قام قراصنة وظفتهم الحكومة الصينية باختراق عدد من شركات الاتصالات الكبرى حول العالم في حملة تجسس سيبراني دامت سنتين على الأقل، وذلك وفقاً لتقرير استشاري جديد من وكالات الأمن الأميركية.
ويدعي التقرير أن القراصنة تمكنوا من اختراق أهدافهم باستغلال ثغرات حساسة قديمة ومعروفة بشكل جيد في أنواع واسعة الانتشار من العتاد الصلب الشبكي. وبعد الدخول إلى الأنظمة المستهدفة، كان القراصنة يستخدمون الأجهزة المخترقة للوصول بشكل كامل إلى حركة المرور في الشبكة لعدة شركات خاصة ووكالات حكومية، كما قال المسؤولون الأميركيون.
اقرأ أيضاً: لم يعد حكراً على الوكالات فقط: استخدام متزايد لهجوم اليوم صفر من قبل المجرمين السيبرانيين الأثرياء
ولكن التقرير الاستشاري لم يتضمن أسماء تلك الشركات التي أثرت عليها الحملات، ولم يدخل في تفاصيل آثار عملية الاختراق. إلا أن المسؤولين الأميركيين أشاروا إلى الأجهزة الشبكية المحددة، مثل الموجّهات (أو الراوترات (routers)) والمبدّلات الشبكية (switches)، والتي يُعتَقد بأن القراصنة الصينيين استهدفوها بشكل متكرر، مستغلين ثغرات خطيرة ومعروفة للغاية، بحيث تمكنوا عملياً من السيطرة على الأهداف بالكامل.
وحذر التقرير الاستشاري الأميركي قائلاً: "غالباً ما يتجاهل مسؤولو الحماية هذه الأجهزة، وينشغلون بمتابعة الإصلاحات البرمجية الروتينية والخدمات المتصلة بالإنترنت والأجهزة الطرفية".
يمثل التقرير الاستشاري الجديد أحدث مثال عن نقلة كبيرة في وكالات الاستخبارات الأميركية من حيث الابتعاد عن سياسة الصمت والسرية. وحالياً، تتحدث هذه المؤسسات علناً وبصورة متكررة لإصدار توجيهاتها حول الأمن السيبراني. وقد تم تصميم الوثيقة الجديدة لمساعدة الضحايا على كشف وطرد القراصنة الذين كانوا يخترقون شبكات الضحايا لسنوات عديدة.
كما يمثل التقرير شيئاً آخر أيضاً، فهو تحذير حول الحاجة إلى اتخاذ إجراءات الأمن السيبراني الأساسية في بعض أهم الشبكات في العالم.
اقرأ أيضاً: كيف نحمي أنظمة الذكاء الاصطناعي من الهجمات السيبرانية؟
احتمال مرتفع للتعرض لهجمات خطرة
تمثل شركات الاتصالات أهدافاً بالغة الأهمية لوكالات الأمن والاستخبارات. فهذه الشركات تقوم ببناء وتشغيل معظم البنية التحتية للإنترنت، إضافة إلى الكثير من الشبكات الخاصة حول العالم. ويمكن أن يؤدي اختراقها إلى فتح أبواب عريضة من فرص التجسس الثمينة.
ويوجد لدى الولايات المتحدة تاريخ موثق من هذه الهجمات. فقد قامت وكالة الأمن القومي، على سبيل المثال، باختراق شركة "هواوي" (Huawei) العملاقة في مجال الاتصالات والإنترنت، وتقول التقارير إن هذا الاختراق كان يهدف إلى التجسس على الشركة نفسها، واستغلال ثغرات منتجات الشبكات والاتصالات التي تبيعها هواوي في كافة أنحاء العالم. ومن المفارقة أن هذه العملية تُعزى جزئياً إلى المخاوف الأميركية المتواصلة من إمكانية استخدام بكين لتجهيزات هواوي للتجسس على المصالح الأميركية.
وفي الحملة السيبرانية الجديدة التي تحدث عنها التقرير، أورد التقرير أن القراصنة الصينيين استغلوا ثغرات في تجهيزات شبكية من شركات كبيرة، مثل "سيسكو" (Cisco) و "سيتريكس" (Citrix) و"نيت غير" (Netgear). وجميع هذه الثغرات كانت معروفة للعامة، بما فيها ثغرة يبلغ عمرها خمس سنوات في موجّهات "نيت غير" الشبكية، وتسمح للمهاجمين بتجاوز عملية التحقق والمصادقة، وتنفيذ أي تعليمات برمجية يريدونها، وهي ثغرة تسمح بالاستيلاء على الجهاز بالكامل وتحويله إلى نافذة مفتوحة ضمن شبكة الضحية.
اقرأ أيضاً: أحدث التهديدات السيبرانية التي تواجه الشركات في 2022
يمثل نجاح الحملة مثالاً صارخاً على الخطر الذي تمثله الثغرات والأخطاء البرمجية، حتى بعد سنوات من اكتشافها والإعلان عنها. فعمليات الهجوم دون انتظار (zero-day attacks) –وهي هجمات تستغل ثغرات برمجية لم تكن معروفة من قبل- شديدة التأثير وتتطلب الانتباه والمعالجة على الفور. ولكن الثغرات المعروفة تبقى خطراً ماثلاً طوال الوقت، لأن تحديث الشبكات والأجهزة وتعزيز حمايتها قد يكون أمراً صعباً عند عدم توافر الموارد أو الموظفين أو الأموال.
وقد شرح المسؤول الكبير في وكالة الأمن القومي روب جويس، أن التقرير الاستشاري يهدف إلى تقديم تعليمات مفصلة حول كشف القراصنة وطردهم. وأورد في إحدى تغريداته قائلاً: "حتى نطرد القراصنة الصينيين، علينا أن نفهم تفاصيل هذا العمل بشكل جيد، ونكشفهم بشكل يتجاوز اكتشاف عملية الدخول وحسب".
ويعكس جويس محتويات التقرير الاستشاري، والذي يوجه شركات الاتصالات بتطبيق ممارسات الأمن السيبراني الأساسية، مثل الحفاظ على تحديث الأنظمة الحساسة، وتفعيل عملية المصادقة متعددة المعاملات، والتخفيف من التواصل بين الشبكات الداخلية وشبكة الإنترنت.
اقرأ أيضاً: ما هي تفاصيل الخطة الهادفة إلى إصلاح الإخفاقات الأميركية المتكررة في الأمن السيبراني؟
عملية الاختراق
ووفقاً للتقرير الاستشاري، فإن عمليات التجسس الصينية بدأت، كما تبدأ عادة، باستخدام القراصنة لأدوات مسح مفتوحة المصدر، مثل "راوتر سبلويت" (RouterSploit) و"راوتر سكان" (RouterScan)، وذلك لمسح الشبكات المستهدفة وتحديد الشركات المصنعة للموجّهات وغيرها من الأجهزة الشبكية، وطرازات هذه الأجهزة، وإصداراتها، والثغرات المعروفة فيها.
وباستخدام هذه المعلومات، تمكن القراصنة من استغلال الثغرات القديمة وغير المُعَالَجة للوصول إلى الشبكات، ومن هناك، اختراق الخوادم التي تؤمّن عمليات المصادقة وتحديد الهوية للمؤسسات المستهدفة. وقام القراصنة بسرقة أسماء المستخدمين وكلمات المرور، وأعادوا ضبط الموجّهات الشبكية، وتمكنوا من إعادة توجيه حركة مرور البيانات للشبكة المستهدفة، ونسخ هذه البيانات إلى أجهزتهم الخاصة. وباستخدام هذه الأساليب، تمكن القراصنة من التجسس عملياً على كل ما يجري في المؤسسة.
وبعد ذلك، قام القراصنة بحذف جميع ملفات السجلات عن جميع الأجهزة التي شملها الهجوم في محاولة لتدمير جميع الأدلة على هذا الهجوم. لم يشرح المسؤولون الأميركيون كيف تمكنوا في نهاية المطاف من اكتشاف الاختراق على الرغم من محاولة المهاجمين تغطية آثارهم.
اقرأ أيضاً: هل يمكن الوثوق بمنتجات شركة كاسبرسكي الروسية المختصة بالأمن السيبراني؟
كما حذف الأميركيون التفاصيل حول الهوية التفصيلية لمجموعات القرصنة التي يتهمونها بتنفيذ الهجوم، إضافة إلى الأدلة التي يمتلكونها والتي تشير إلى تورط الحكومة الصينية.
يمثل هذا التقرير الاستشاري إنذاراً آخر أطلقته الولايات المتحدة حول الصين. وقد قال نائب مدير مكتب التحقيقات الفدرالي بول أبيت في خطاب ألقاه مؤخراً إن الصين "تقوم بتنفيذ عمليات اختراق سيبرانية أكثر من باقي بلدان العالم مجتمعة". وتنكر الحكومة الصينية، وبشكل متواصل، أي تورط لها في حملات قرصنة ضد بلدان أخرى. كما أن السفارة الصينية في واشنطن العاصمة لم تستجب لطلبنا بإدلاء تعليق.