كيف أصبح كشف الهجمات أداة أساسية في الصراع السيبراني؟

4 دقائق
الولايات المتحدة تكشف قراصنة المعلومات الروس بسرعة أكبر من ذي قبل
آن نيوبيرغر، نائب مستشار الأمن القومي للشؤون السيبرانية والتكنولوجيات الناشئة، متحدثة مع المراسلين الصحفيين في غرفة جيمس بريدي للمؤتمرات الصحفية في البيت الأبيض، يوم الجمعة 18 فبراير/ شباط، 2022، في واشنطن. حقوق الصورة: أسوشييتد برس.

بعد 48 ساعة فقط من انهيار البنوك والمواقع الحكومية في أوكرانيا تحت وطأة مجموعة من الهجمات السيبرانية المنسقة في 15 و16 فبراير/ شباط، وجهت الولايات المتحدة الاتهام إلى الجواسيس الروس.

وقالت آن نيوبيرغر، نائب مستشار الأمن القومي للشؤون السيبرانية والتكنولوجيات الناشئة، إن الولايات المتحدة "تمتلك معلومات تقنية تربط إدارة المخابرات الروسية الرئيسية (GRU) مع هجمة حرمان موزع من الخدمة أدت إلى زيادة تحميل المواقع الأوكرانية وإغلاقها.

وقالت للصحافيين في 18 فبراير/ شباط: "لقد شهدنا البنية التحتية لإدارة المخابرات الروسية وهي تبث كميات كبيرة من الاتصالات إلى عناوين بروتوكول الإنترنت (IP) ونطاقات أسماء أوكرانية". ويُعتقد أن هذا الهجوم السيبراني كان يهدف إلى نشر الذعر في أوكرانيا مع حشد أكثر من 150,000 جندي روسي على الحدود.

أهمية كشف الهجمات في الصراع السيبراني

إن السرعة الكبيرة في توجيه اللوم من قبل المسؤولين الأميركيين والبريطانيين تعكس تغيراً كبيراً بالنسبة للفترة الأخيرة، كما يبين كيف أصبح كشف الهجمات أداة أساسية في الصراع السيبراني للولايات المتحدة. ففي السنوات الأخيرة، استخدمت الولايات المتحدة هذه الأداة في المجال الجيوسياسي أكثر من أي دولة أخرى في العالم، وغالباً بالاشتراك مع الحلفاء في المملكة المتحدة، خصوصاً إذا كان الهدف روسيا، كما كانت هذه الحالة. 

وقالت نيوبيرغر: "سأشير إلى أن سرعة كشف هذه الهجمة ونسبها إلى مصدرها كبيرة بشكل غير اعتيادي، وقد فعلنا هذا بسبب الحاجة إلى الإشارة إلى هذا السلوك بسرعة كجزء من تحميل الدول مسؤوليتها عند القيام بنشاط سيبراني تخريبي أو مسبب للمشاكل".

تعود جذور هذه السياسة الجديدة إلى ما حدث في أعقاب الانتخابات الرئاسية الأميركية في 2016. فقد ساعد غافين وايلد، وهو مسؤول كبير في مجلس الأمن القومي ويركز على روسيا، على تأليف التقييم الاستخباراتي العام الذي يوضح بالتفصيل حملات القرصنة والمعلومات المزيفة التي وجهتها موسكو للتأثير على الانتخابات. وقد تطلب مجرد جمع كل وكالات الاستخبارات الأميركية في نفس الغرفة لتشارك المعلومات عبر عدة مستويات من السرية جهداً هائلاً من الرئيس أوباما نفسه، بمساعدة مدير الاستخبارات القومية جيمس كلابر. 

ولكن نسب هذه الحملات إلى روسيا لم يُعلن عنه حتى 2017، بعد عدة أشهر من الانتخابات نفسها.  

وقد قال وايلد لإم آي تي تكنولوجي ريفيو: "كان هناك شعور بالعجز بين الوكالات الأميركية عندما اتضح أن عامة الأميركيين هم الجمهور الذي يستهدفه الروس". 

وعلى الرغم من أن هذا التقييم أتى متأخراً، فقد كان إنجازاً مثيراً للإعجاب مقارنة بأي شيء سبقه. 

وقال وايلد: "ولكن كان هناك شعور بالفشل والعجز عن إيقاف هذه النشاطات قبل أن يتمكن الروس من زرع الروايات المطلوبة وتضخيمها من قبل أشخاص نافذين". 

اقرأ أيضاً: إيلون ماسك يفعّل أقمار ستارلينك لتوفير الإنترنت الفضائي في أوكرانيا

الطريق الطويل

لطالما كانت القرصنة البرمجية من أحد الوجوه الهامة في السياسات الدولية قبل أن تؤخذ عمليات الكشف المعلنة على محمل الجد. ولكن تقريراً عاماً حول الأمن السيبراني من شركة في القطاع الخاص، والذي انتهى به المطاف على الصفحة الأولى من نيويورك تايمز، أدى أخيراً إلى تغيير الطريقة التي يفكر بها العالم بكشف القراصنة.

وقد كان تقرير العام 2013 حول مجموعة القرصنة الصينية، والمعروف باسم "APT1"، من قبل شركة الأمن السيبراني "مانديانت" (Mandiant) الأول من نوعه في توجيه اتهام علني ومباشر إلى دولة. وقد احتاج انتقال الاتهام إلى المرحلة العلنية إلى عقد كامل من القرصنة من قبل المجموعة، بدءاً من العام 2002. 

وعندما نُشر تقرير APT1، كان شديد التفصيل، إلى درجة إشارته حتى إلى مجموعة التجسس السيبراني في جيش التحرير الشعبي الصيني، والمعروفة باسم الوحدة 61398. وبعد سنة، قدمت وزارة العدل الأميركية دعماً فعالاً للتقرير عند إدانته لخمسة ضباط من الوحدة بتهم القرصنة وسرقة الملكيات الفكرية من شركات أميركية.

يقول تيمو ستيفنز، وهو محقق ألماني مختص في التجسس السيبراني ومؤلف كتاب " Attribution of Advanced Persistent Threats ": "لقد أدى تقرير APT1 إلى تغيير جذري في حسابات الربح والمخاطرة للهجمات، فقبل ذلك التقرير، كانت العمليات السيبرانية تُعتبر أدوات شبه خالية من المخاطرة. ولم يتوصل التقرير إلى الفرضيات وحسب، بل تضمن توثيقاً واضحاً وشفافاً لأساليب التحليل ومصادر البيانات. وقد كان من الواضح أنه لم يكن مجرد صدفة سعيدة وحسب، بل منهجاً يمكن تطبيقه على العمليات والهجمات الأخرى أيضاً".

وقد كانت عواقب الأخبار المثيرة للعناوين الصحفية كبيرة وبعيدة المدى. فقد تبعتها موجة من عمليات الكشف والاتهام المماثلة، ووجهت الولايات المتحدة تهمة إلى الصين بتنفيذ عملية سرقة منهجية واسعة النطاق. ولهذا، فقد كان الأمن السيبراني محور زيارة الرئيس الصيني شي جينبينغ إلى الولايات المتحدة في 2015.

اقرأ أيضاً: كيف يمكن للهجمات السيبرانية الروسية في أوكرانيا أن تنتشر عالمياً؟

الإعلان: الخطوة المفصلية والجريئة في العملية

يقول ستيفنز: "قبل تقرير APT1، كان توجيه الاتهامات الموضوع الأهم الذي لم يجرؤ أحد على ذكره. وبرأيي، لم يكن مجرد عمل تقني كبير، بل إن اتخاذ المؤلفين ومدرائهم  الخطوة النهائية بنشر النتائج علناً كان إنجازاً جريئاً".

كان النقص يكمن في تلك الخطوة النهائية بالضبط، حيث أن ضباط المخابرات أصبحوا الآن خبراء في النواحي التقنية. وللقيام بعملية نسب هجوم سيبراني إلى مصدره، يدرس محللو الاستخبارات نطاقاً واسعاً من البيانات، بما فيها البرمجيات الخبيثة التي استخدمها القراصنة، والبنية التحتية أو الحواسيب التي استخدموها لتنسيق وشن الهجوم، والاتصالات التي تم كشفها، وهناك طبعاً السؤال التقليدي حول الجهة التي يمكن أن تستفيد من هذا الهجوم، ما يعني تحليلاً جيوسياسياً للدوافع الاستراتيجية خلف الهجوم. 

وكلما زادت كمية البيانات التي يمكن فحصها، أصبحت عملية التحديد أسهل، حيث تبدأ الأنماط بالظهور. وحتى أفضل القراصنة في العالم يرتكبون الأخطاء، ويتركون الأدلة خلفهم، ويعيدون استخدام أدوات قديمة يمكن أن تساعد على كشفهم. وقد ظهر سباق تسلح جديد بين المحللين الذين يحاولون التوصل إلى أساليب جديدة لكشف القراصنة، والقراصنة الذين يحاولون تغطية آثارهم.

اقرأ أيضاً: نظرة إلى إخفاقات تحقيقات الجرائم السيبرانية في مكتب التحقيقات الفدرالي، وروسيا، وأوكرانيا

سياسة توجيه الاتهامات

ولكن السرعة التي نُسب بها الهجوم الروسي إلى مصدره تبين أن التأخيرات السابقة في توجيه الاتهامات لم تكن عائدة ببساطة إلى نقص الأدلة أو البيانات. فقد كانت المسألة سياسية.

يقول وايلد، والذي عمل في البيت الأبيض حتى 2019: "إن الأمر يؤول في نهاية المطاف إلى وجود الإرادة السياسية، وهو ما يتطلب وجود قيادة حاسمة في جميع المستويات. لقد قادتني تعاملاتي مع آن نيوبيرغر إلى أن أعتقد بأنها من النوع الذي يتجاوز الصعوبات ويخترق الروتين عند الحاجة للتوصل إلى نتيجة. هذه هي شخصيتها".

يقول وايلد إن الاجتياح الروسي لأوكرانيا، والذي يمكن أن يؤدي إلى مئات الآلاف من الضحايا، سيدفع البيت الأبيض إلى التصرف بسرعة أكبر.

يقول وايلد: "يبدو أن الإدارة حسمت موقفها بأن أفضل وسيلة للدفاع هي الهجوم الاستباقي لهذه الروايات والسيناريوهات، ونقضها مسبقاً، وتحضير الجمهور الدولي لها، سواء أكانت عمليات اقتحام سيبرانية أو إنذارات أو ذرائع مزيفة".

يمكن للكشف العلني أن يؤثر كثيراً على الاستراتيجية السيبرانية للخصم. ويمكن أن يشير إلى أن الخصم مكشوف أمام المراقبة والإحاطة الكاملة، ويمكن أن يؤدي إلى تكاليف إضافية عندما تُكشف العمليات ويصبح التخلي عن الأدوات ضرورياً للبدء من جديد. كما يمكن أن يؤدي إلى إطلاق إجراءات سياسية، مثل العقوبات التي تُفرض على المسؤولين عن هذه العمليات.

وبنفس الأهمية، كما يقول غافين، فهي إشارة إلى العامة بأن الحكومة تقوم بمراقبة النشاط السيبراني الخبيث عن كثب، وتعمل على مواجهته. 

ويقول: "سيؤدي هذا إلى فجوة في المصداقية، خصوصاً مع الروس والصينيين. وعلى الرغم من كل محاولاتهم لإخفاء الحقائق، فإن الحكومة الأميركية ستكشف عن كل شيء للعامة بشكل تحليل جنائي لكل هذا الوقت والجهود".