغم من أنها لم تكن ضارة مثل دودة موريس، إلا أن دودة ميليسا، بعد حوالي عقد من الزمن، أظهرت مدى سرعة انتشار البرامج الضارة عبر البريد الإلكتروني، حيث أصاب ما يُقدّر بمليون حساب بريد إلكتروني على الأقل و100,000 جهاز كمبيوتر في أماكن العمل. كانت دودة ميليسا أسرع دودة انتشارًا في ذلك الوقت، وتسببت في تحميل زائد كبير على خوادم البريد الإلكتروني Microsoft Outlook وMicrosoft Exchange، ما أدى إلى حدوث تباطؤ في أكثر من 300 شركة ووكالة حكومية، بما في ذلك مايكروسوفت وفريق الاستجابة للطوارئ الحاسوبية في البنتاغون، بالإضافة إلى حوالي 250 مؤسسة أخرى.

نظرًا لأن الحاجة هي أم الاختراع، عندما وجد المقيم في الفلبين Onel de Guzman البالغ من العمر 24 عامًا أنه غير قادر على تحمل تكلفة خدمة الإنترنت عبر الاتصال الهاتفي، أنشأ دودة فيروسية ماكرو لسرقة كلمات مرور الآخرين، ما جعل فيروس ILOVEYOU أول جزء ملحوظ من البرامج الضارة بشكل صريح. لقد كان الهجوم مثالًا مبكرًا على الهندسة الاجتماعية والتصيد الاحتيالي. استخدم De Guzman علم النفس لاستغلال فضول الأشخاص واستغلالهم لتنزيل مرفقات بريد إلكتروني خبيثة متنكرة في شكل رسائل حب. قال De Guzman: "اكتشفت أن الكثير من الناس يريدون صديقًا، وأنهم يريدون بعضهم، وبحاجة إلى المحبة". 

بمجرد تعرض النظام للإصابة، لم تقتصر الدودة على سرقة كلمات المرور فحسب، بل حذفت ملفات أيضًا وتسببت في أضرار بملايين الدولارات، وتسببت أيضًا في إغلاق نظام الكمبيوتر الخاص ببرلمان المملكة المتحدة لفترة قصيرة. وعلى الرغم من أن دي جوزمان تم القبض عليه واعتقاله، إلا أن جميع التهم تم إسقاطها؛ لأنه لم يكن قد انتهك أي قوانين محلية فعليًا.

على غرار فيروس ILOVEYOU، استخدم الفيروس المتنقل "مايدوم" أيضًا البريد الإلكتروني للتكرار الذاتي وإصابة الأنظمة في جميع أنحاء العالم. بمجرد تسلله إلى النظام، كان فيروس "مايدوم" يستولي على جهاز الضحية ليرسل نسخًا أخرى من نفسه عبر البريد الإلكتروني. كان لرسائل "مايدوم" غير المرغوب فيها تأثير مذهل، حيث شكلت 25% من جميع رسائل البريد الإلكتروني المرسلة حول العالم، وهو رقم قياسي لم يتم تحطيمه من قبل، وتسببت في خسائر تُقدر قيمتها بنحو 35 مليار دولار أمريكي. وحتى بعد أخذ التضخم في الاعتبار، لا يزال هذا البرنامج الضار هو الأكثر تسببًا في الأضرار المالية عبر التاريخ.

بالإضافة إلى اختراق برامج البريد الإلكتروني لإصابة أكبر عدد ممكن من الأنظمة، استخدمت "Mydoom" أيضًا أجهزة الكمبيوتر المصابة لإنشاء شبكة روبوتات وإطلاق هجمات موزعة لحجب الخدمة (DDoS). ورغم تأثيرها الكبير، لم يتم القبض على مجرمي الإنترنت الذين يقفون وراء فيروس "Mydoom" أو حتى التعرف عليهم.

تم التعرُّف على "زيوس" لأول مرّة في عام 2007، وتمكَّن من إصابة أجهزة الكمبيوتر الشخصية عبر عمليات الاحتيال والتنزيلات الخبيثة، ما أبرز المخاطر الكبيرة التي يمثلها فيروس من نوع حصان طروادة قادر على تحميل برامج ضارة متنوعة. في عام 2011، تم الكشف عن شفرة المصدر ودليل التعليمات الخاص به، ما أتاح بيانات قيمة لمتخصصي الأمن السيبراني بالإضافة إلى القراصنة الآخرين.

يُعَد هذا البرنامج من أوائل برامج الفدية، حيث تميز بسرعة انتشاره وقدرته القوية (في ذلك الحين) على التشفير غير المتماثل. يتم توزيع كريبتو لوكر من خلال شبكات بوت نت غير شرعية تم الاستيلاء عليها بواسطة فيروس زيوس، حيث يقوم بتشفير البيانات بشكل منظم على أجهزة الكمبيوتر المصابة. وإذا كان الكمبيوتر المصاب عميلاً في شبكة محلية، مثل مكتبة أو مكتب، يتم استهداف أي موارد مشتركة أولاً.

من أجل استعادة الوصول إلى هذه الموارد المشفرة، طلب مطورو كريبتو لوكر فدية مقدارها عملتَا البيتكوين، والتي كانت تعادل تقريبًا 715 دولارًا أمريكيًا في ذلك الحين. في عام 2014، استطاعت وزارة العدل، بالتعاون مع وكالات دولية، السيطرة على الشبكة الضارة وفك تشفير البيانات المخطوفة مجانًا. وللأسف، يتم توزيع برنامج كريبتو لوكر أيضًا عبر هجمات تصيد بسيطة، ما يجعله تهديدًا مستمرًا.

أطلق أرني شونبوم، رئيس مكتب أمن المعلومات الألماني، عليه لقب "ملك البرامج الضارة"؛ وذلك لأنه يُعَد مثالاً واضحًا للبرامج الضارة متعددة الأشكال، ما يجعل من الصعب على خبراء الأمن السيبراني القضاء عليه بشكل نهائي. تعمل البرامج الضارة متعددة الأشكال من خلال تعديل رمزها البرمجي في كل عملية تكاثر، فتنتج متغيرات جديدة بدلاً من نسخ مطابقة، مع الحفاظ على مستوى التهديد نفسه. وفي الحقيقة، تُعَد أحصنة طروادة متعددة الأشكال أكثر خطورة؛ لأنها تجعل من الصعب على برامج مكافحة الفيروسات التعرُّف عليها وحجبها.

مثل حصان طروادة "زيوس"، يستمر "إيموتيت" كبرنامج مقسّم إلى وحدات ويُستخدم لنقل أنواع أخرى من البرامج الضارة وغالبًا ما يتم نشره من خلال هجمات التصيد الاحتيالي التقليدية.

مع استمرار تطور أجهزة الكمبيوتر، وانتقالها من أجهزة سطح المكتب إلى أجهزة الكمبيوتر المحمولة والهواتف المحمولة والعديد من الأجهزة المتصلة بالشبكات، تتطور البرامج الضارة أيضًا. مع ظهور إنترنت الأشياء، تقدم أجهزة إنترنت الأشياء الذكية موجة جديدة هائلة من نقاط الضعف. أنشأ الطالب الجامعي باراس جها شبكة "بوت نت ميراي"، التي اكتشفت عددًا هائلاً من كاميرات المراقبة CCTV المتصلة بإنترنت الأشياء التي كانت تفتقر إلى الحماية الأمنية واستولت عليها.

صُمّمت "بوت نت ميراي" في البداية لاستهداف خوادم الألعاب لشن هجمات على نظام تشغيل الحواسيب دوس (DoS)، وكانت أقوى مما توقعه جها. استهدفت الشبكة أحد مزودي خدمات DNS الرئيسيين، ما أدى إلى قطع الاتصال بالإنترنت عن أجزاء كبيرة من الساحل الشرقي للولايات المتحدة لمدة يوم تقريبًا.

على الرغم من أن البرامج الضارة قد أدت دورًا في الحروب السيبرانية لسنوات عديدة، إلا إن عام 2017 كان عامًا مميزًا للهجمات الإلكترونية المدعومة من الدولة والتجسس الافتراضي، بدءًا من برنامج الفدية المعروف باسم "Petya" الذي كان يبدو عاديًا نسبيًا. ورغم خطورته، انتشر برنامج الفدية "Petya" من خلال هجمات التصيد الاحتيالي، ولكن انتشاره كان محدودًا حتى تم تعديله إلى دودة NotPetya، وهو برنامج بدا كبرنامج فدية، ولكنه دمر بيانات المستخدمين حتى بعد إرسال مدفوعات الفدية. وشهد العام نفسه هجوم فيروس الفدية WannaCry على عدد من الأهداف البارزة في أوروبا، وخاصة في هيئة الخدمات الصحية الوطنية البريطانية.

يُعتقد أن دودة "نوت بيتيا" مرتبطة بالاستخبارات الروسية، التي ربما عدلت فيروس "بيتيا" لمهاجمة أوكرانيا، وقد يكون لفيروس WannaCry صلة بقطاعات معادية مماثلة في الحكومة الكورية الشمالية. ما القاسم المشترك بين هجمات هذين البرنامجين الضارين؟ تم تمكين كلا الهجومين بواسطة ثغرة في نظام Microsoft Windows تُعرَف باسم EternalBlue، والتي اكتشفتها لأول مرّة وكالة الأمن القومي الأمريكية. على الرغم من أن مايكروسوفت اكتشفت الثغرة الأمنية وأصدرت تصحيحًا لها في النهاية، إلا أنها انتقدت وكالة الأمن القومي (NSA) لعدم إبلاغها عن الثغرة قبل تمكُّن القراصنة من استغلالها.

في السنوات الأخيرة، انتشرت برامج الفدية الضارة ثم تراجعت. ومع ذلك، وعلى الرغم من تناقص حالات هجمات برامج الفدية الناجحة، فإن المتسللين يستهدفون أهدافًا أكثر شهرة ويتسببون في أضرار أكبر. الآن، تعد برامج الفدية كخدمة (RaaS) اتجاهًا مقلقًا اكتسب زخمًا في السنوات الأخيرة. تقدم برمجيات الفدية الضارة كخدمة في أسواق الشبكة الخلفية، وتوفر بروتوكول التوصيل والتشغيل الذي يقوم فيه المتسللون المحترفون بهجمات برامج الفدية مقابل رسوم. في حين أن هجمات البرامج الضارة السابقة تتطلب درجة معينة من المهارة التقنية المتقدمة، فإن مجموعات المرتزقة التي تقدم برمجيات الفدية الضارة كخدمة تمكن أي شخص لديه نية سيئة وأموال من إنفاقها.

وقع أول هجوم بارز ببرنامج الفدية ذي الابتزاز المزدوج في عام 2019، عندما اخترق القراصنة وكالة التوظيف الأمني Allied Universal، ثم قاموا بتشفير بياناتها وهددوا في الوقت نفسه بنشر البيانات المسروقة عبر الإنترنت. تعني هذه الطبقة الإضافية أنه حتى لو تمكنت Allied Universal من فك تشفير ملفاتها، فستستمر معاناتها من الاختراق الضار لأمن البيانات. وعلى الرغم من أن هذا الهجوم كان ملحوظًا، إلا أن هجوم Colonial Pipeline في عام 2021 كان أكثر شهرة؛ بسبب خطورة التهديد الضمني. في ذلك الوقت، كان خط أنابيب Colonial Pipeline مسؤولاً عن توفير 45% من البنزين ووقود الطائرات في شرق الولايات المتحدة. وقد أثر الهجوم، الذي استمر لعدة أيام، على كل من القطاعين العام والخاص على طول الساحل الشرقي، ودفع الرئيس بايدن إلى إعلان حالة طوارئ مؤقتة.

وعلى الرغم من أن هجمات برامج الفدية قد تبدو في انخفاض، فإن الهجمات المستهدفة والفعالة للغاية لا تزال تشكل تهديدًا مقلقًا. في عام 2022، عانت كوستاريكا من سلسلة من هجمات برامج الفدية، ما أدى أولًا إلى شل وزارة المالية وأثرت حتى على شركات الاستيراد / التصدير المدنية. ثم أدى هجوم لاحق إلى تعطيل نظام الرعاية الصحية في البلاد، ما أثر بشكل مباشر على كل مواطن في البلاد. ونتيجة لذلك، دخلت كوستاريكا التاريخ كأول دولة تعلن حالة الطوارئ الوطنية ردًا على هجوم إلكتروني.