- كشفت فرق الأمن في جوجل عملية اختراق دامت تسعة أشهر بشكل علني.
- ما لم يُعلَن عنه: أن هذا الإجراء قد أدى إلى إيقاف عملية نشطة مضادة للإرهاب كانت تجريها إحدى الحكومات الغربية.
- أثار هذا القرار الذعر في جوجل وفي كل مكان آخر.
تجري جوجل بعضاً من أفضل عمليات الأمن السيبراني في العالم، وعلى سبيل المثال، يعمل فريقها بروجيكت زيرو على اكتشاف ثغرات أمنية خطيرة وغير معروفة، في حين تقوم مجموعة تحليل المخاطر بالتصدي لعمليات الاختراق المدعومة حكومياً بشكل مباشر، بما فيها حكومات كوريا الشمالية والصين وروسيا. تمكن هذان الفريقان مؤخراً من التقاط هدف كبير، وهو عبارة عن مجموعة قرصنة من المستوى "الخبير" تقوم باستغلال 11 ثغرة خطيرة لاختراق أجهزة تعمل بأنظمة آي أو إس وأندرويد وويندوز.
غير أن إم آي تي تكنولوجي ريفيو اكتشفت أن القراصنة المعنيين كانوا في الواقع عملاء حكوميين غربيين ينفذون عملية نشطة لمكافحة الإرهاب. وقد تسبب قرار الشركة بإيقاف العملية والإعلان عن الهجوم انقساماً داخلياً في جوجل، وأثار العديد من التساؤلات في الأوساط الاستخبارية للولايات المتحدة وحلفائها.
وقد أورد زوج من التدوينات التابعة لجوجل تفاصيل ثغرات الهجوم دون انتظار التي اكتشفت الفرق أن القراصنة كانوا يستغلونها على مدى تسعة أشهر. تعود عمليات الاختراق إلى بدايات العام 2020، وتعتمد على أساليب جديدة تماماً، وكانت عبارة عن هجمات يُطلق عليها اسم هجمات "برك شرب الماء"، حيث يتم استخدام مواقع ويب مصابة لنقل البرامج الخبيثة إلى زوارها. وقد لفتت أنظار خبراء الأمن السيبراني بسبب حجمها وتعقيدها وسرعتها.
غير أن إعلان جوجل تجاهل -وبشكل مفضوح- ذكرَ بعض التفاصيل الأساسية، مثل هويات المسؤولين عن الاختراق والمستَهدفين، إضافة إلى معلومات فنية هامة حول البرامج الخبيثة أو النطاقات المستخدمة في العملية. وعلى الأقل، عادة ما يتسرب جزء من هذه المعلومات على الأقل إلى العامة بطريقة أو بأخرى، ما دعا أحد خبراء الأمن إلى انتقاد التقرير واصفاً إياه بأنه "ثقب مظلم".
"أسئلة أخلاقية مختلفة"
عادة ما تقوم الشركات الأمنية بإيقاف عمليات اختراق تقوم بها الحكومات الصديقة، غير أن هذه الإجراءات لا يُعلَن عنها إلا فيما ندر. واستجابة لهذه الحادثة، قال بعض موظفي جوجل إن مهمات مكافحة الإرهاب يجب أن تكون خارج نطاق التداول العام، على حين يعتقد آخرون أن الشركة كانت محقة تماماً في اتخاذ هذا الإجراء، وأن الإعلان يهدف إلى حماية المستخدمين وجعل الإنترنت أكثر أماناً.
قال أحد الناطقين باسم جوجل في تصريح: "يهدف بروجيكت زيرو إلى اكتشاف وإصلاح ثغرات الهجوم دون انتظار، ونشر الأبحاث التقنية المصممة لتعزيز فهم الأوساط البحثية للثغرات الأمنية وأساليب الاختراق الجديدة. ونعتقد أن مشاركة هذا البحث ستؤدي إلى وضع إستراتيجيات دفاعية أفضل وزيادة أمن الجميع. غير أن عملنا البحثي لا يتضمن نسب الأساليب والعمليات المكتشفة إلى جهات محددة".
من الصحيح أن بروجيكت زيرو لا ينسب عمليات الاختراق رسمياً إلى مجموعات محددة، ولكن مجموعة تحليل المخاطر -التي عملت أيضاً على هذا المشروع- تقوم بهذا الأمر. ولم تكتفِ جوجل بحذف اسم الحكومة التي تقف خلف عمليات الاختراق، بل حذفت الكثير من التفاصيل الأخرى، وقد عرفت الفرق الأخرى ضمن جوجل، عبر هذه المعلومات، هويات المخترِقين وأهدافهم. وليس من المعروف ما إذا كانت جوجل قد أبلغت مسؤولي الحكومة المعنية أنها ستنشر الخبر وستوقف طريقة الهجوم.
ولكن، وكما يقول أحد كبار المسؤولين السابقين في الاستخبارات الأميركية، فإن تحديد العمليات الغربية والتعرف عليها أمر ممكن.
"هناك علامات فارقة تتميز بها العمليات الغربية، وهي غير موجودة لدى الكيانات الأخرى، ويمكن أن تراها متجسدة في التعليمات البرمجية".
وقد قال المسؤول السابق، الذي لا يحمل تصريحاً بالتعليق على العمليات، وتحدث معنا بشرط الحفاظ على سرية هويته: "هناك علامات فارقة تتميز بها العمليات الغربية، وهي غير موجودة لدى الكيانات الأخرى، ويمكن أن تراها متجسدة في التعليمات البرمجية". "وهنا أعتقد أننا نتعامل مع إحدى المسائل الأخلاقية الأساسية؛ حيث إن طريقة التعامل مع النشاط الاستخباري أو نشاط فرض القانون الخاضع للإشراف الديمقراطي ضمن حكومة تمثيلية مُنتَخَبة بشكل قانون تختلف بشكل جذري عما يحدث لدى نظام قمعي".
"حيث إن هذا الإشراف مدمج في العمليات الغربية على المستوى الفني ومستوى الأساليب المستخدمة والمستوى الإجرائي".
وجدت جوجل أن مجموعة القرصنة كانت تستغل 11 ثغرة هجوم دون انتظار على مدى تسعة أشهر وحسب، وهو رقم كبير من الثغرات بالنسبة لفترة قصيرة كهذه. وتتضمن البرمجيات التي تعرضت إلى الهجوم: متصفح سفاري على أجهزة آيفون، إضافة إلى الكثير من منتجات جوجل، بما فيها متصفح كروم على هواتف أندرويد وحواسيب ويندوز.
ولكن الاستنتاج السائد في جوجل يقول إن هوية المخترِقين وسبب الاختراق ليسا أبداً بأهمية العيوب الأمنية نفسها؛ ففي وقت سابق من هذه السنة، قالت مادي ستون من بروجيكت زيرو إنه من السهل للغاية على القراصنة أن يكتشفوا ثغرات هجوم دون انتظار كبيرة ويستغلوها، وأن فريقها يخوض معركة شاقة في كشف هذه الاختراقات.
وبدلاً من التركيز على هوية منفذ عملية معينة وهوية المستهدف، قررت جوجل أن تتخذ إجراءات عامة للجميع. وكان التبرير لهذه الإجراءات هو أن هذه الثغرات سيتم استغلالها من قِبل جهات أخرى في نهاية المطاف، حتى لو كانت الجهة التي تستغلها حالياً حكومة غربية، ولهذا فإن الخيار الصحيح هو إصلاحها في أسرع وقت ممكن.
"تحديد الجهة المسؤولة ليس من اختصاصهم"
ليست هذه على الإطلاق المرة الأولى التي كشف فيها فريق أمن سيبراني قراصنة من بلدان حليفة، غير أن بعض الشركات تتبع سياسة هادئة تقوم على عدم الكشف عن هذه العمليات علناً إذا كان فريق الأمن ومجموعة القراصنة من بلدان صديقة، كأن يتبعوا، على سبيل المثال، لتحالف "الأعين الخمسة" الاستخباري، المكون من الولايات المتحدة والمملكة المتحدة وكندا وأستراليا ونيوزيلندا. تتضمن فرق جوجل الأمنية عدة مخضرمين من الوكالات الاستخبارية الغربية، بل إن بعضهم شارك في حملات قرصنة لصالح تلك الحكومات.
وفي بعض الحالات، ستقوم الشركات الأمنية بتنظيف البرامج الخبيثة "الصديقة" مع تجنب الإعلان عن هذا.
تقول ساشا رومانوسكي، وهي مسؤولة سابقة في البنتاجون ونشرت بحثاً منذ فترة وجيزة حول تحقيقات الأمن السيبراني للقطاع الخاص: "لا تقوم هذه الشركات عادة بنسب العمليات في الولايات المتحدة إلى منفذيها. وقد قالوا لنا إنهم سيتركون هذا الموضوع بالتحديد وشأنه، فليس تحديد الجهة المسؤولة من اختصاصهم، ولهذا كانوا يتنحّون جانباً بكل تهذيب. وليس هذا بالأمر المستغرب".
قد يُعد الوضع الحالي لجوجل غريباً من بعض النواحي، ولكن كانت هناك حالات مشابهة نوعاً ما في الماضي. فقد تعرضت شركة الأمن السيبراني الروسية كاسبيرسكي إلى انتقادات حادة في 2018 عندما كشفت عملية سيبرانية بقيادة الولايات المتحدة لمكافحة الإرهاب ضد أفراد من داعش والقاعدة في الشرق الأوسط. وعلى غرار جوجل، لم تقم كاسبيرسكي بتحديد الجهة المسؤولة عن العملية بصورة مباشرة، ولكنها كشفتها على أي حال وقضت بذلك على أي فرصة لنجاحها، كما قال المسؤولون الأميركيون، ما أدى إلى خسارة العملاء لإمكانية الوصول إلى برامج مراقبة قيمة، بل أدى حتى إلى تعريض حياة الجنود على الأرض إلى الخطر.
وفي ذلك الوقت، كانت كاسبيرسكي تواجه انتقادات حادة أيضاً بسبب علاقتها مع الحكومة الروسية، وفي نهاية المطاف، تم حظر الشركة من الأنظمة الحكومية الأميركية. لطالما أنكرت الشركة وجود أي علاقة خاصة مع الكرملين.
وقد وجدت جوجل نفسها أيضاً في وضع مشابه من قبل؛ ففي 2019، نشرت الشركة بحثاً حول ما يُحتمل أنه مجموعة قرصنة أميركية، على الرغم من أنها لم تنسب العمليات إلى أي جهة محددة. ولكن البحث كان يتحدث عن عملية تاريخية تمت سابقاً. أما إعلانها الجديد، فقد سلط الضوء على ما كان عبارة عن عملية تجسس سيبراني نشطة.
من الذي تتم حمايته؟
إن مستوى الذعر والاستنفار الذي أثاره هذا الإعلان على مستوى الحكومة وفي جوجل يبين أن الشركة أصبحت في موقف صعب.
حيث إن فرق الأمن في جوجل تتحمل مسؤولية تجاه عملاء الشركة، ومن المتوقع منها عموماً أن تقوم بأقصى ما يمكن لحماية المنتجات -وبالتالي المستخدمين- من الهجوم. وفي هذه الحادثة، من الملفت للنظر أن التقنيات المستخدمة لم تؤثر فقط على منتجات جوجل مثل كروم وأندرويد، بل أيضاً على أجهزة آيفون.
وفي حين أن الفرق المختلفة تحدد معاييرها وأساليب عملها بنفسها، فقد اكتسب بروجيكت زيرو سمعته من مواجهة الثغرات الحساسة في جميع أنحاء الإنترنت، وليس في منتجات جوجل فحسب.
وقد قالت مادي ستون -وهي من أكثر أفراد الفريق الأمني احتراماً وتقديراً- في تغريدة كتبتها بعد نشر هذا البحث الأحدث: "إن كل خطوة نتخذها نحو زيادة صعوبة استغلال ثغرات الهجوم دون انتظار ستجعلنا أكثر أماناً".
ولكن، وعلى الرغم من أن حماية الزبائن من الهجوم ما زالت مهمة، يقول البعض إن عمليات مكافحة الإرهاب مختلفة؛ حيث يمكن أن تؤدي إلى عواقب تتعلق بالحياة والموت بشكل يتجاوز مشاكل أمن الإنترنت اليومية.
"إن مستوى الإشراف على ما تقوم به وكالات الأمن القومي فعلياً -حتى في الديمقراطيات الغربية- أقل بكثير مما لدينا في الولايات المتحدة في الكثير من الحالات".
وعندما يعثر القراصنة المدعومون حكومياً في البلدان الغربية على عيوب في الأمن السيبراني، فهناك أساليب معتمدة لحساب المضار والفوائد المحتملة للإعلان عن الثغرات الأمنية للشركة المتأثرة بها. وفي الولايات المتحدة تسمى هذه الأساليب "عملية موازنة الثغرات". ويشعر المنتقدون بالقلق من احتكار الاستخبارات الأميركية لعدد كبير من الثغرات، غير أن النظام الأميركي أكثر التزاماً بالرسميات وأكثر شفافية واتساعاً مما هو موجود في جميع بلدان العالم تقريباً، بما في ذلك البلدان الغربية الحليفة. وتهدف العملية إلى السماح للمسؤولين الحكوميين بموازنة فوائد الحفاظ على سرية الثغرات للاستفادة منها في الأغراض الاستخبارية مع الفوائد الأشمل للكشف عنها للشركات التقنية لإصلاحها.
في السنة الماضية، قررت وكالة الأمن القومي اتخاذ إجراء غير اعتيادي بالإعلان عن مسؤوليتها عن الكشف عن ثغرة قديمة في مايكروسوفت ويندوز؛ حيث إن هذا النوع من التقارير التي تقدمها الحكومة إلى الشركات يبقى عادة مجهول المصدر، بل سرياً في أغلب الأحيان.
ولكن على الرغم من أن عمليات الكشف التي يقوم بها نظام الاستخبارات الأميركي يمكن أن تفتقر إلى الشفافية، فإن العمليات المشابهة في البلدان الغربية الأخرى تكون غالباً أصغر حجماً، وأكثر سرية، أو ببساطة غير رسمية، ويمكن بالتالي تجاوزها بسهولة.
يقول مايكل داننيل، الذي كان منسق البيت الأبيض للأمن السيبراني في إدارة أوباما: "إن مستوى الإشراف على ما تقوم به وكالات الأمن القومي فعلياً، حتى في الديمقراطيات الغربية، أقل بكثير مما لدينا في الولايات المتحدة في الكثير من الحالات".
"حيث إن الإشراف البرلماني أقل مستوى بكثير. ولا تمتلك تلك البلدان الترابط القوي بالعمليات بين الوكالات كما في الولايات المتحدة. لا أقصد التبجح بمكانة الولايات المتحدة -فلدينا الكثير من المشاكل- ولكن هذا المجال هو أحد المجالات التي نمتلك فيها عمليات راسخة ومتماسكة غير موجودة لدى الديمقراطيات الغربية الأخرى ببساطة".
كانت مجموعة القرصنة التي تصدت لها جوجل تحتفظ بعدد كبير من ثغرات الهجوم دون انتظار وتستغلها بسرعة كبيرة، وهو ما يمكن أن يشير إلى اختلال خطير في التوازن. ولكن بعض المراقبين يشعرون بالقلق من إيقاف عمليات مكافحة الإرهاب في لحظات قد تكون حاسمة دون إمكانية إعادة إطلاقها ثانية بسرعة.
يقول المسؤول السابق الكبير في الاستخبارات الأميركية: "لا يمتلك حلفاء الولايات المتحدة جميعاً القدرة على إعادة بناء عمليات كاملة مثل بعض الأطراف الأخرى". وكما شرح المسؤول، فإن دواعي القلق حول خسارة الوصول إلى إحدى الثغرات أو كشف العملية من قبل الهدف تكون كبيرة للغاية في عمليات مكافحة الإرهاب، خصوصاً خلال "فترات التعرض والاحتكاك الشديد" عندما تكون عمليات الاختراق واستغلال الثغرات في أعلى وتيرة لها. من المرجح أن تكون قدرة جوجل على إيقاف عملية كهذه مصدراً للمزيد من النزاع والخلافات.
يقول المسؤول: "ما زالت هذه المسألة في حاجة للمعالجة بشكل جيد. وما زال المسؤولون يحاولون، وببطء، استيعاب قدرة جهة مثل جوجل على تدمير كل هذه الإمكانات بهذه السرعة".