ترايتون هو أكثر البرامج الخبيثة فتكاً في العالم وهو آخذ في الانتشار

11 دقيقة
مصدر الصورة: أرييل ديفيز

باعتباره واحداً من أوائل المستجيبين الخبراء في الفضاء السيبراني، تم استدعاء جوليان جوتمانيس مرات كثيرة من قبل لمساعدة الشركات على التعامل مع الآثار المترتبة على الهجمات السيبرانية. إلا أنه عندما تم استدعاء المستشار الأمني الأسترالي إلى مصنع للبتروكيماويات في المملكة العربية السعودية في صيف عام 2017، فإن ما اكتشفه جعل الدم يتجمد في عروقه.

كان القراصنة قد نشروا برنامجاً خبيثاً، يمكّنهم من السيطرة على أنظمة الأمان المزودة بالأدوات الآلية في المصنع. تُعدّ وحدات التحكم الفيزيائية هذه والبرامج المرتبطة بها خط الدفاع الأخير ضد الكوارث التي تهدد الأرواح.

حيث يُفترض بها أن تؤدي دورها إذا اكتشفت أوضاعاً خطرة، حيث تعيد العمليات إلى مستويات آمنة، أو تقوم بإيقافها كلياً من خلال الإيعاز لأشياء مثل صمامات الإغلاق وآليات تحرير الضغط بالعمل.

أتاح البرنامج الخبيث إمكانية الاستيلاء على هذه الأنظمة عن بعد. إذا قام المتطفلون بتعطليها أو العبث بها، ثم استخدموا برمجيات أخرى لتعطيل عمل المعدات والأجهزة في المصنع، فقد تكون العواقب وخيمة.

لحسن الحظ، تسبب خطأٌ في الرماز البرمجي بكشف أمر القراصنة قبل أن يتمكنوا من إحداث أي ضرر. حيث أثار استجابة نظام الأمان في يونيو 2017، والتي قامت بإيقاف المصنع عن العمل. بعد ذلك وفي شهر أغسطس، تم فصل العديد من الأنظمة الأخرى بسبب الحمل الزائد، مما تسبب بتوقف المصنع عن العمل مرة أخرى.

نُسب التعطل الأول خطأً إلى خلل ميكانيكي؛ ولكن مالكي المصنع استدعوا المحققين بعد حدوث التعطل الثاني. عثر المحققون على البرنامج الخبيث، والذي أطلق عليه منذ ذلك الحين اسم "ترايتون" (أو "ترايسيس" في بعض الأحيان) نسبةً إلى نموذج وحدات التحكم بالأمان من ترايكونيكس الذي قام بإثارته، والذي قامت بتصنيعه شركة شنايدر إلكتريك الفرنسية.

في أسوأ الحالات، كان من الممكن أن يؤدي الرماز البرمجي المخادع إلى إطلاق غاز كبريتيد الهيدروجين السام أو التسبب في حدوث انفجارات، مما يعرض الأرواح للخطر سواء في المنشأة أو في المنطقة المحيطة بها.

يشير جوتمانيس إلى أن التعامل مع البرنامج الخبيث في مصنع البتروكيماويات، والذي أُعيد تشغيله بعد الحادثة الثانية، كان تجربة مرهقة للأعصاب. يقول جوتمانيس: "كنا نعلم أنه لا يمكننا الاعتماد على سلامة وتكامل أنظمة الأمان. لقد كان الوضع سيئاً إلى أبعد حد ممكن".

خلال الهجوم الإلكتروني على المصنع، اتخذ القراصنة خطوة مخيفة لا يمكن الرجوع عنها. فقد كانت المرة الأولى التي يشهد فيه عالم الأمن السيبراني رمازاً برمجياً تم تصميمه بشكل مدروس ليعرض حياة الناس للخطر. لا تتواجد أنظمة الأمان المزودة بالأدوات الآلية في مصانع البتروكيماويات فحسب، فهي تمثل أيضاً خط الدفاع الأخير في كل شيء، من أنظمة النقل إلى منشآت معالجة المياه، وصولاً إلى محطات الطاقة النووية.

إن اكتشاف ترايتون يثير أسئلة عن كيفية تمكّن القراصنة من التسلل إلى هذه الأنظمة بالغة الأهمية. كما أنه يأتي في وقت تقوم فيه المنشآت الصناعية بإدماج الاتصالات في جميع أنواع المعدات، وهي ظاهرة تُعرف باسم إنترنت الأشياء الصناعي. يتيح هذا الترابط الشبكي للعمال مراقبة المعدات عن بعد وجمع البيانات بسرعة حتى يتمكنوا من جعل العمليات أكثر كفاءة، ولكنه يمنح القراصنة أيضاً المزيد من الأهداف المحتملة.

إن المسؤولين عن ترايتون يبحثون الآن عن ضحايا جدد. من جهتها دراجوس – الشركة المتخصصة في الأمن السيبراني الصناعي، وحيث يعمل جوتمانيس حالياً – تقول إنها اطلعت على أدلة على مدى السنة الماضية أو نحو ذلك بأن مجموعة القرصنة التي طورت البرنامج الخبيث وزرعته في أنظمة المصنع السعودي، تستخدم عدداً من التكتيكات الرقمية التجسسية ذاتها التي تُستخدم في عمليات البحث عن الأهداف في أماكن خارج الشرق الأوسط، بما في ذلك أميركا الشمالية. وهي تبتكر إصدارات جديدة من الرماز البرمجي بهدف تعريض نطاق أوسع من أنظمة الأمان المزودة بالأدوات الآلية للخطر.

حالة طارئة قصوى

تم كشف الستار عن أنباء وجود ترايتون في ديسمبر 2017، على الرغم من التكتم على هوية الجهة المالكة للمصنع. حيث رفض جوتمانيس وغيره من الخبراء المشاركين في التحقيقات الأولية تسمية الشركة، لأنهم يخشون من أن يؤدي ذلك إلى ثني الأهداف المستقبلية عن مشاركة المعلومات المتعلقة بالهجمات السيبرانية بصورة سرية مع الباحثين الأمنيين.

على مدى العامين الماضيين، كانت شركات الأمن السيبراني تتسابق لإزالة البرمجيات الخبيثة ولتحديد من يقف وراءها. يرسم بحثها صورة مثيرة للقلق لسلاح سيبراني متطور تم بناؤه ونشره على يد مجموعة قرصنة تتحلى بالتصميم والصبر، والتي لم يتم تحديد هويتها بعد على وجه اليقين.

يبدو أن القراصنة تمكنوا من الولوج إلى شبكة تكنولوجيا المعلومات الموحدة العاملة في شركة البتروكيماويات منذ العام 2014. وانطلاقاً من تلك الثغرة، تمكنوا في نهاية المطاف من العثور على طريقة للوصول إلى الشبكة الخاصة بالمصنع، على الأرجح من خلال ثغرة في أحد جدران الحماية الحاسوبية الرقمية التي تم تكوين إعداداتها بشكل سيء، والذي كان يفترض به أن يمنع الوصول غير المصرح به. ثم تمكنوا بعد ذلك من الولوج إلى إحدى محطات العمل الهندسية، إما باستغلال خلل لم يتم إصلاحه في الرماز البرمجي لنظام ويندوز، أو عن طريق اعتراض بيانات تسجيل الدخول لأحد الموظفين.

بما أن المحطة تواصلت مع أنظمة أمان المصنع المزودة بالأدوات الآلية، تمكن القراصنة من التعرف على اسم المصنّع والطراز لوحدات التحكم بالمكونات المادية للأنظمة، بالإضافة إلى إصدارات البرامج الثابتة لكل منها. والبرنامج الثابت firmware هو برنامج يتم إدماجه ضمن ذاكرة الجهاز، ويتحكم بطريقة تواصله مع الأشياء الأخرى.

من المرجح أنهم تمكنوا بعد ذلك من الاستحواذ على آلة مماثلة لآلات شنايدر واستخدموها لاختبار البرنامج الخبيث الذي قاموا بتطويره. أتاح هذا الأمر إمكانية تقليد البروتوكول، أو مجموعة من القواعد الرقمية، التي استخدمتها محطة العمل الهندسية للتواصل مع أنظمة الأمان. كما أن القراصنة عثروا أيضاً على نقطة ضعف مناسبة لشن "هجوم دون انتظار zero-day"، أو خلل لم يكن معروفاً من قبل في البرنامج الثابت لنماذج أجهزة ترايكونيكس. سمحت لهم هذه الثغرة في بحقن الرماز البرمجي داخل ذواكر أنظمة الأمان التي ضمنت لهم إمكانية الوصول إلى وحدات التحكم متى أرادوا ذلك.

وبالتالي، ربما أوعز المتسللون لأنظمة الأمان المزودة بالأدوات الآلية بتعطيل نفسها، ثم استخدموا برنامجاً خبيثاً آخر لإثارة وضعية غير آمنة داخل المصنع.

قد تكون النتائج مروعة، كما أن أسوأ كارثة صناعية شهدها العالم حتى الآن تضمنت تسرباً للغازات السامة. ففي ديسمبر 1984، أطلق مصنع للمبيدات الحشرية تابع لشركة يونيون كاربايد في مدينة بوبال في الهند سحابة هائلة من الأبخرة السامة، مما أسفر عن مقتل الآلاف وتسبب في تعرض عدد أكبر بكثير لإصابات خطيرة. كان المسبب في ذلك الوقت هو الصيانة الرديئة والخطأ البشري، ولكن عدم وجود أنظمة أمان تعمل بشكل صحيح وفعال في المصنع، كان معناه أن خط الدفاع الأخير فيه قد فشل.

المزيد من الحالات الطارئة القصوى

ليس هناك سوى بضعة أمثلة على قراصنة يحاولون إحداث اضطراب في العالم المادي باستخدام الفضاء السيبراني. تشمل هذه الأمثلة كلاً من ستوكسنت، الذي تسبب بخروج المئات من أجهزة الطرد المركزية عن السيطرة وتدمير نفسها عام 2010، وكراش أوفررايد، الذي استخدمته مجموعة من القراصنة الروس في 2016 للهجوم على شبكة الكهرباء في أوكرانيا. نعرض لكم فيما يلي موجزاً عن هذه الهجمات وغيرها من الهجمات السيبرانية الفيزيائية البارزة.

بعض التهديدات السيبرانية الفيزيائية البارزة

  • 2010 ستوكسنت ?

تم تطوير ستوكسنت من قبل وكالة الأمن القومي الأميركية، بالتعاون مع الاستخبارات الإسرائيلية، وهو عبارة عن دودة حاسوبية Worm، أو رماز برمجي يستنسخ نفسه من حاسوب إلى آخر من دون تدخل بشري. وقد تم تهريبها إلى داخل المنشأة الهدف في الغالب على وحدة تخزين فلاشية USB، حيث استهدفت وحدات التحكم المنطقية القابلة للبرمجة التي تتولى إجراء العمليات المؤتمتة، وتسببت في تدمير أجهزة الطرد المركزي المستخدمة في تخصيب اليورانيوم في إحدى المنشآت داخل إيران.

  • 2013 هافيكس ?️‍♂️

تم تصميم هافيكس للتجسس على الأنظمة التي تتحكم في المعدات الصناعية، ومن المفترض أن يتمكن القراصنة من تحديد كيفية شن الهجمات على الآلات والتجهيزات. كان الرماز البرمجي عبارة عن حصان طروادة حاسوبي للولوج عن بعد (RAT)، وهو تعبير سيبراني يستخدم لوصف برنامج يتيح للقراصنة التحكم في الحواسيب عن بعد. وقد استهدف هافيكس الآلاف من الشركات الأميركية والأوروبية والكندية، ولا سيما تلك العاملة في مجال قطاعات الطاقة والبتروكيماويات.

  • 2015 بلاك إنرجي ⚡️ 

بلاك إنيرجي هو حصان طروادة حاسوبي آخر، تم تداوله في عالم الجريمة السري لفترة من الوقت قبل أن يتم تطويعه من قبل قراصنة روس لشن هجوم في ديسمبر 2015 على العديد من شركات الطاقة الأوكرانية، ليتسبب بحدوث انقطاعات في التيار الكهربائي. تم استخدام هذا البرنامج الخبيث لجمع معلومات استخباراتية عن أنظمة شركات الطاقة، ولسرقة بيانات تسجيل الدخول من الموظفين.

  • 2016 كراش أوفررايد ⚡️

يُعرف أيضاً باسم إندستروير، تم تطويره على يد محاربين سيبرانيين روس أيضاً، والذين استخدموه لشن هجوم على جزء من الشبكة الكهربائية الأوكرانية في ديسمبر 2016. حيث قام البرنامج الخبيث باستنساخ البروتوكولات، أو لغات التواصل، التي تستخدمها العناصر المختلفة من الشبكة الكهربائية للتخاطب بين بعضها البعض. مكّنه هذا الأمر من القيام بأشياء مثل إظهار أن قاطع إحدى الدارات الكهربائية مغلق في حين أنه مفتوح في الواقع. تم استخدام الرماز البرمجي لمهاجمة إحدى المحطات الفرعية لنقل الكهرباء في كييف، مما أدى إلى انقطاع الكهرباء عن جزء من المدينة لفترة قصيرة.

مع ذلك، فإن حتى أكثر المنجمين السيبرانيين تشاؤماً لم يشهدوا ظهور برنامج خبيث مثل ترايتون. من جهته جو سلويك، وهو ضابط سابق في حرب المعلومات في البحرية الأميركية والذي يعمل أيضاً في دراجوس، يوضح قائلاً: "لقد بدا أن استهداف أنظمة الأمان قد تجاوز الحدود من الناحية الأخلاقية، وصعباً للغاية من الناحية التقنية".

كما أُصيب خبراء آخرون بالصدمة عندما اطلعوا على الأنباء المتعلقة بالرماز البرمجي المدمر. من جهته برادفورد هيجرات، الاستشاري في شركة أكسينتشر والمتخصص في الأمن السيبراني الصناعي يقول: "حتى في حالة ستوكسنت والبرمجيات الخبيثة الأخرى، لم يكن هناك أي نية صريحة لإيذاء الناس على الإطلاق".

يكاد يكون مؤكداً أنه ليس من قبيل الصدفة أن البرنامج الخبيث ظهر عندما قام قراصنة من دول مثل روسيا وإيران وكوريا الجنوبية بتكثيف عمليات بحثهم عن قطاعات "البنية التحتية الحيوية" التي تلعب دوراً حساساً في إدارة الاقتصادات الحديثة بشكل سلس، مثل شركات النفط والغاز، والمرافق الكهربائية، وشبكات النقل.

في خطاب ألقاه العام الماضي، حذّر دان كوتسمدير الاستخبارات القومية الأميركيةمن أن خطر وقوع هجوم سيبراني مدمر على البنية التحتية الأميركية يتنامى. وقد أجرى مقارنة مع التهديدات السيبرانية المتزايدة التي رصدتها وكالات الاستخبارات الأميركية بين الجماعات الإرهابية قبل هجوم مركز التجارة العالمي في عام 2001. يقول كوتس: "نحن اليوم على بعد عقدين من الزمن مما جرى تقريباً، وأنا هنا لأقول إن إشارات الإنذار تومض باللون الأحمر من جديد". ويضيف: "إن البنية التحتية الرقمية التي تخدم هذا البلد اليوم، معرضة للهجوم بالمعنى الحرفي للكلمة".

في البداية، كان يُعتقد على نطاق واسع أن ترايتون عملٌ إيراني، بالنظر إلى أنها والمملكة العربية السعودية تناصبان العداء لبعضهما البعض. ولكن تحديد هوية الجناة السيبرانيين نادراً ما تكون عملية بسيطة. ففي تقرير صدر في أكتوبر الماضي، كانت فاير آيوهي شركة للأمن السيبراني تم استدعاؤها في بداية التحقيقات المتعلقة بترايتونقد أشارت إلى جانٍ مختلف: وهو روسيا.

قام القراصنة المسؤولين عن ترايتون باختبار عناصر من الرماز البرمجي الذي استُخدم في عملية التسلل لتصعيب الأمر على برامج مكافحة الفيروسات في الكشف عنها. وقد عثر باحثو فاير آي على ملف رقمي تركه القراصنة على الشبكة الخاصة بشركة البتروكيماويات، ثم تمكنوا بعد ذلك من تعقب عدد من الملفات الأخرى انطلاقاً من الحاسوب الاختباري نفسه. تضمن هذه الملفات العديد من الأسماء المكتوبة بالأحرف السيريلية، بالإضافة إلى عنوان إنترنت IP تم استخدامه لتشغيل العمليات المرتبطة بالبرنامج الخبيث.

كان ذلك العنوان مسجلاً باسم معهد البحوث العلمية المركزي للكيمياء والميكانيك في موسكو، وهو مؤسسة مملوكة للحكومة الروسية، ولها أقسام تركز على البنية التحتية الحيوية والأمان الصناعي. كما قالت فاير آي أيضاً إنها عثرت على دليل يشير إلى تورط أحد الأساتذة العاملين في المعهد، على الرغم من أنها لم تذكر اسم هذا الشخص. ومع ذلك، ذكر التقرير أن فاير آي لم تعثر على أدلة محددة تثبت بشكل قاطع أن المعهد قد قام تطوير ترايتون.

لا يزال الباحثون يبحثون بشكل متعمق عن منشأ البرنامج الخبيث، لذلك قد تظهر المزيد من النظريات حول من يقف وراءه. ويحرص جوتمانيس في الوقت نفسه على مساعدة الشركات في تعلم دروس هامة من تجربته في المصنع السعودي. ففي عرض تقديمي في مؤتمر S4X19 للأمن السيبراني الصناعي الذي أقيم في يناير الماضي، أوضح جوتمانيس عدداً منها.

تضمنت هذه الدروس الهامة حقيقة مفادها أن ضحية هجوم ترايتون قد تجاهلت العديد من إنذارات مكافح الفيروسات التي أثارها البرنامج الخبيث، وأنها قد فشلت في رصد جزء من حركة البيانات غير العادية عبر شبكاتها الحاسوبية. كما أن هناك عاملين في المصنع قد تركوا مفاتيح فيزيائية للتحكم في الإعدادات على أنظمة ترايكونيكس في وضعية تسمح بالوصول إلى برمجيات الآلات عن بعد.

ترايتون: جدول زمني

  • 2014

تمكن القراصنة من الولوج إلى الشبكة الحاسوبية الخاصة بالمصنع السعودي

  • يونيو 2017

توقف المصنع عن العمل لأول مرة

  • أغسطس 2017

توقف المصنع عن العمل للمرة الثانية

  • ديسمبر 2017

تم الإعلان عن الهجوم السيبراني

  • أكتوبر 2018

تقول فاير آي إن ترايتون تم تطويره على الأرجح في أحد المختبرات الروسية

  • يناير 2019

ظهر المزيد من التفاصيل حول عملية التصدي لحادثة ترايتون

إذا أدى ذلك إلى إظهار الشركات السعودية وكأنها عاجزة من الناحية الأمنية، فإن جوتمانيس يقول إنها ليست كذلك. حيث يوضح قائلاً: "لقد دخلت الكثير من المصانع في الولايات المتحدة، والتي كانت بعيدة كل البعد عن هذه المؤسسة من حيث النضج في مقاربتها للأمن السيبراني".

ويشير خبراء آخرون إلى أن ترايتون يُوضح أن القراصنة الحكوميين مستعدون الآن لمهاجمة حتى الأهداف الغامضة نسبياً والتي يصعب اختراقها في المنشآت الصناعية. إن أنظمة الأمان المزودة بالأدوات الآلية مصممة إلى حد كبير لكي تحمي أنواعاً مختلفة من العمليات، لذا فإن ابتكار برنامج خبيث للتحكم بها يتطلب الكثير من الوقت والجهود المضنية. فوحدة التحكم ترايكونيسك من شنادير إلكتريك على سبيل المثال، يتم تصنيعها وفق عشرات النماذج المختلفة، وكل منها يمكن شحنه بإصدار مختلف من البرنامج الثابتة.

لقد أدى بلوغ القراصنة تلك الدرجة الكبيرة من المقدرة على تطوير ترايتون إلى قرع ناقوس الخطر بالنسبة لشنايدر وغيرها من مصنعي أنظمة الأمان المزودة بالأدوات الآلية، وهي شركات مثل إميرسون في الولايات المتحدة، ويوكوجاوا في اليابان. وقد أشادت شنايدر بالمشاركة العلنية للتفاصيل المتعلقة بكيفية استهداف القراصن لنموذجها المسمى ترايكونيكس في المصنع السعودي، بما في ذلك تسليط الضوء على ثغرة الهجوم-دون-انتظار التي تم تصحيحها منذ ذلك الوقت. ولكن خلال عرضه التقديمي في يناير الماضي، انتقد جوتمانيس الشركة لفشلها في التواصل بالشكل الكافي مع المحققين عقب الهجوم مباشرة.

حيث ردت شنايدر قائلة إنها قد تعاونت بالكامل مع الشركة التي استُهدف مصنعها، وكذلك مع وزارة الأمن الداخلي الأميركية والوكالات الأخرى التي شاركت في التحقيقات الخاصة بترايتون. وقد وظفت المزيد من الأشخاص منذ وقوع الحادثة لمساعدتها على التصدي للحوادث المستقبلية، كما أنها عززت أيضاً من أمن البرامج الثابتة والبروتوكولات المستخدمة في أجهزتها.

من جهته آندرو كلينج، وهو مسؤول تنفيذي في شنايدر، يقول إن أحد الدروس المهمة المستفادة من اكتشاف ترايتون، هو أن الشركات الصناعية ومصنعي المعدات يحتاجون إلى التركيز بشكل أكبر على المجالات التي قد تبدو أهدافاً مستبعدة إلى حد كبير بالنسبة للقراصنة، ولكن تعرضها للاختراق قد يؤدي إلى عواقب كارثية.

تتضمن هذه المجالات أشياء مثل التطبيقات البرمجية التي نادراً ما تستخدم، والبروتوكولات القديمة التي تحكم الاتصالات المتبادلة بين الآلات. يقول كلينج: "قد تعتقد أنه لا أحد سيتكبد عناء كسر بروتوكول مبهم لم يتم توثيقه حتى الآن". ويضيف: "ولكن عليك أن تسأل: ماذا ستكون العواقب إذا تمكنوا من ذلك؟".

مصدر الصورة: أرييل ديفيز

هل سنشهد مستقبلاً مماثلاً؟

على مدى العقد الماضي أو نحو ذلك، قامت الشركات بإضافة الاتصال بالإنترنت وأجهزة الاستشعار إلى جميع أنواع المعدات الصناعية. ويتم استخدام البيانات التي يجري تحصيلها في إنجاز كل شيء، بدءاً من الصيانة التنبؤيةالتي تعني استخدام نماذج التعلم العميق لتحسين توقع الأوقات التي تحتاج فيها المعدات للصيانةوصولاً إلى الضبط الدقيق للعمليات الإنتاجية. وهناك أيضاً اندفاع كبير نحو التحكم في العمليات عن بعد من خلال أشياء مثل الهواتف الذكية والأجهزة اللوحية.

يمكن لكل هذا أن يجعل الشركات أكثر كفاءة وإنتاجية، مما يفسر السبب في أنه من المتوقع لها أن تنفق نحو 42 مليار دولار هذا العام على معدات الإنترنت الصناعية مثل أجهزة الاستشعار الذكية وأنظمة التحكم الآلي، وذلك وفقاً لمجموعة ARC Group، التي تتتبع السوق. لكن المخاطر جلية أيضاً: فكلما ازداد عدد المعدات والتجهيزات المترابطة شبكياً، كلما وجد القراصنة أهدافاً لاختراقها.

لصد المهاجمين، عادة ما تعتمد الشركات الصناعية على استراتيجية تُعرف باسم "الدفاع في العميق". هذا يعني إنشاء طبقات متعددة من التدابير الأمنية، بدءاً من جدران الحماية الحاسوبية لفصل شبكات الشركات عن الإنترنت. وتهدف الطبقات الأخرى إلى منع القراصنة القادرين على الولوج الفعلي إلى هذه الشبكات من الوصول إلى شبكات المصانع، ومن ثم منعهم من الوصول إلى أنظمة التحكم الصناعي.

تتضمن هذه الدفاعات أشياء مثل أدوات مكافحة الفيروسات للكشف عن البرمجيات الخبيثة، والاعتماد على نحو متزايد على برمجيات للذكاء الاصطناعي تحاول اكتشاف السلوكيات الشاذة داخل أنظمة تكنولوجيا المعلومات. ومن ثم، وباعتبارها الخط النهائي للمساندة، هناك أنظمة الأمان المزودة بالأدوات الآلية وأنظمة الأمان الطارئة الفيزيائية. عادة ما تمتلك الأنظمة الأكثر أهمية نسخاً احتياطية فيزيائية متعددة للحيلولة دون فشل أي عنصر من عناصرها.

أثبتت هذه الاستراتيجية متانتها، لكن ظهور قراصنة الدول القومية المسلحين بالوقت، والمال، والدافع لاستهداف البنى التحتية الحيوية، بالإضافة إلى الاستخدام المتزايد للأنظمة المتصلة بالإنترنت، كل ذلك يعني أن الماضي قد لا يكون دليلاً موثوقاً يُسترشد به نحو المستقبل.

فقد أظهرت روسيا على وجه الخصوص، أنها مستعدة لتسليح البرمجيات ونشرها ضد الأهداف المادية في أوكرانيا، والتي استخدمتها كميدان اختباري لمجموعتها من الأسلحة السيبرانية. واستخدام ترايتون في المملكة العربية السعودية يظهر أن القراصنة العازمين على تحقيق مآربهم، سوف يقضون سنوات من التفحص والاستقصاء للعثور على طرق لاختراق جميع هذه الطبقات الدفاعية.

لحسن الحظ، تم اعتراض القراصنة الذين هاجموا المصنع السعودي، ونحن الآن نعرف الكثير عن كيفية عملهم. ولكنها عبرة تذكرنا بأن القراصنة يقترفون الأخطاء أيضاً، مثل غيرهم من المطورين تماماً. ماذا لو أن الخطأ الذي ارتكبوه عن غير قصد، بدلاً من التسبب بإجراء إطفاء آمن، قام بتعطيل أنظمة الأمان في المصنع في اللحظة التي يتسبب فيها ارتكاب خطأ بشري أو غيره من الأخطاء بخروج إحدى العمليات الحساسة في المصنع عن السيطرة؟ ربما كانت النتيجة عندها كارثية حتى لو لم يقصد المخترقون التسبب بها.

إن الخبراء في أماكن مثل مختبر إيداهو الوطني في الولايات المتحدة يحثون الشركات على إعادة النظر في عملياتها كافة في ضوء حادثة ترايتون، وغيره من التهديدات السيبرانية، والحد بشكل جذري، أو القضاء على المسارات الرقمية التي يمكن للقراصنة استخدامها في الوصول إلى العمليات الحرجة.

قد تستاء الشركات من التكاليف اللازمة للقيام بذلك، ولكن ترايتون يمثل رسالة تذكير بأن المخاطر تتزايد. يعتقد جوتمانيس أن وقوع المزيد من الهجمات التي تستخدم أكثر البرمجيات الخبيثة فتكاً هو أمر يبدو حتمياً.

يقول جوتمانيس: "على الرغم من أن هذا الهجوم هو الأول من نوعه، فإنني سأتفاجأ إذا تبين أنه الأخير".

المحتوى محمي