تحول هجوم متطور استهدف برامج البريد الإلكتروني التجارية المستخدمة على نطاق واسع لشركة "مايكروسوفت" إلى أزمة أمن إلكتروني عالمية، حيث يتسابق القراصنة لإصابة أكبر عدد ممكن من الضحايا قبل أن تتمكن الشركات من تأمين أنظمة الكمبيوتر الخاصة بها.
وأسفر الهجوم، الذي قالت شركة "مايكروسوفت" إنه بدأ بمجموعة قرصنة إلكترونية مدعومة من الحكومة الصينية، حتى الآن عن اختراق حسابات ما لا يقل عن 60 ألف ضحية معروفة على مستوى العالم، وفقا لمسؤول أمريكي كبير سابق مطلع على التحقيق. ويبدو أن العديد من الشركات الصغيرة أو متوسطة الحجم جرى الإيقاع بها في شرك شبكة واسعة ألقاها المهاجمون بينما تعمل شركة "مايكروسوفت" على إيقاف الاختراق.
ويشمل الضحايا الذين جرى تحديدهم حتى الآن البنوك ومزودي الكهرباء، بالإضافة إلى منازل كبار السن وشركة آيس كريم، وفقا لما ذكرته شركة "هانترس" في منشور على مدونة يوم الجمعة الماضي، وهي شركة مقرها مدينة "إليكوت سيتي" بولاية ماريلاند، تراقب أمن العملاء.
وقالت إحدى شركات الأمن السيبراني الأمريكية، التي طلبت عدم الكشف عن اسمها، إن خبراءها وحدهم كانوا يعملون مع ما لا يقل عن 50 ضحية، في محاولة لتحديد البيانات التي ربما استولى عليها القراصنة أثناء محاولتهم إخراجهم بسرعة.
قلق أمريكي بالغ
وأثار الهجوم المتصاعد بوتيرة سريعة قلق مسؤولي الأمن القومي في الولايات المتحدة، ويرجع ذلك جزئيا إلى أن القراصنة تمكنوا من اختراق العديد من الضحايا بهذه السرعة. ويقول الباحثون إن القراصنة قاموا على مايبدو في المراحل الأخيرة من الهجوم، بـ"أتمتة العملية"، ووصلوا إلى عشرات الآلاف من الضحايا الجدد حول العالم في غضون أيام.
وكتب مسؤول بالبيت الأبيض في رسالة بالبريد الإلكتروني يوم أمس السبت: "نحن نتعهد باستجابة حكومية كاملة لتقييم ومعالجة التأثير. هذا تهديد نشط لا يزال يتطور ونحن نحث مشغلي الشبكات على التعامل معه على محمل الجد ".
ويبدو أن مجموعة القرصنة الصينية، التي تطلق شركة "مايكروسوفت عليها مسمى "هافنيوم" (وهو اسم لعنصر كيميائي فلزي)، قد اخترقت لعدة أشهر شبكات الكمبيوتر الخاصة والحكومية من خلال برنامج البريد الإلكتروني الشهير "إكستشينج " (Exchange) التابع للشركة، واستهدفت المجموعة في البداية عددا صغيرا فقط من الضحايا، وفقا لستيفن أدير، رئيس شركة "فوليكستي" (Volexity)، التي يقع مقرها شمال ولاية فرجينيا. وساعدت شركة الأمن السيبراني مايكروسوفت في تحديد العيوب التي يستخدمها القراصنة، والتي أجرى عملاق البرمجيات إصلاحا لها يوم الثلاثاء الماضي.
وكانت النتيجة نشوب أزمة أمن إلكتروني ثانية قادمة بعد أشهر فقط من اختراق قراصنة روس مشتبه بهم لتسع وكالات فيدرالية وما لا يقل عن 100 شركة من خلال تحديثات متلاعب بها من قبل شركة "سولارويندز" (SolarWinds LLC) لبرامج إدارة تكنولوجيا المعلومات. وأعرب خبراء الأمن السيبراني الذين يدافعون عن أنظمة الكمبيوتر في العالم عن شعور متزايد بالإحباط والإرهاق.
هشاشة الشبكات الحديثة
وقال تشارلز كارماكال، نائب الرئيس الأول في شركة "فاير أي" ( FireEye Inc. ) للأمن السيبراني ومقرها في ولاية كاليفورنيا إن: "الأشخاص الطيبين يتعبون ".
وردا على سؤال حول إسناد "مايكروسوفت "الهجوم إلى الصين، قال متحدث باسم وزارة الخارجية الصينية يوم الأربعاء الماضي إن بلاده تعارض بشدة وتكافح الهجمات الإلكترونية والسرقة الإلكترونية بجميع أشكالها، مشيرا إلى أن إلقاء اللوم على دولة معينة مسألة سياسية حساسة للغاية.
ويكشف كل من الحادث الأخير وهجوم "سولارويندز "هشاشة الشبكات الحديثة وتطور القراصنة الذين ترعاهم دولة ما لتحديد نقاط الضعف التي يصعب العثور عليها أو حتى إنشائها لإجراء أعمال التجسس. كما تنطوي الأزمة الأخيرة على هجمات إلكترونية معقدة، مع نطاق إصابة أولي لعدد كبير من أجهزة الكمبيوتر قبل أن يتم تقليصه، حيث يركز المهاجمون جهودهم (على أهداف معينة)، الأمر الذي قد يستغرق أسابيع أو أشهر كي تتمكن المؤسسات المتضررة من حل المشكلة.
وفي حالة خطأ "مايكروسوفت" البرمجي، لن يؤدي تطبيق التحديثات التي توفرها الشركة ببساطة إلى تخلص الشبكة من المهاجمين. وقال "كارماكال" إن مراجعة الأنظمة المتأثرة تعتبر ضرورة ملحة. وأكد البيت الأبيض الشيء نفسه، بما في ذلك التغريدات من مجلس الأمن القومي التي تطالب القائمة المتزايدة للضحايا بتمشيط أجهزة الكمبيوتر الخاصة بهم بعناية بحثا عن علامات على وجود المهاجمين.
في البداية، بدا الأمر أن القراصنة الصينيين يستهدفون أهدافا استخباراتية عالية القيمة في الولايات المتحدة، حسب قول "أدير"، لكنه أضاف أنه منذ نحو أسبوع قد تغير كل شيء، وبدأت مجموعات قرصنة أخرى مجهولة الهوية تضرب آلاف الضحايا خلال فترة قصيرة، بإدخال برامج مخفية يمكن أن تمنحهم إمكانية الوصول لاحقا.
هجوم واسع النطاق
وقال "أدير": "لقد تحركوا بحماس وبدأوا في هجوم واسع النطاق، عبر هجمات عشوائية تهدد خوادم الحاسوب التبادلية (مايكروسوفت أكستشينج) في جميع أنحاء العالم، دون أي اعتبار للغرض أو الحجم أو القطاع، لقد كانوا يضربون أي خادم يمكنهم الوصول إليه ".
وأوضح أن مجموعات القرصنة الأخرى ربما تكون قد وجدت نفس الأخطاء البرمجية وبدأت هجماتها الخاصة - أو أن الصين ربما أرادت الوصول إلى أكبر عدد ممكن من الضحايا، ومن ثم تحدد أيهم له قيمة من الناحية الاستخبارية.
وأضاف: في كلتا الحالتين كانت الهجمات ناجحة وسريعة جدا، بحيث يبدو أن القراصنة قد وجدوا طريقة لـ"أتمتة العملية"، وقال: "إذا كنت تقوم بتشغيل خادم إكستشينج، فمن المرجح أنك ضحية".
وتشير البيانات من شركات الأمن السيبراني الأخرى إلى أن نطاق الهجمات قد لا ينتهي به الأمر بهذا السوء. فبعدما فحص باحثون من شركة "هانتريس" حوالي 3000 خادم ضعيف على شبكات شركائها وجدوا حوالي 350 إصابة، أو ما يزيد قليلا عن 10%.
تفاقم الوضع السيئ
وفي حين أن قراصنة "سولارويندز" أصابوا المنظمات من جميع الأحجام، فإن العديد من أحدث مجموعة من الضحايا عبارة عن شركات تتراوح من صغيرة إلى متوسطة الحجم ووكالات حكومية محلية. وتعتبر المؤسسات التي يمكن أن تكون الأكثر تأثرا هي تلك التي لديها خادم بريد إلكتروني يعمل على تشغيل البرنامج الضعيف والمكشوف مباشرة إلى الإنترنت، وهو إعداد محفوف بالمخاطر تتجنبه الشركات الكبيرة عادة.
وقال جيم مكموري، مؤسس "ميلتون سيكوريتي" ( Milton Security Group Inc. ) ، وهي شركة لخدمة مراقبة الأمن السيبراني في جنوب كاليفورنيا إن: "المنظمات الصغيرة تكافح بالفعل بسبب إغلاق فيروس كوفيد، وهذا يؤدي إلى تفاقم الوضع السيئ بالفعل". وتابع: "يستهلك قدرا كبيرا من الوقت لتعقبهم وتنظيفهم والتأكد من عدم تأثريهم خارج نطاق ناقل الهجوم الأولي".
وأوضح "ماكموري" أن المشكلة سيئة للغاية لكنه أضاف أن الضرر لابد من أن يتخفف إلى حد ما من خلال حقيقة مفادها أن هذا الخطأ كان يمكن الوصول إليه، وكان قابلا للإصلاح.
وقالت شركة "مايكروسوفت" إن العملاء الذين يستخدمون نظام البريد الإلكتروني المستند إلى الحوسبة السحابة لن يتأثروا.
وأكد العديد من الخبراء أن استخدام الأتمتة لشن هجمات متطورة للغاية قد يمثل حقبة جديدة مخيفة في الأمن السيبراني، يمكن أن تطغى على الموارد المحدودة للمدافعين ضدها.
وقال أليكس ستاموس، مستشار الأمن السيبراني، إن بعض الإصابات الأولية كانت على ما يبدو نتيجة المسح الآلي للبرامج الضارة وتثبيتها. وسيبحث المحققون عن الإصابات التي أدت إلى اتخاذ القراصنة الخطوة التالية وسرقة البيانات - مثل أرشيفات البريد الإلكتروني - والبحث فيها لاحقا عن أي معلومات ذات قيمة.
وأضاف "ستاموس": "إذا كنت أدير أحد هذه الفرق، فسأقوم بسحب البريد الإلكتروني بأسرع ما يمكن بشكل عشوائي، ومن ثم أجرى عملية تعدين لها بحثا عن الذهب".