«برامج الفدية» تضرب أمريكا: هل نشهد حربًا عالمية إلكترونية؟
استيقظت أمريكا في عطلة هذا الأسبوع على هجومٍ دامٍ لم ترق بسببه أي قطرة دماء.
تمثّل هذا الهجوم، في هجمة سيبرانية، استعملت ما يُعرف بـ«برامج الفدية» لضرب الكثير من المفاصل الحيوية للشركات الأمريكية، قُدِّرت بنحو 200 شركة، أبرزها شركة متخصصة في الإدارة التكنولوجية!
الحدث أثار قلق الأمريكيين، بسبب إصابة كثير من الخدمات بالشلل، ما استدعى تعليقًا سريعًا من الرئيس الأمريكي بايدن.
كالمعتاد، اتهمت واشنطن روسيا بالوقوف وراء هذه الهجمات الإلكترونية، وكالمعتاد نفت موسكو.
فما حقيقة ما جرى في هذه العُطلة الدامية، وكيف ستردّ أمريكا عليه؟
«Kaseya» تتعرض لأكبر هجوم سيبراني في التاريخ
قام قراصنة إلكترونيون، الجمعة الماضي، بالهجوم الإلكتروني على برامج إدارة التكنولوجيا المستخدمة على نطاق واسع في شركة «Kaseya» (شركة دولية تتحكم عن بُعد في برامج الشركات التي تدير بدورها خدمات الإنترنت لشركات أخرى)، التي تزود العديد من الشركات بخدمة إدارة تكنولوجيا المعلومات، ومقرها في دبلن وميامي، وقاموا بتغيير أداة تسمى «VSA»، تستخدمها الشركات، التي تقوم بدورها بنقل التكنولوجيا وتقديم خدماتها إلى شركات صغيرة، ثم تشفير ملفات العملاء.
وذكرت شركة الأمن السيبراني «Huntress»، يوم الجمعة، أنها تعتقد أن عصابة «REvil Ransomware»، المرتبطة بروسيا، هي المسؤولة عن الهجوم، (وهي نفس المجموعة التي ألقى مكتب التحقيقات الفيدرالي «FBI»، باللوم عليها في واقعة «قرصنة شركة تعبئة اللحوم JBS» في يونيو الماضي)، وأضافت أن هذا الهجوم من «برامج الفدية ransomware» على شركة واحدة، انتقل إلى 200 مؤسسة على الأقل وربما أكثر من ذلك بكثير؛ مما يجعله واحدًا من «أكبر برامج الفدية الإجرامية في التاريخ».
وعصابة «REvil»، التي نشطت منذ أبريل 2019 وتتكون بشكل كبير من قراصنة روس، تطور برامج تعرف بِاسم «برامج الفدية»، تشلُّ الشبكات، وتؤجرها لما يسمى بـ«الشركات التابعة»، التي تؤثر على الأهداف، وتطلب «فدية» -بعملات البيتكوين– من الضحايا، مقابل معالجة المشكلة وفك تشفير البيانات التي تم قرصنتها وإعادة تشغيل الأنظمة.
وتعمل «برامج الفدية» عن طريق تشفير بيانات المنظمة الضحية، بعدها يترك المجرمون تعليمات حول كيفية التفاوض على دفع الفدية، وبمجرد دفعها، يوفرون مفاتيح فك تشفير البرامج؛ للتراجع عن الضرر الواقع.
وقال «ناثان ديساتر Nathan DeSutter»، الرئيس التنفيذي لشركة «Compnology»، إن أرقام الفدية المطروحة تتفاوت بشدة على حسب كل حاجة، قد تكون 50 ألف دولار وقد تبلغ 8 ملايين دولار في حالاتٍ أخرى.
وذكرت «كاسيا Kaseya»، أن أقل من 40 عميلًا من عملائها تأثروا بالهجوم، حتى هذه اللحظة. هذه الأرقام مرشحة بالزيادة بشدة، لأن هؤلاء العملاء هم شركات كبرى يعتمد على خدماتها آلاف العملاء الآخرين. لذا طالبت «كاسيا» من عملائها بـ«ألا ينقروا على أي رابط يمكن استخدامه كسلاح للقرصنة».
وامتد تأثير الهجوم على المستوى الدولي، ففي السويد، لم تتمكن معظم متاجر سلسلة البقالة «Coop»، البالغ عددها 800 متجر، من الفتح؛ حيث كان لا يمكنها تحصيل رسوم من عملائها بسبب اختراق سجلات النقد التي توقفت عن العمل، كما تأثرت السكك الحديدية الحكومية وسلسلة صيدليات رئيسية.
ومما زاد من التعقيد، هو أن الهجوم وقع في بداية عطلة رئيسية في الولايات المتحدة، عندما لم تكن معظم فرق تكنولوجيا المعلومات في الشركات مجهزة بالكامل. وأوضح كبير الباحثين الأمنيين في «Huntress»، «جون هاموند John Hammond»، أنه «من غير المرجح أن يكون التوقيت، مصادفة. فغالبًا ما يضبط قراصنة برامج الفدية هجماتهم، للبدء في بداية عطلة أو عطلة نهاية الأسبوع؛ حتى يكون هناك عدد قليل من محترفي الأمن السيبراني، الذين قد يكونون قادرين على وقف الاختراق بسرعة، وإيقاف انتشار البرامج الضارة».
بايدن: «عصابات روسية» السبب
وجه الرئيس الأمريكي، جو بايدن، السبت، وكالات المخابرات الأمريكية، بالتحقيق في واقعة «الهجوم الإلكتروني المتطور»، الذي أصاب مئات الشركات الأمريكية، مع بدء عطلة نهاية الأسبوع (4 يوليو الجاري)، وألقى بالشكوك حول تورط «عصابات روسية».
وخلال زيارة إلى ميشيجان، سُئِل «بايدن» عن الاختراق الإلكتروني، وقال: «لسنا متأكدين من وراء الهجوم. كان التفكير الأولي أنه لم تكن الحكومة الروسية، لكننا لسنا متأكدين بعد»، وأشار إلى أنه كلّف وكالات المخابرات الأمريكية، بالتحقيق، لافتًا إلى أن الولايات المتحدة سوف ترد إذا تم إثبات أن «روسيا هي المسؤولة».
وأصدر مركز الأمن السيبراني (CCB)، تحذيرًا من «هجوم إلكتروني روسي كبير» يجري حاليًا باستخدام «برامج الفدية» التي تسمح بالاستيلاء على البيانات، مما يؤدي إلى شلّ- ليس جهازًا واحدًا- بل شبكة كاملة، مشيرًا إلى أن الهجوم بدأ من ليلة الجمعة إلى السبت، وتم تحديد 200 هدف في (الأرجنتين، وكندا، والمكسيك، وإسبانيا، وجنوب إفريقيا، والسويد، والمملكة المتحدة، والولايات المتحدة الأمريكية)، موضحًا أن «ضحايا (هجوم برامج الفدية) يجدون أن أنظمة الكمبيوتر الخاصة بهم تتجمد فجأة، وتظهر رسالة تخبر الضحية بدفع مبلغ معين قبل أن يتم إلغاء قفل الكمبيوتر».
وتسللت مثل هذه الهجمات إلى قمة أجندة الأمن السيبراني الأمريكي، بعد أن اتهمت الولايات المتحدة، المتسللين الإلكترونيين، بالعمل، بتوجيه من الحكومة الروسية.
هجمات إلكترونية «غاشمة»
وتزامنًا مع ذلك الهجوم، قالت السلطات الأمريكية والبريطانية، إن «الجواسيس الروس»، المتهمين بالتدخل في الانتخابات الأمريكية لعام 2016، قضوا معظم العامين الماضيين في استغلال الشبكات الخاصة الافتراضية (VPN)؛ لاستهداف المنظمات في جميع أنحاء العالم. لكن، نفت روسيا، الاتهام.
وأصدرت وكالات الأمن الأمريكية والبريطانية، بيانًا مشتركًا، الجمعة الماضي، ورد فيه أن وحدة المخابرات العسكرية الروسية «GRU»، نفذت هجمات إلكترونية «بالقوة الغاشمة»، ضد المئات من المواقع والأهداف الحكومية والقطاع الخاص في جميع أنحاء العالم منذ منتصف عام 2019، وقالت إن «الحملة مستمرة على الأرجح»، وتشمل أهدافها، منظمات في قطاعات تشمل الدفاع والطاقة والتعليم العالي والخدمات اللوجستية والقانون والإعلام ومراكز الفكر.
وفقًا للتقرير، أن عملاء «GRU» استهدفوا المؤسسات التي تستخدم خدمات «Microsoft Office 354 cloud»، جنبًا إلى جنب مع موفري الخدمات الأخرى وخوادم البريد الإلكتروني، كما استخدمت وحدة المخابرات العسكرية الروسية (GRU) مجموعة «Kubernetes» (مجموعة من العقد لتشغيل التطبيقات)؛ لإجراء ذلك على نطاق أوسع، كما استخدمت خدمات «VPN» التجارية، وشبكة «Tor»، في محاولة لتغطية مساراتها، وكانت أهداف (GRU) عالمية؛ حيث كان تركيزها الأساسي على المنظمات في الولايات المتحدة وأوروبا، وفقًا للوكالات الأمنية.
وتسيطر المخابرات العسكرية الروسية، المعروفة الآن باسم «إدارة المخابرات الرئيسية للأركان العامة الروسية»، على وحدة المخابرات العسكرية (GRU)، وتخضع للسيطرة المباشرة للجيش الروسي، وتم إنشاؤها في شكلها الحالي من قبل «جوزيف ستالين Joseph Stalin» في عام 1942، واستخدمت لإجراء عمليات تجسس خلال الحرب الباردة.
ويحدد التقرير المشترك، مركز الخدمة الخاصة الرئيسي رقم 85 (GTsSS) التابع لـ(GRU)، الوحدة العسكرية 26165، باعتبارها المجموعة التي تقف وراء حملة القرصنة، ويُعرف أيضًا باسم «Fancy Bear» و«APT28» و«Strontium» بين الباحثين في أمن المعلومات.
وقال نائب رئيس إدارة التحليل في Mandiant الاستخباراتية، «جون هولتكويست John Hultquist»، «إن هذه المجموعة عبارة عن مجموعة روتينية ضد صانعي السياسة والدبلوماسيين والجيش والصناعة الدفاعية»، وأضاف: «على الرغم من بذلنا قصارى جهدنا، فمن المستبعد جدًا أن نمنع موسكو من التجسس».
وأدى الاضطراب الناجم عن هذه الهجمات الإلكترونية، إلى مواجهة الرئيس الأمريكي جو بايدن، مع الرئيس الروسي فلاديمير بوتين، في قمة عُقِدت في جنيف يوم 16 يونيو الماضي، بشأن الأمن السيبراني، حيث حثّ «بايدن»، «بوتين»، على اتخاذ إجراءات صارمة ضد المتسللين الإلكترونيين من روسيا، وحذر من عواقب استمرار هجمات «برامج الفدية» على أمريكا.
روسيا تنفي
وردًا على كافة هذه المزاعم، قالت سفارة روسيا في واشنطن، الجمعة، إن موسكو تنفي «بشكل قاطع»، مزاعم القرصنة الجديدة التي وجهتها إليها السلطات الأمريكية والبريطانية.
لم تكتف روسيا بذلك، وإنما أكدت أن «هجمات مستمرة» على البنية التحتية الحيوية في روسيا تنطلق من الولايات المتحدة!
ليس الأول
في الحقيقة، لم تكن تلك هي المرة الأولى التي توجه فيها الولايات المتحدة، الاتهامات إلى روسيا في واقعة «قرصنة»، في مايو الماضي، تعطل تسليم الوقود في جنوب شرقي الولايات المتحدة لعدة أيام، عندما أغلقت شركة «كولونيال بايبلاين Colonial Pipeline»، خط الأنابيب البالغ طوله 5500 ميل، بعد تعرضه لهجوم إلكتروني، و«قرصنة شبكات الكمبيوتر الخاصة به»، ويعد من أكبر خطوط الأنابيب في الولايات المتحدة، الذي ينقل 45% من إمدادات الوقود (البنزين، والديزل، ووقود الطائرات) للساحل الشرقي، وينتقل عبر 14 ولاية في جنوب وشرق الولايات المتحدة، وذلك وفقًا لما ذكرته صحيفة «الجارديان» البريطانية.
وذكرت الشركة، عبر موقعها على الإنترنت، أنها تحمل نحو 100 مليون جالون من الوقود يوميًا، وتخدم 7 مطارات، وجاء في صحيفة «واشنطن بوست»، أن الهجوم الذي وقع كان من «برنامج فدية».
حينها كشف موقع «بلومبرج» الإخباري، أن العصابة الروسية استولت على قرابة 100 جيجابايت من البيانات من شبكة «كولونيال»، في غضون ساعتين فقط.
وردًا على ذلك، قامت إدارة الرئيس الأمريكي، جو بايدن، بإلغاء طارئ للوائح الخاصة بنقل المنتجات البترولية على الطرق السريعة؛ لتجنب الاضطرابات في إمدادات الوقود. وأثار الإغلاق بالفعل مخاوف بشأن ارتفاع أسعار البنزين والديزل، قبل ذروة موسم الصيف.
هذا الهجوم على خط الأنابيب، كان أحدث واقعة أثارت مسألة تحديث وتعزيز الأمن السيبراني في البنية التحتية الحيوية لأمريكا.
في النهاية، دفعت شركة «كولونيال بايبلاين»، 4.4 مليون دولار (3.1 مليون جنيه إسترليني)، فدية لعصابة المجرمين الإلكترونيين، المسؤولة عن قطع خط أنابيب الوقود الأمريكي.
وأوضح الرئيس التنفيذي للشركة، «جوزيف بلونت Joseph Blount»، لصحيفة «وول ستريت جورنال»، أن الشركة قررت دفع الفدية بعد مناقشات مع الخبراء الذين تعاملوا سابقًا مع «DarkSide»، المنظمة الإجرامية التي تقف وراء الهجوم.
وفي مقابل الدفع بـ«البيتكوين Bitcoin»، تلقت الشركة أداة فك تشفير؛ حتى تتمكن من فتح الأنظمة التي تعرضت للقرصنة من قبل المتسللين، واستؤنفت العمليات على خط الأنابيب.
وأضاف «بلونت»، أن الأمر سيستغرق شهورًا قبل استعادة بعض أنظمة الأعمال الأخرى، وقدّر أن الهجوم سيكلف الشركة في النهاية عشرات الملايين من الدولارات.
من ناحيتها، أقرّت عصابة «DarkSide» بالحادث، في بيان عام، وكتبت على موقعها على الإنترنت: «هدفنا هو كسب المال، وليس خلق مشاكل للمجتمع»، وأضافت: « لا نشارك في الجغرافيا السياسية، ولسنا بحاجة إلى ربطنا بحكومة محددة والبحث عن دوافعنا».
أكبر مورد للحوم في العالم يقع ضحية
وفي يونيو الماضي، تم اختراق شبكات الكمبيوتر في شركة تعبئة اللحوم «JBS»؛ مما أدى إلى إغلاق بعض العمليات مؤقتًا في أستراليا وكندا والولايات المتحدة، مع تأثر آلاف العمال، وكان الهجوم جزءًا من موجة من الهجمات باستخدام «برامج الفدية»، التي طالبت الشركة بدفع ملايين الدولارات لاستعادة السيطرة على أنظمة التشغيل الخاصة بها.
وشركة «JBS»، هي أكبر مورد للحوم في العالم من حيث المبيعات ومعالجة لحوم البقر والدواجن ولحم الخنزير من أستراليا إلى أمريكا الجنوبية وأوروبا. وفي الولايات المتحدة، تعد الشركة أكبر مصنع للحوم البقر وأكبر مورد للدجاج ولحم الخنزير؛ حيث تعالج ما يقرب من ربع لحم البقر وخُمس لحم الخنزير في البلاد، كما لدى الشركة أكثر من 150 مصنعًا في 15 دولة وما يزيد على 150 ألف موظف حول العالم.
وقالت المتحدثة باسم البيت الأبيض، «كارين جان بيير Karine Jean-Pierre»: «أخطرت شركة (JBS)، البيت الأبيض، بأن (طلب الفدية) جاء من منظمة إجرامية مقرها على الأرجح في روسيا»، وأضافت أن «البيت الأبيض يتواصل مباشرة مع الحكومة الروسية بشأن هذا الأمر، وأوصل رسالة مفادها أن الدول المسؤولة لا تأوي مجرمي برامج الفدية».
وقال «أندرو نوجيرا Andre Nogueira»، الرئيس التنفيذي لشركة اللحوم البرازيلية JBS SA، فرع الولايات المتحدة، إن الشركة دفعت 11 مليون دولار، فدية، لمجرمي الإنترنت، بـ«البيتكوين»، لحماية المصانع من مواجهة مزيد من التعطيل، وللحد من التأثير المحتمل على المطاعم ومحلات البقالة والمزارعين الذين يعتمدون على الشركة، وتابع أنه تم السداد بعد أن تم تشغيل غالبية محطات «JBS» مرة أخرى.
كيف يمكن تجنب برامج «REvil Ransomware»؟
«REvil Ransomware»، المعروف أيضًا باسم «Sodinokibi»، هو فيروس يحظر الملفات ويعتبر تهديدًا خطيرًا، وهو سلالة من «برامج الفدية»، التي تصيب نظامًا أو شبكة، وتُشفّر الملفات، وتطلب فدية لفك تشفيرها، ويتضاعف طلب الفدية إذا لم تدفع الضحية بحلول الموعد النهائي الأول، وهو مثل برامج الفدية الأخرى؛ حيث يتلقى ضحية «REvil» رسالة مفادها أن «الفدية مطلوبة للوصول إلى الملفات التي كان يمكن الوصول إليها سابقًا»، وينتشر هذا النوع عادةً على نطاق أوسع، من خلال رسائل البريد الإلكتروني المخادعة، والمرفقات المصابة بالفيروسات.
وكما هو الحال مع برامج الفدية الأخرى، فإن الحماية من هجوم «REvil» متعددة الأوجه؛ حيث يجب توعية الموظفين في المؤسسات والشركات بتجنب الروابط والمرفقات المشبوهة، إضافة إلى الاحتفاظ بنسخ احتياطية منتظمة لملفاتك؛ حتى تتمكن من استعادتها إذا كانت مشفرة، واستخدام جيل جديد من جدار الحماية مع خدمات الأمان في الوقت الفعلي، التي تتميز بوضع الحماية والتعلم الآلي والدفاعات الخالية من التوقيع، والمزيد لاكتشاف برامج الفدية وإيقافها قبل أن تصيب الشبكة.