3 أسباب وراء صعوبة كشف الهجوم الإلكتروني على المؤسسات الأميركية

فيما تتواصل التداعيات المخيفة والمقلقة للهجوم الإلكتروني الواسع النطاق، على المؤسسات الأميركية الكبرى والحساسة، نشر خبير بارز بأمن المعلومات تحليلاً تقنياً للهجمات، قال فيه إن الجانب الأخطر في هذه الهجمة لا يتمثل في ما تمت سرقته وتسريبه من بيانات فائقة الحساسية، وإنما في الفشل الكبير في رصدها منذ البداية، والصعوبة الشديدة في اكتشافها، حتى تمكن المهاجمون من الوصول بها إلى هذه الدرجة من النجاح.

وحدد الخبير التقني والمحلل في موقع «سي إس أو»، المتخصص في مجال التقنية وأمن المعلومات csoonline.com، لوسيان كونستانتين، ثلاثة أسباب جعلت الهجوم على المؤسسات الأميركية صعب الاكتشاف، أولها يتعلق بنقطة البدء بالهجوم، والتي تمت خارج المؤسسات المستهدفة أصلاً، والثاني يتعلق بطريقة وزمن نشر البرمجيات الخبيثة المستخدمة في الهجوم، واستخدم فيها أسلوب «التنقيط بالقطارة»، والثالث يتعلق بالتنفيذ الفعلي للهجمات، والذي تم عبر الخلط بين الحذف والإنشاء المتبادل للأدوات الشرعية والخبيثة.

وأكد في تحليله، الذي نشر في 18 ديسمبر الجاري، أن الهجوم من نوعية وقع مثلها عام 2012، عبر أحد برمجيات «مايكروسوفت»، وفي عام 2017 عبر برمجيات شركة «نيت ساراناج»، المتخصصة في برمجيات إدارة الحاسبات الخادمة.

نوعية الهجمة

ووفقاً للتحليل، فقد اختار المهاجمون نوعية من الهجمات يطلق عليها هجمات «سلسلة إمداد وتوريد البرامج»، ويقصد بها اختيار نقطة الضعف التي تمثل موطئ القدم الأولى للهجوم خارج المؤسسات المستهدفة أصلاً، وبعيداً عن كل ما تضعه لنفسها من دفاعات ونظم حماية. وتتطلب هذه النوعية من الهجمات مسح الأسواق، سعياً وراء برمجيات شائعة الانتشار تحصل عليها المؤسسات المستهدفة من شركات برمجيات موثوق بها، ويتم الاعتماد عليها بصورة دائمة، ثم تكثيف البحث، سعياً وراء اكتشاف أخطاء برمجية تمثل نقاط ضعف، يمكن من خلالها اختراق هذه البرامج، لاستخدامها كوسيلة لنقل الأكواد الخبيثة والبرامج التابعة للمهاجمين، إلى قلب شبكات المعلومات والأنظمة القائمة لدى المؤسسات المستهدفة، دون تحمل عناء المواجهة الصريحة مع نظم الحماية والتأمين القائمة بها.

وفي الهجوم الحالي، وقع الاختيار على حزمة برمجيات تدعى «أوريون»، متخصصة في أعمال إدارة ومراقبة أداء شبكات المعلومات داخل المؤسسات الكبرى، وهي من إنتاج شركة «سولار ويند»، التي تعد واحدة من أكثر شركات البرمجة موثوقية واحترافية في هذا المجال. ووفقاً لما قاله الخبير، فإن المهاجمين ركزوا جهودهم على هذه الحزمة البرمجية، حتى تمكنوا من رصد ثغرة برمجية موجودة بها، وقابلة للاستغلال، وهنا توفرت لهم نقطة البداية لتنفيذ الهجوم، بعيداً تماماً عن دفاعات وأنظمة أمن المؤسسات المستهدفة.

أدوات الهجوم

اختار المهاجمون تكتيكاً يعتمد على الصبر والبطء والنفس الطويل، فزرعوا أكوادهم الخبيثة بطريقة «التنقيط بالقطارة»، أي توصيلها إلى أماكنها المخفية في برمجيات شركة «سولار ويند»، عبر أجزاء خفيفة ضعيفة قليلة للغاية، جزءاً وراء الآخر، بحيث لا تلفت النظر، كأن شخصاً يستخدم قطارة لوضع قطرات ماء في إناء.. نقطة نقطة.

وفي هذا السياق، نقل كونستانتين عن مسؤولين في شركة «فاير آي» المتخصصة في أمن المعلومات، أن عملية تقطير الأكواد داخل حزمة «أوريون»، ربما تكون قد بدأت في مارس 2020، وهنا تمت عملية النشر في صمت مطبق، ودون أن تلفت نظر أحد، لكون الجميع مطمئناً إلى موثوقية ونظافة حزمة «أوريون»، وبالتالي وصلت الأكواد الخبيثة لأهدافها من وراء ظهر كل أنظمة الحماية والتأمين القائمة بهذه المؤسسات قاطبة.

وبحسب الخبير، فإن قائمة عملاء «سولار ويند»، التي كانت مذكورة على موقعها قبل افتضاح أمر الهجوم، كانت تضم أكثر من 400 مؤسسة مصنفة ضمن قائمة «فورشتن» لأكبر المؤسسات العالمية، ومن بينها أكبر 10 شركات اتصالات وتقنية أميركية، وأكبر خمس شركات محاسبة أميركية، فضلاً عن جميع فروع الجيش الأميركي، والبنتاغون، وزارتي الخارجية والمالية.

تنفيذ الهجوم

بعد توصيل حمولة الأكواد الخبيثة بهذه الطريقة، لم يتسرع المهاجمون ويشنوا هجماتهم بصورة مباشرة، وإنما لجأوا إلى اتباع طريقة ملتوية، لا تلفت الأنظار، ويصعب اكتشافها أيضاً، فمن خلال الوصول إلى الشبكات عبر ثغرة حزمة «أوريون»، استطاع المهاجمون الحصول على بيانات الاعتماد والصلاحيات التي تمكنهم من بناء «كيانات شرعية» لأنفسهم داخل أنظمة وتطبيقات وقواعد بيانات هذه المؤسسات، ومن ثم الوصول إلى كل البيانات الحساسة، باعتبارهم موظفين أو مديرين يعملون بها فعلياً.

مزيد من التمويه

إمعاناً في التمويه، استخدم المهاجمون أسلوباً خلطوا فيه بين الأدوات الشرعية وغير الشرعية، في دورات متتالية، لمحو آثارهم، فاستخدموا أدواتهم الخبيثة في إنشاء أدوات وكيانات شرعية، نفذوا بها عمليات التجسس والسرقة، ثم استخدموا الأدوات الشرعية في محو الأدوات الخبيثة، ثم أعادوا الكرة مرات عدة، الأمر الذي شكل صعوبة كبيرة في عملية الرصد والاكتشاف، وبدأ التنبه لهذا الأمر، بعدما تحولت الدورات المتكررة من الإنشاء والحذف إلى «سلوك شاذ»، قابل للملاحظة.. لكن بعد فوات الأوان وحدوث الهجوم.