Article image
مصدر الصورة: ديمتريوس فريمان – بول/ صور جيتي



صعّد القراصنة من نشاطهم قبل أيام من إطلاق مايكروسوفت لتصحيح برمجي رداً على الهجوم السري الذي تعرضت له أنظمة البريد الإلكتروني لديها.

2021-03-15 11:01:15

15 مارس 2021

في البداية، أطلق القراصنة الصينيون حملة حذرة. وعلى مدى شهرين، عملوا على استغلال نقاط ضعف في خوادم البريد الإلكتروني لمايكروسوفت إكستشينج، مختارين أهدافهم بعناية لسرقة محتويات صناديق البريد الإلكتروني بأكملها خلسة. وفي نهاية المطاف، عندما أدرك المحققون ما حدث، بدا الأمر كأنه تجسس عادي عبر الإنترنت، ومن ثم تسارعت الأمور بشكل كبير.

ففي 26 فبراير تقريباً، تحولت العملية المحدودة إلى شيء أكبر بكثير، وبطابع أقرب بكثير إلى الفوضى والعشوائية. وبعد عدة أيام وحسب، أعلنت مايكروسوفت عن عمليات الاختراق -وقد أصبح المخترقون الآن يحملون اسم هافنيوم- وأصدرت تصحيحاً برمجياً للحماية. ولكن، وبحلول ذلك الوقت، كان المهاجمون يبحثون عن أهداف عبر شبكة الإنترنت بأسرها، فبالإضافة إلى عشرات الآلاف من الضحايا الذين تم الإبلاغ عن تعرضهم للهجوم في الولايات المتحدة، بدأت الحكومات حول العالم تعلن عن تعرضها للهجوم أيضاً. والآن، أصبح هناك 10 مجموعات قرصنة على الأقل، معظمها من فرق التجسس السيبراني المدعومة حكومياً، تعمل على اختراق الثغرات على الآلاف من الخوادم في أكثر من 115 دولة، وذلك وفقاً لشركة الأمن السيبراني إيسيت.

وفيما يفكر الرئيس جو بايدن في كيفية الرد على القراصنة الروس الذين هاجموا شركة برمجية أخرى تحمل اسم “سولار ويندز”، وأُعلن عن هجماتهم في ديسمبر، تحول هجوم هافنيوم إلى معركة مفتوحة أمام الجميع، وقد تكون عواقبه أسوأ بكثير. وفيما يسارع الخبراء إلى سد الثغرات التي فتحها الاختراق الصيني، يقول الخبراء إن الحكومة الأميركية تركز على ما سيحدث لاحقاً للآلاف من الخوادم المخترقة حديثاً، وكيف سترد على الصين.

يقول شون كوسل، وهو نائب رئيس فوليكسيتي، شركة الأمن السيبراني التي ساعدت على اكتشاف نشاط القرصنة: “لقد فُتحت الأبواب على مصراعيها أمام أي جهة خبيثة ترغب في فعل أي شيء لخوادم إكستشينج وبقية أجزاء الشبكة لديك”. ويضيف قائلاً: “والآن، أصبح السيناريو الأفضل هو التجسس، أي مجرد سرقة بيانات وحسب. أما السيناريو الأسوأ فهو استخدام فيروس الفدية وإطلاقه عبر الشبكة بأسرها”.

لا يقتصر الفرق بين الهجومين على التفاصيل الفنية، أو حتى الدولة المنفذة. فعلى الرغم من وجود حوالي 18,000 شركة قامت بتحميل برنامج سولار ويندز المُخترق، فإن عدد الأهداف الحقيقية لا يتجاوز نسبة صغيرة من هذا الرقم. أما هجوم هافنيوم فقد كان أوسع نطاقاً وأقل تمييزاً بكثير.

يقول ديمتري ألبيروفيتش، رئيس مجلس إدارة منظمة سيلفيرادو بوليسي أكسيليريتور وأحد مؤسسي شركة الأمن كراودسترايك: “بدأ كلا الهجومين كأنه حملة تجسس، ولكن الفرق الحقيقي يكمن في طريقة التنفيذ؛ فقد نُفذت حملة سولار ويندز الروسية بحذر شديد، حيث ركز الروس على أهداف محددة يهمهم أمرها، وقاموا بقطع الاتصال في كل مكان آخر، بحيث لا يستطيعون أنفسهم أو أي شخص آخر الوصول إلى تلك الأهداف غير المهمة”.

“أما الحملة الصينية، فقد جرت بشكل معاكس تماماً”. 

“ففي 27 فبراير، أدرك الصينيون أن التصحيح البرمجي سيُطرح قريباً، وقاموا -دون مبالغة- بمسح العالم بأسره في محاولة لاختراق الجميع. وتركوا العديد من طبقات الويب الخارجية التي يمكن الآن أن تسمح للآخرين بالدخول إلى تلك الشبكات، بما فيهم الجهات التي تتعامل بفيروس الفدية. ولهذا، فإن هذا الهجوم يتصف بدرجة عالية من التهور والخطورة، ويجب التعامل معه على الفور”.

اختراقات بالجملة

يقول كوسل إن حملة هافنيوم كانت في بدايتها “هادئة وخفية إلى درجة كبيرة”.

لم تتمكن أغلب عمليات التدقيق من كشف عملية الاختراق، ولم تُكتشف إلا عندما لاحظت فوليكسيتي طلبات غريبة ومحددة لتناقل البيانات عبر الإنترنت للوصول إلى عملاء الشركة الذين كانوا يديرون خوادم البريد الإلكتروني الخاصة بهم على مايكروسوفت إكستشينج.

وتبين بعد تحقيق دام لشهر كامل أنه تم استغلال أربع ثغرات نادرة بطريقة الهجوم دون انتظار لسرقة كامل محتويات صناديق البريد الإلكتروني، وهو أمر يمكن أن يكون كارثياً بالنسبة للأفراد والشركات، ولكن في تلك المرحلة، كان عدد الضحايا قليلاً، وكان الضرر محدوداً نسبياً. عملت فوليكسيتي مع مايكروسوفت لمدة أسابيع على إصلاح الثغرات، ولكن كوسل يقول إنه شهد تغيراً كبيراً في نهاية فبراير. فلم يبدأ عدد الضحايا بالتزايد فحسب، بل ازداد عدد مجموعات القرصنة أيضاً.

ليس من الواضح كيف علمت عدة مجموعات قرصنة حكومية بثغرات تلائم أسلوب الهجوم دون انتظار قبل أن تعلن مايكروسوفت عن أي شيء للعامة. إذن، كيف توسع الهجوم بهذه السرعة الانفجارية؟ يشير البعض إلى أن القراصنة أدركوا ربما أنه لم يعد أمامهم الكثير من الوقت. وإذا عرفوا باقتراب طرح تصحيح برمجي، فكيف وصلوا إلى هذه المعلومة؟

يقول ماثيو فاو، الذي يقود عمليات البحث في اختراقات إكستشينج في شركة إيسيت: “أعتقد أنه من النادر أن نرى الكثير من مجموعات القرصنة المختلفة وعالية المستوى تتمكن من الوصول إلى ثغرات دون وجود تفاصيل علنية”. ويضيف قائلاً: “هناك احتمالان رئيسيان”. فإما أن “تفاصيل الثغرات تسربت بطريقة ما إلى الجهات الخبيثة” أو أن فريقاً بحثياً آخر يعمل لصالح تلك الجهات “تمكن بشكل مستقل من اكتشاف نفس المجموعة من الثغرات”.

راقبت فيلوكسيتي مجموعة هافنيوم وهي تكمن وتتربص ضمن الشبكات لشهر كامل، ومن ثم اتخذت مجموعة من الخطوات لإخراجها قبل أن تقوم مايكروسوفت بإصدار تصحيح برمجي. وقد تكون هذه هي الشرارة التي أدت إلى تصعيد هجوم هافنيوم. من جهته يشير ألبيروفيتش إلى احتمال آخر، وهو أن القراصنة علموا بطريقة أخرى بقرب طرح التصحيح البرمجي؛ حيث إن أفراد فرق الأمن في هذا المجال، بما فيها فرق مايكروسوفت، يتبادلون المعلومات بشكل منتظم حول الثغرات والإصلاحات قبل أن يُعلن عنها. وما إن صدر الإعلان من مايكروسوفت، انضم المزيد من مجموعات القرصنة إلى المعمعة.

يقول فاو: “بعد طرح التصحيح البرمجي بيوم واحد، بدأنا نلاحظ وجود المزيد من الجهات الخبيثة التي تمسح خوادم إكستشينج وتخترقها بالجملة”. كما أن جميع مجموعات القرصنة الفاعلة في هذا الهجوم، باستثناء واحدة، هي فرق معروفة ومدعومة حكومياً تركز على التجسس. يضيف فاو: “ولكن، أصبح من المؤكد أن المزيد من الجهات الخبيثة، بما فيها تلك التي تتعامل بفيروس الفدية، ستتمكن من الوصول إلى الثغرات عاجلاً أو آجلاً”.

مع تصاعد هذا النشاط، لاحظت فيلوكسيتي تغيراً آخر في السلوك، فقد بدأ المخترقون يتركون طبقات ويب خارجية لتنفيذ الأوامر بعد اختراق الأنظمة. تعد هذه الطبقات بمنزلة أدوات قرصنة بسيطة تسمح بالوصول المستمر والبعيد من الأبواب الخلفية إلى الأجهزة المصابة بحيث يستطيع القرصان الرقمي التحكم فيها. وعلى الرغم من أنها قد تكون أدوات فعالة، فإنها أيضاً مفضوحة وسهلة الكشف نسبياً. 

فما إن يزرع القراصنة طبقة على إحدى الآلات، يستطيعون العودة إليها إلى حين إزالتها، بل إن إزالة الثغرات الأصلية لن يزيل هذه الطبقات. غير أن الطبقة نفسها تتمتع بحماية ضعيفة، ويمكن استخدامها من قِبل قراصنة آخرين، للدخول إلى خوادم إكستشينج وسرقة رسائل البريد الإلكتروني أولاً، وبعد ذلك لمهاجمة شبكات كاملة.

يقول ألبيروفيتش: “إنها أشبه بباب مزود بقفل يمكن فتحه بسهولة”.

تحديات مختلفة

ما زالت عمليات القرصنة في تصاعد متواصل. وقد اتخذت مايكروسوفت خطوة نادرة من نوعها مؤخراً؛ وذلك بإطلاق تصحيحات أمنية برمجية للنسخ غير المدعومة من إكستشينج، التي عادة ما تكون قديمة إلى درجة تصعب معها حمايتها، وهي دلالة واضحة على أن الشركة تعد هذا الهجوم في منتهى الخطورة. وقد رفضت مايكروسوفت التعليق على هذا الأمر.

وفي حين يدرس البيت الأبيض كيفية الرد، فإن الوضع يصبح أشد خطورة. تتعامل إدارة بايدن ببطء مع عمليات التجسس المعقدة التي تعرضت لها سولار ويندز، ولكن الفوضى العارمة التي تسببت فيها اختراقات هافنيوم تمثل تحديات مختلفة تماماً، سواء من ناحية إصلاح المشكلة أو الرد على القراصنة الذين تسببوا بها.

يقول ألبيروفيتش: “يجب إرسال رسالة قوية إلى الصينيين بأن هذا الأمر غير مقبول على الإطلاق”. ويجب أن توضح الولايات المتحدة، وبصورة لا تحتمل التأويل، “بأننا سنحملهم المسؤولية الكاملة عن أي أضرار ناجمة عن الجهات الإجرامية التي قد تستغل هذا الوصول، ويجب أن ندفعهم إلى إزالة طبقات الويب عن جميع الأجهزة المصابة، وعلى الفور”.