تتسابق آلاف الشركات والحكومات لاكتشاف ما إذا كانت قد تعرضت للاختراق من قِبل القراصنة الروس الذين أفادت تقارير إخبارية أنهم تمكنوا من التسلل إلى العديد من الوكالات الحكومية الأميركية. تم الإبلاغ عن الاختراق الأولي في 13 ديسمبر، وشمل وزارة الخزانة الأميركية بالإضافة إلى وزارتي التجارة والأمن الداخلي. وقد لجأ القراصنة إلى استخدام أساليب خفية؛ ما يعني أن الأمر قد يستغرق شهوراً لتحديد هوية جميع ضحاياهم وإزالة أي برامج تجسس قاموا بتثبيتها.
لتنفيذ عملية الاختراق، قام القراصنة أولاً باقتحام أنظمة شركة سولار ويندز (SolarWinds)، وهي شركة برمجيات أميركية. بعد ذلك، أدخلوا باباً خلفياً في أوريون (Orion)، وهو أحد منتجات الشركة تستخدمه المنظمات لرؤية وإدارة الشبكات الحاسوبية الداخلية الواسعة. وعلى امتداد عدة أسابيع منذ شهر مارس، فإن أي زبون أجرى تحديثاً إلى آخر إصدار من أوريون -بدا شرعياً في حينه لأنه موقَّع رقمياً من قبل سولار ويندز- قد قام بتنزيل البرنامج المخترَق عن غير قصد، مانحاً القراصنة بذلك سبيلاً للوصول إلى أنظمته.
تمتلك سولار ويندز حوالي 300,000 عميل حول العالم، بما في ذلك معظم الشركات في قائمة فورتشن 500 والعديد من الحكومات. وفي طلب جديد أودعته الشركة لدى هيئة الأوراق المالية والبورصات، قالت إن “أقل من” 18,000 منظمة قامت بتنزيل التحديث المخترَق (قالت شركة سولار ويندز إنه من غير الواضح حتى الآن عدد هذه الأنظمة التي تم اختراقها فعلياً). تتمثل الممارسة المعيارية للأمن السيبراني في تحديث البرامج وامتلاك أحدث إصدار منها. لكن للمفارقة، فإن معظم عملاء سولار ويندز لم يتعرضوا للاختراق بسبب عدم التزامهم بهذه النصيحة.
يقول جريج توهيل، كبير مسؤولي أمن المعلومات في الحكومة الفدرالية سابقاً، إن القراصنة كانوا “أذكياء وإستراتيجيين للغاية”؛ حيث إنهم حتى بعد أن حققوا الوصول عبر الباب الخلفي في أوريون، المعروف باسم سن برست (Sunburst)، كانت حركاتهم بطيئة ومدروسة بعناية. فوفقاً لتقرير صادر عن شركة الأمن فاير آي (FireEye)، بدلاً من التسلل إلى العديد من الأنظمة في وقت واحد (الأمر الذي كان من الممكن أن يثير الشكوك بسهولة)، ركزوا على مجموعة صغيرة من الأهداف المختارة.
بقي سن برست ساكناً لمدة تصل إلى أسبوعين كاملين قبل أن يستيقظ ويبدأ في التواصل مع المتسللين، وفقاً للتقرير. ويقوم البرنامج الخبيث بتمويه حركة بياناته عبر الشبكة على أنها “برنامج تحسين أوريون”، ويخزن البيانات داخل ملفات عادية وشرعية من أجل إخفاء نفسه على نحو أفضل. كما يقوم البرنامج الخبيث بالبحث عن أدوات الأمان ومكافحة الفيروسات على الجهاز المصاب من أجل تجنبها.
وفي مسعى من القراصنة لتغطية آثارهم بشكل أكبر، حرصوا على استخدام حواسيب وشبكات لمرة واحدة من أجل التواصل مع الباب الخلفي الموجود ضمن شبكة مستهدفة، وهو ما يشبه استخدام هاتف مؤقت لإجراء محادثة غير مشروعة. كما جعلوا استخدامهم للبرامج الخبيثة محدوداً لأنه من السهل نسبياً اكتشافها. وبدلاً من ذلك، بمجرد حصولهم على الوصول الأولي عبر الباب الخلفي، كانوا يقومون غالباً بالاعتماد على أسلوب أكثر خفية يتمثل في استخدام معرّفات وصول مسروقة لاكتساب الوصول عن بعد إلى حواسيب الضحايا. وعلاوة على ذلك، فإن البرنامج الخبيث الذي قاموا بنشره لا يستخدم رمازاً برمجياً موجوداً في برمجيات خبيثة أخرى، ما زاد من صعوبة اكتشاف عملية التجسس؛ لأن برامج الحماية تبحث عن رمازات برمجية عُثر عليها في عمليات اختراق سابقة.
اختراق قائم وغير مكتشف لعدة أشهر
تعود أولى علامات حملة الاختراق إلى شهر مارس الماضي، وذلك حسب ما جاء في تقارير أمنية من شركتي مايكروسوفت وفاير آي، التي كشفت عن حدوث اختراق ذي صلة بالحملة في شبكاتها الأسبوع الماضي. وذلك يعني أنه ينبغي على أي منظمة تشتبه في أنها تعرضت للاستهداف أن تبدأ في فحص ما لا يقل عن 10 أشهر من سجلات الأنظمة بحثاً عن نشاط مشبوه، وهي مهمة تتجاوز قدرة العديد من فرق الأمن السيبراني.
وفي خطوة من شركتي فاير آي ومايكروسوفت لمساعدة المنظمات على معرفة ما إذا كانت أنظمتها قد تعرضت للاختراق أم لا، قامتا بنشر قائمة طويلة من “مؤشرات الاختراق”، وهي بيانات تحليل جنائي يمكن أن تظهر دليلاً على وجود نشاط ضار. وتشمل المؤشرات وجود نظام سن برست نفسه، بالإضافة إلى بعض عناوين بروتوكول الإنترنت (IP) المرتبطة بالحواسيب والشبكات التي استخدمها القراصنة للتواصل مع سن برست. وإذا وجد فريق ما أياً من عناوين بروتوكول الإنترنت هذه في سجلات شبكته، فهذه علامة حقيقية على الأخبار السيئة حول حدوث اختراق للشبكة. ولكن بما أن القراصنة استخدموا كل عنوان مرة واحدة فقط، فإن غياب هذه العناوين لا يضمن عدم تعرض المنظمة للاستهداف. وكذلك فإن اكتشاف وجود العناوين في سجلات الشبكة لا يعني أنه من السهل التخلص منها بنجاح؛ حيث يمكن للقراصنة أن يجولوا الشبكة ويخبئوا هذه العناوين في أماكن جديدة.
ينتمي القراصنة المشتبه بهم إلى وكالة الاستخبارات الأجنبية الروسية (SVR)، وهي وكالة الاستخبارات الأجنبية الرئيسية في البلاد. وقد كان هؤلاء القراصنة -المعروفون باسم كوزي بير (Cozy Bear) أو إيه بي تي29 (APT29)- مسؤولين عن قائمة طويلة من الاختراقات، بما في ذلك اختراق اللجنة الوطنية للحزب الديمقراطي في عام 2016، لكن روسيا تنفي تورطها في الأمر.
يقول توهيل، الذي يشغل الآن منصب رئيس شركة البنية التحتية الآمنة آبجيت فيدرال جروب (Appgate Federal Group): “لقد منحهم هذا الاختراق القدرة على الدخول إلى الشبكات الرئيسية عبر الأبواب الخلفية؛ حيث يستطيعون الكمون فيها، وسحب حركة المرور بأكملها لتحليلها. ينبغي علينا أن نولي اهتماماً وثيقاً لما يبحث عنه هؤلاء القراصنة، والمواقع الأخرى التي يحتمل تواجدهم فيها، والمواقع التي يكمنون فيها للتنصت؛ حيث إنهم إذا تمكنوا من الوصول، فلن يتخلوا بسهولة عن القدرات التي يمنحهم إياها”.