ستستغرق الحكومة الأميركية فترة تتراوح بين عام و18 شهراً للتعافي الكامل من الاختراق الذي تعرضت له شركة سولار ويندز (SolarWinds)، وفقاً لما ذكره رئيس الوكالة التي تقود عملية التعافي في واشنطن.
تم اكتشاف حملة القرصنة ضد الوكالات الحكومية والشركات الكبرى في الولايات المتحدة لأول مرة في شهر نوفمبر 2020. وقد استهدفت الحملة ما لا يقل عن تسع وكالات فدرالية، بما في ذلك وزارة الأمن الداخلي ووزارة الخارجية. واستغل المهاجمون -الذين يعتقد المسؤولون الأميركيون أنهم روس- أحد منتجات شركة البرمجيات الأميركية سولار ويندز، لاختراق الأهداف الحكومية والشركات.
ويقول براندون ويلز، القائم بأعمال مدير وكالة الأمن السيبراني وأمن البنية التحتية (CISA)، إن المسؤولين لن يتمكنوا من تأمين الشبكات الحكومية التي تعرضت للاختراق من قِبل القراصنة الروس بشكل كامل قبل عام 2022. بل حتى الفهم الكامل لمدى الضرر الذي وقع سيستغرق شهوراً.
ويضيف: “لن أقول إن الأمر بسيط؛ فالاستجابة لهذا الحادث تتكون من مرحلتين. هناك جهود للإصلاح على المدى القصير، ونحن نسعى من خلالها إلى إزالة الخصوم من الشبكة، وإغلاق الحسابات التي يسيطرون عليها، وإغلاق نقاط الدخول التي استخدموها للوصول إلى الشبكات. ولكن بالنظر إلى المدة الزمنية التي قضوها داخل هذه الشبكات -التي امتدت على مدار شهور- فإن التعافي الإستراتيجي سيستغرق بعض الوقت”.
“بالنظر إلى المدة الزمنية التي قضوها داخل هذه الشبكات -التي امتدت على مدار شهور- فإن التعافي الإستراتيجي سيستغرق بعض الوقت”.
– براندون ويلز، القائم بأعمال مدير وكالة الأمن السيبراني وأمن البنية التحتية (CISA).
عندما ينجح القراصنة بشكل كامل ولفترة طويلة، فإن الحل في بعض الأحيان قد يكون إعادة بناء كاملة من الصفر. لقد حرص القراصنة على تقويض الثقة في الشبكات المستهدفة، وسرقة الهويات، واكتساب القدرة على انتحال شخصيات المستخدمين الشرعيين أو إنشاء حسابات لمستخدمين يبدون شرعيين، من أجل الوصول بحرية إلى حسابات الضحايا على خدمتي مايكروسوفت 365 وأزور (Azure). ومن خلال السيطرة على الثقة والهوية، يصبح تعقب القراصنة أكثر صعوبة.
يقول ويلز: “إن معظم الوكالات التي تمر بهذا المستوى من إعادة البناء ستستغرق ما بين 12 شهراً إلى 18 شهراً للتأكد من أنها تستخدم تدابير الحماية المناسبة”.
وتشير وكالات الاستخبارات الأميركية إلى أن القراصنة الروس تسللوا لأول مرة عام 2019. وقد أظهرت تحقيقات لاحقة أنهم بدؤوا يستخدمون منتجات الشركة لتوزيع البرنامج الخبيث بحلول شهر مارس 2020، وتم تنفيذ أول اختراق ناجح للحكومة الفدرالية الأميركية في وقت مبكر من الصيف. ويُعد هذا وقتاً طويلاً ليمر دون أن يلاحظ أحد ما يجري، أطول حتى من الوقت الذي تحتفظ فيه العديد من المؤسسات بهذا النوع المُكلف من السجلات الجنائية الذي يحتاجه المرء لإجراء التحقيقات اللازمة لتتبع القراصنة.
يتم استخدام أوريون (Orion) -المنتج الذي تصنعه سولار ويندز لإدارة الشبكات، والذي تم استهدافه- في عشرات الآلاف من الشركات والوكالات الحكومية. وقد قامت أكثر من 17 ألف مؤسسة بتنزيل الباب الخلفي المُخترق. كان القراصنة متخفين ومحددين على نحو غير عادي في اختيار أهدافهم، ولهذا السبب استغرق الأمر وقتاً طويلاً للإمساك بهم، واستغرق وقتاً طويلاً أيضاً لفهم التأثير الذي أحدثوه بالكامل.
وقد قدم رئيس شركة مايكروسوفت، براد سميث، موجزاً عن صعوبة الكشف عن حجم الأضرار، خلال جلسة استماع عقدها الكونجرس الأسبوع الماضي.
وقال: “من الذي يعرف كل ما حدث هنا؟ في الوقت الحالي، المهاجم هو الشخص الوحيد الذي يعرف كل ما فعله”.
من جانبه، أبلغ كيفين مانديا، الرئيس التنفيذي لشركة فاير آي (FireEye) الأمنية، التي أطلقت أولى التنبيهات بشأن الهجوم، الكونجرس أن القراصنة جعلوا التخفي أولوية فوق كل شيء آخر.
وقال إن “التعطيل كان من الممكن أن يكون أسهل مما فعلوه. لقد نفذوا عملية سرقة مركزة ومنظمة للبيانات، وكان من الأسهل حذف كل شيء في ضربة قوية وهائلة ومعرفة ما سيحدث. في الحقيقة، لقد قاموا بأكثر مما كان يتطلبه الأمر للتخريب”.
“هذا الأمر له جانب إيجابي”
علمت وكالة الأمن السيبراني وأمن البنية التحتية لأول مرة بوجود مشكلة عندما اكتشفت شركة فاير آي أنها قد اُخترقت وأبلغت الوكالة. تعمل الشركة عن كثب وبانتظام مع حكومة الولايات المتحدة، وعلى الرغم من أنها لم تكن ملزمة قانوناً بإخبار أي شخص عن الاختراق، إلا أنها سرعان ما شاركت أنباء الاختراق مع شبكة الشركات الحساسة.
كانت مايكروسوفت هي التي أبلغت الحكومة الأميركية أن الشبكات الفدرالية قد تم اختراقها. وقال ويلز في مقابلة إن الشركة أطلعته على هذه المعلومات يوم 11 ديسمبر. رصدت مايكروسوفت اقتحام القراصنة لسحابة مايكروسوفت 365، التي تستخدمها العديد من الوكالات الحكومية. وبعد يوم واحد، أبلغت فاير آي الوكالة بوجود “الباب الخلفي” في سولار ويندز، وهي أداة غير معروفة لكنها قوية ومنتشرة على نطاق واسع للغاية.
يشير ذلك إلى أن حجم الاختراق قد يكون هائلاً. وقد انتهى الأمر بمحققي وكالة الأمن السيبراني إلى العمل خلال العطلات لمساعدة الوكالات على تعقب القراصنة الموجودين في شبكاتها.
وتعقدت هذه الجهود على نحو أكبر لأن ويلز كان قد تولى للتو زمام الأمور في الوكالة، فقبل أيام، كان دونالد ترامب قد طرد المدير السابق للوكالة، كريس كريبس؛ لكشفه مراراً وتكراراً زيف المعلومات المضللة التي تصدر عن البيت الأبيض حول سرقة الانتخابات.
وفي حين ركزت عناوين الأخبار على التأثير المباشر لإقالة كريبس على تأمين الانتخابات، كان لدى ويلز الكثير من المهام ليقوم بها.
في الوقت الحالي، يواجه المسؤول الجديد في وكالة الأمن السيبراني ما يصفه بأنه “أكثر حوادث القرصنة التي واجهتها الوكالة تعقيداً وصعوبة”.
وبات من شبه المؤكد أن يُعجل هذا الاختراق بالصعود الواضح بالفعل للوكالة، من خلال زيادة تمويلها وسلطتها والدعم الذي تتمتع به.
وكانت وكالة الأمن السيبراني قد مُنحت مؤخراً السلطة القانونية لتعقب التهديدات الإلكترونية باستمرار عبر مختلف أروقة الحكومة الفدرالية، لكن ويلز يقول إن الوكالة تفتقر إلى الموظفين والموارد اللازمة للقيام بهذه المهمة. ويوضح أنها لا بد أيضاً من أن تكون قادرة على نشر وإدارة أنظمة الكشف عن نقاط النهاية على أجهزة الحاسوب في مختلف دوائر الحكومة الفدرالية، حتى تتمكن من اكتشاف السلوكيات الخبيثة. وأخيراً، وفي إشارة إلى حقيقة أن القراصنة كانوا يتحركون بحرية عبر سحابة مايكروسوفت 365، يقول ويلز إن الوكالة ينبغي أن تضغط من أجل زيادة الوضوح في البيئة السحابية؛ لاكتشاف التجسس السيبراني في المستقبل.
وفي العام الماضي، كان أنصار الوكالة يضغطون من أجل أن تصبح وكالة الأمن السيبراني الرئيسية في البلاد. ويمكن أن تكون هذه الكارثة السيبرانية غير المسبوقة هي الحافز الذي تحتاجه.
وقال مارك مونتجمري، الذي شغل منصب المدير التنفيذي للجنة “سايبر سبيس سولاريوم كوميشن”، في مكالمة هاتفية: “إن هذا الأمر له جانب إيجابي. فهذا الهجوم يُعد أحد أبرز الأعمال السيبرانية الخبيثة التي تم ارتكابها ضد حكومة الولايات المتحدة حتى الآن. وستستمر القصة في التفاقم لعدة أشهر مع فهم المزيد عما حدث، وهو ما سيساعد الإدارة المقبلة في التركيز على هذه المسألة. إن لديهم الكثير من الأولويات؛ لذا، فإن مجال الأمن السيراني كان من السهل أن يضيع وسط هذه الفوضى، لكن هذا لن يحدث الآن”.