بقلم ديفيد سانغر David E. Sanger ونيكول بيرلروث Nicole Perlroth

لسنوات مضت، كانت شركة الأمن السيبراني (الأميركية) “فاير آي – FireEye” هي الملاذ الأوّل للوكالات الحكومية والشركات الخاصة في جميع أنحاء العالم، حينما تتعرّض للاختراق من قبل القراصنة الأكثر تطوّراً، أو حين تخشى أن تكون هدفاً للاختراق.

والآن يبدو أنّ القراصنة – في هذه الحالة هم تابعون لوكالات الاستخبارات الروسية – ربما كانوا ينتقمون من هذه الشركة الأمنية. بعد أن كشفت “فاير آي” الثلاثاء الماضي أنّ أنظمتها الخاصة قد اخترقتها جهة ما أسمتها “أمّة ذات قدرات هجومية من الدرجة الأولى”. وقالت الشركة إنّ القراصنة استخدموا “تقنيات جديدة” للاستحواذ على مجموعة أدواتها الخاصة، (والتي تستعملها الشركة لفحص مستوى الأمن السيبراني لدى الشركات التي تتعامل معها)، والتي يمكن أن تكون مفيدة في شنّ هجمات جديدة في جميع أنحاء العالم.

كانت سرقة مذهلة، وهي أقرب إلى حالة لصوص البنوك الذين، بعد تنظيف الخزائن من موجوداتها، التفتوا لسرقة أدوات التحقيق الخاصة بمكتب التحقيقات الفيدرالية FBI. في الواقع، قالت الشركة يوم الثلاثاء، إنّها استدعت FBI بعد لحظات من إغلاق سوق الأسهم.

الشركة ذات الـ 3.5 مليار دولار، والتي تكسب المال جزئياً من خلال تحديد الجناة في أكثر الخروقات في العالم جرأة – من بين عملائها شركتا Sony و Equifax – رفضت أن تصرّح عمن هو المسؤول عن هذا الخرق. لكنّ وصفها للحادث، وحقيقة أنّ FBI قد حوّلت القضية إلى المتخصّصين لديها في الشأن الروسي، لم يترك مجالاً للشكّ في من هم المشتبه بهم الرئيسيون، وأنّهم كانوا يستهدفون ما تسميه الشركة “أدوات الفريق الأحمر”، (وهي الأدوات التي تستعملها شركات الأمن السيبراني غالباً لتقييم الوضع الأمني لنُظُم الشركة العميلة).  

هذه في الأساس هي أدوات رقمية، تقوم باستنساخ أدوات القرصنة الأكثر تطوّراً في العالم. وتستعملها شركة “فاير آي” بإذن من الشركة العميلة أو الوكالة الحكومية – للبحث عن نقاط الضعف في أنظمتها. ومعظم هذه الأدوات توضع في مستودع رقمي تحرسه الشركة عن كثب.

وأكدت FBI الثلاثاء الماضي أنّ الاختراق هو من عمل دولة، لكنّها أيضاً لم تكشف أيّ دولة متوّرطة. وقال مات غورهام Matt Gorham، مساعد مدير قسم الإنترنت في FBI إنّ “مكتب التحقيقات الفيدرالية يحقّق في الحادث. وتُظهر المؤشرات الأولية أنّ الجهة الفاعلة ذات مستوى عالٍ من التطوّر، وهو ما يتفق مع توصيف دولة قومية”.

ويثير الاختراق المذكور احتمال أن تكون وكالات الاستخبارات الروسية قد اغتنمت الفرصة لشنّ الهجوم عندما كان الاهتمام الأميركي – بما في ذلك شركة FireEye – مركّزاً على تأمين نظام الانتخابات الرئاسية. ففي وقت كانت أنظمة الاستخبارات العامة والخاصة في البلاد تسعى إلى حماية أنظمة تسجيل الناخبين أو آلات التصويت من الاختراق، ربما كان الوقت مناسبًا لتلك الوكالات الروسية، التي شاركت في خروقات انتخابات عام 2016، لتحويل أنظارها إلى أهداف أخرى.

يبدو أنّ القراصنة – في هذه الحالة هم تابعون لوكالات الاستخبارات الروسية – ربما كانوا ينتقمون من هذه الشركة الأمنية. بعد أن كشفت “فاير آي” الثلاثاء الماضي أنّ أنظمتها الخاصة قد اخترقتها جهة ما أسمتها “أمّة ذات قدرات هجومية من الدرجة الأولى”

هذا الاختراق هو أكبر سرقة معروفة لأدوات الأمن السيبراني منذ أن سُرقت الأدوات الأمنية التابعة لوكالة الأمن القومي N.S.A في عام 2016 من قبل مجموعة لم تعرف هويتها بعد، تُطلق على نفسها اسم ShadowBrokers. وقد تخلّت تلك المجموعة عن أدوات القرصنة التابعة لوكالة الأمن القومي على الإنترنت على مدى أشهر، وسلّمت الدول القومية والمتسلّلين “مفاتيح المملكة الرقمية”، كما قال أحد المشغّلين السابقين لوكالة الأمن القومي. واستخدمت كوريا الشمالية وروسيا في نهاية المطاف الأسلحة المسروقة من وكالة الأمن القومي في هجمات مدمّرة على الوكالات الحكومية والمستشفيات وأكبر التكتلات في العالم – بأضرار تزيد عن 10 مليارات دولار.

أدوات وكالة الأمن القومي هي على الأرجح أكثر فائدة من أدوات FireEye باعتبار أنّ الحكومة الأميركية تصنع الأسلحة الرقمية لهذا الغرض. فيما تُصنع أدوات الفريق الأحمر التابعة لشركة “فاير آي” من البرامج الضارة malware التي شهدت الشركة استعمالها في مجموعة واسعة من الهجمات.

ومع ذلك، فإنّ ميزة استعمال الأسلحة الإلكترونية المسروقة، هي أنّ الدول القومية يمكنها إخفاء مساراتها الخاصة عندما تشنّ الهجمات، إذ “يمكن للقراصنة الاستفادة من أدوات FireEye لاختراقات محفوفة بالمخاطر، لأهداف رفيعة المستوى مع توافر الإنكار المعقول للمسؤولية عنها”، كما يقول باتريك واردل Patrick Wardle، وهو من القراصنة السابقين العاملين في وكالة الأمن القومي، وهو الآن باحث أمني رئيسي في Jamf، وهي شركة برمجيات: “في البيئات المحفوفة بالمخاطر، لا تريد حرق أفضل أدواتك، لذلك، فإن هذا يمنح الخصوم المتقدّمين طريقة لاستخدام أدوات شخص آخر دون حرق أفضل قدراتهم”.

لقد كُشفت مجموعة قرصنة صينية ترعاها الدولة في وقت سابق وهي تستعمل أدوات القرصنة التابعة لوكالة الأمن القومي في تنفيذ هجمات في جميع أنحاء العالم، ظاهرياً، بعد اكتشاف أدوات الوكالة على أنظمتها الخاصة: “إنّها مثل المسألة الواضحة التي لا تحتاج إلى تفكير”، كما يقول واردل.

ومن المرجّح أن يتسبّب الخرق بالعمى لشركة “فاير آي” التي عمل محقّقوها مع شركة سوني بعد الهجوم المدمر الذي وقع في عام 2014، ونسبته الشركة في وقت لاحق إلى كوريا الشمالية. كانت FireEye هي التي استدعيت بعد اختراق وزارة الخارجية والوكالات الحكومية الأميركية الأخرى من قبل قراصنة روس في عام 2015. ومن بين العملاء الرئيسيين من الشركات لـ”فاير آي”، إكويفاكس، وهي خدمة مراقبة الائتمان التي جرى اختراقها قبل ثلاث سنوات، ما ترك آثاراً سلبية على نصف السكان الأميركيين.

في الهجوم على شركة “فاير آي”، ذهب القراصنة إلى مديات غير عادية لتجنّب الانكشاف. فأنشأوا عدة آلاف من عناوين بروتوكول الإنترنت – وكثير منها داخل الولايات المتحدة – والتي لم تُستخدم من قبل في الهجمات. استعمال تلك العناوين لتنظيم هجومهم، هو ما سمح للقراصنة بإخفاء أماكن وجودهم بشكل أفضل.

كُشفت مجموعة قرصنة صينية ترعاها الدولة في وقت سابق وهي تستعمل أدوات القرصنة التابعة لوكالة الأمن القومي في تنفيذ هجمات في جميع أنحاء العالم، ظاهرياً، بعد اكتشاف أدوات الوكالة على أنظمتها الخاصة: “إنّها مثل المسألة الواضحة التي لا تحتاج إلى تفكير”، كما يقول واردل

وقال كيفن مانديا Kevin Mandia، الرئيس التنفيذي لشركة “فاير آي”: “يختلف هذا الهجوم عن عشرات الآلاف من الحوادث التي رددنا عليها على مرّ السنين. (كان كيفن مؤسس شركة مانديانت Mandiant، وهي شركة حصلت عليها “فاير آي” في عام 2014).

لكن “فاير آي” قالت إنّها لا تزال تحقّق في كيفية اختراق القراصنة بالضبط لأنظمتها الأكثر حماية. إلا أنّ التفاصيل كانت قليلة.

وقال مانديا، وهو ضابط استخبارات سابق في سلاح الجو، إنّ المهاجمين “صمّموا قدراتهم ذات المستوى العالمي خصيصاً لاستهداف “فاير آي” ومهاجمتها”. وقال: “يبدو أنّهم مدرّبون تدريباً عالياً على “أمن العمليات”، ويُظهرون “الانضباط والتركيز”، بينما يتحرّكون خفيةً هرباً من الانكشاف أمام الأدوات الأمنية وفحص الطب الشرعي. وقالت جوجل ومايكروسوفت، وغيرهما من الشركات التي تجري تحقيقات في الأمن السيبراني، إنّها لم ترَ في أيّ وقت من قبل بعض هذه التقنيات.

ونشرت شركة “فاير آي” العناصر الرئيسية لأدواتها أي “الفريق الأحمر” بحيث يمكن للآخرين في جميع أنحاء العالم رؤية الهجمات المقبلة.

ويحاول المحقّقون الأميركيون تحديد ما إذا كان للهجوم أيّ علاقة بعملية أخرى متطوّرة، كانت وكالة الأمن القومي قد قالت إنّ روسيا تقف وراءها فى تحذير صدر يوم الإثنين الماضي. وتحدث هذه الهجمات بنوع من البرمجيات، تسمى VM أو الآلات الافتراضية، وهي تُستعمل على نطاق واسع من قبل شركات الدفاع والمصنّعين. ورفضت وكالة الأمن القومي تحديد أهداف ذلك الهجوم. ومن غير الواضح ما إذا كان الروس قد استغلوا نجاحهم في هذا الخرق للوصول إلى أنظمة “فاير آي”.

الهجوم على “فاير آي” يمكن أن يكون انتقاماً من نوع ما. وقد اتّهم محقّقو الشركة مراراً وتكراراً وحدات من الاستخبارات العسكرية الروسية – G.R.U. والاستخبارات الخارجية الروسية S.V.R.، ووكالة الأمن الفيدرالي F.S.B، وهي الوكالات الاستخبارية التي خلفت الكي جي بي K.G.B في الحقبة السوفياتية – بالاختراقات اللافتة لشبكة الكهرباء في أوكرانيا وفي بلدات أميركية. كما كانوا أوّل من اتهم القراصنة الروس بالهجوم الذي نجح في تفكيك أقفال السلامة الصناعية في مصنع بتروكيميائي سعودي، وهي الخطوة الأخيرة قبل التسبّب بانفجار فيه.

قال مانديا، وهو ضابط استخبارات سابق في سلاح الجو، إنّ المهاجمين “صمّموا قدراتهم ذات المستوى العالمي خصيصاً لاستهداف “فاير آي” ومهاجمتها”. وقال: “يبدو أنّهم مدرّبون تدريباً عالياً على “أمن العمليات”، ويُظهرون “الانضباط والتركيز”، بينما يتحرّكون خفيةً هرباً من الانكشاف أمام الأدوات الأمنية وفحص الطب الشرعي

وقال جيمس لويس James A. Lewis، خبير الأمن السيبراني في مركز الدراسات الاستراتيجية والدولية في واشنطن، إنّ “الروس يؤمنون بالانتقام. فجأة، أضحى عملاء شركة “فاير آي” معرّضين للخطر”.

وفى يوم الثلاثاء الماضي، عقدت “الجمعية الوطنية الروسية” لأمن المعلومات الدولي منتدى مع خبراء الأمن العالميين. وزعم المسؤولون الروس مرّة أخرى أنّه لا يوجد دليل على أنّ قراصنتها مسؤولون عن الهجمات التى أسفرت عن عقوبات أميركية وتوجيه اتهامات.

إقرأ أيضاً: كيف سقطت استطلاعات الرأي في امتحان الانتخابات الأميركية؟

وكانت شركات الأمن هدفاً متكرّراً للدول القومية وللمتسلّلين، ويرجع ذلك جزئياً إلى أنّ أدواتها تحافظ على مستوى عميق من الوصول إلى عملائها من الشركات والحكومات في جميع أنحاء العالم. ومن خلال اختراق تلك الأدوات وسرقة شفرة المصدر، يمكن للجواسيس والمتسلّلين الحصول على موطئ قدم داخل أنظمة الضحايا.

وكانت McAfee، و Symantec، و Trend Micro من بين الشركات الأمنية الكبرى التي اتّهمت مجموعة قراصنة ناطقة باللغة الروسية بسرقة شيفرتها العام الماضي. وتعرّضت Kaspersky، وهي شركة أمنية روسية، للاختراق من قبل قراصنة إسرائيليين في عام 2017. وفي عام 2012، أكدت Symantec أنّ جزءاً من شيفرة مكافحة الفيروسات الخاصة بها قد سُرق من قبل المتسلّلين.

لقراءة النص الأصلي اضغط هنا