اختراق خارجي:

مؤشرات تصاعد الهجمات السيبرانية ضد الشركات الأمريكية
اختراق خارجي:
20 أبريل، 2021

قامت لجنتا الرقابة والإصلاح والأمن الداخلي بمجلس النواب الأمريكي، بعقد لجنة استماع افتراضية يوم 26 فبراير 2021 لفهم ومناقشة هجمات سولارويندز. وقد جاءت جلسة الاستماع تحت عنوان “التغلب على العاصفة.. دور التكنولوجيا الخاصة في اختراق سولارويندز والحملة المستمرة”، وتحدث فيها كل من سوداكار راماكريشنا الرئيس التنفيذي السابق لشركة بيولس سيكور والرئيس والمدير التنفيذي الحالي لشركة سولارويندز، وكيفن بي تومسون الرئيس التنفيذي السابق لشركة سولارويندز، وكيفين مانديا الرئيس التنفيذي لشركة فاير آي، وبراد سميث رئيس شركة مايكروسوفت. ويمكن تناول أبرز ما جاء في هذه الجلسة؛ وذلك على النحو التالي:

أولًا: أبعاد الهجوم على شركة “سولارويندز”

ظهرت شركة “سولاوريندز” عام 1999 في أوكلاهوما كمزود لأدوات الشبكة، وتمثل دورها الرئيسي في مساعدة المتخصصين بمجال تكنولوجيا المعلومات على إدارة بيئة تكنولوجيا المعلومات وحل المشكلات. ولا يزال مقر الشركة الرئيسي يقع في الولايات المتحدة الأمريكية مع فريق عمل يضم أكثر من 3000 موظف متخصص، وتضمنت الجلسة ما يلي:

1– الاعتراف بالاختراق والسعي إلى التعلم منه: تناول سوداكار راماكريشنا الرئيس والمدير التنفيذي الحالي لشركة “سولارويندز” شرحًا لكيفية حدوث الهجوم السيبراني ونتائجه للتعرف على التحديات التي تواجه شركة “سولارويندز” ومستخدمي الشبكة من جراء الاختراق غير المسبوق، فضلًا عن التطرق إلى الدروس المستفادة من الهجوم أثناء محاولة صده؛ للتعلم من الأخطاء لمنع تكرارها في المستقبل.

يُذكر أن الشركة قد تلقَّت مساعدات في هذا الإطار من مجتمع الاستخبارات الأمريكية، ووكالة المخابرات المركزية، ومكتب التحقيقات الفيدرالية. وتناول “راماكريشنا” كيفية دمج التحسينات المنهاجية والنظامية لعمليات دورة حياة تطوير البرمجيات (SDLC)، وقدم التوصيات بشأن تعزيز حماية الأمن السيبراني الأمريكي.

2– سرعة إصلاح الضرر الواقع على المستخدمين: الهدف الأول لشركة “سولارويندز” هو ضمان أمن المستخدمين. وتحقيقًا لهذه الغاية تمكنت الشركة خلال 3 أيام فقط بعد العلم بالهجوم، من إصلاح الضرر الواقع على المستخدمين بتقديم علاج للمنتج المتضرر. وعكف المسؤولون في الشركة على توعية المستخدمين بالهجوم، وتخصيص موارد ضخمة لمساعدة كل من الشركات العاملة في القطاعين العام والخاص والمستخدمين على تجاوز الأضرار الناجمة عن الهجوم.

3– تقنية ثلاثية معقدة لتنفيذ الاختراق السيبراني: في ظل شرح “راماكريشنا” كيفية حدوث الهجوم، تطرق إلى ثلاثة جوانب رئيسية أفضت إلى تعقُّد الهجوم السيبراني على “سولارويندز” وهي: أولًا– حقن البرنامج الضار “صن بورست” (Sunburst) في منتج أوريون (Orion) ليتمكن من الانتشار على نطاق واسع بين مستخدمي المزود الحكومي. ثانيًا– استخدام البرنامج الضار خلال عملية تأسيس منتج أوريون لضمان إصابة الشكل النهائي لبرنامج أوريون بكود البرنامج الضار “صن بورست”. وثالثًا– التفاعل مع شبكات الضحايا باستخدام الخدمات السحابية للولايات المتحدة الأمريكية بأسلوب خفي.

وبعد الخطوات السابقة، أصبح كود البرنامج الضار (الشفرة الخبيثة) مُدرجًا في بيئة المستخدمين. والجدير بالذكر أن التحقيقات وجدت أن كود البرنامج الضار لم يكن موجودًا في إصدارات منصة برمجيات أوريون والمنتجات التي تم إطلاقها قبل مارس 2020 وبعد يونيو 2020.

وبعد أن أصبح البرنامج الضار موجودًا على شبكات المستخدمين لشبكة “سولارويندز”، ووفقًا للتحقيقات، فقد أجرى المهاجمون مهامَّ استخباراتية وهجومية واسعة ومكثفة؛ حيث تمكن العنصر المختص بالاستطلاع من البقاء على الشبكات لفترة طويلة قبل أن يتم الكشف عن الهجوم والتصدي له. ويُعد إنشاء أداة خبيثة، مثل “صن بورست” قادرة على حقن البرنامج الضار بدون إثارة الشك؛ إنذارًا بالخطر العالي لمجتمعات تطوير البرمجيات وللمجتمع التكنولوجي بمفهومه الأوسع.

وقد أوضح “راماكريشنا” أنه من خلال إساءة استخدام البنية التحتية السحابية للولايات المتحدة من قبل المهاجمين، وإدارة الهجوم من خلال العديد من الخوادم التي يقع مقرها في الولايات المتحدة، وتمكُّنهم من تقليد حركة المرور على الشبكة؛ استطاع المهاجمون التحايل على تقنيات اكتشاف التهديدات.

4– ضرورة التنسيق بين الحكومة الأمريكية وشركات التكنولوجيا: نظرًا إلى إمكانية تكرار الهجوم مرة أخرى ليس فقط على شركة “سولارويندز”، بل من خلال استغلال الثغرات الأمنية بالنسبة إلى المجتمع التكنولوجي الأوسع، ومع اتساع نطاق الهجمات السيبرانية، وزيادة مخاطرها ونطاق تأثيرها؛ يستوجب على الحكومة الأمريكية أن تنسق مع صناعة التكنولوجيا.

لذلك أحاطت شركة “سولارويندز” مجتمع الاستخبارات الأمريكي وسلطات إنفاذ القانون في الولايات المتحدة بهذه المستجدات، من خلال نشر تقارير مفصلة عن كيفية حدوث الهجوم؛ لمنع أي هجوم محتمل من النوع نفسه على شركات أخرى، من خلال عدم تضمين كود “صن بورست” في بيئة تطوير البرمجيات، ولإجراء المجتمعات التكنولوجية المختلفة مراجعاتٍ لتحديد إمكانية تعرضها لهجمات مماثلة.

5– تأثير عالمي سلبي لاختراق “سولارويندز”: تشير الاستنتاجات الأولية إلى أن استخدام الأداة “صن بورست” لا يمثل تهديدًا لشركة “سولارويندز” فقط، بل يُشكل تهديدًا لسلسلة توريد البرمجيات العالمية عامةً، مع تعرض عدد آخر من الشركات لهجمات مماثلة.

6– تعزيز بيئة “سولارويندز” لضمان عدم تكرار الاختراق: في ظل جهود شركة “سولارويندز” للاستفادة من الهجوم والعمل على التحسين المُستدام، أنشأت الشركة لجنة جديدة معنية بالتكنولوجيا والأمن السيبراني، تتمثل مسؤولياتها الرئيسية في تقديم المشورة للإدارة، والإشراف على المبادرات التي تهدف إلى تحسين الأمن السيبراني.

ومن خلال نشر برامج حماية إضافية قوية، تعمل “سولارويندز” على اكتشاف التهديدات على جميع شبكات الشركة، كما تعمل الشركة على تعزيز بيئة تطوير المنتجات؛ وذلك من خلال إجراء تحليلات جنائية مستمرة للبيئات المعنية بتطوير المنتجات؛ لتحديد أسباب الاختراق والعمل على معالجتها.

وأخيرًا، أوصى “سوداكار” بضرورة التعاون بين الشركة ولجان الكونجرس؛ لضمان سلامة واستقرار النظام البيئي الرقمي، وتعهَّد بمشاركة الأنشطة والإسهامات الخاصة بـ”سولارويندز” مع اللجان، وقال إن الشركة يمكن أن تساهم في حل وطني للتهديدات السيبرانية من خلال الخبرة التي اكتسبتها في التصدي للهجوم الأخير.

ثانيًا: الهجوم على شركة “فاير آي”

1– إجراء تحقيق مكثف لكشف أبعاد الهجوم ونطاقه: تناول كيفين مانديا الرئيس التنفيذي لشركة “فاير آي” الحديث عن التسلل الإلكتروني إلى الشركة، والكيفية التي اكتُشف بموجبها البرنامج الضار “صن بورست” الذي تم حقنه في شبكة سولارويندز، والإجراءات التي ينبغي أن تتخذها الحكومة الفيدرالية لحماية الأمة والوكالات الحكومية والشركات الخاصة في الفضاء السيبراني.

ووفقًا لـ”مانديا”، فقد عكف أكثر من 100 موظف في شركة “فاير آي” على تحقيق مكثف لفهم الهجوم ونطاق تأثيره على الشركة؛ لأن مثل هذه الهجمات المعقدة تحتاج إلى مهارات خاصة، فضلًا عن القدرة على التحليل والفهم والمعالجة.

2– المهاجمون مدعومون من مخابرات أجنبية: أشارت نتائج التحقيقات الأولية للشركة إلى أن المهاجمين تلقوا تدريبًا لدى مخابرات خاصة بدولة أجنبية تتمتع بقدرات هجومية من الدرجة الأولى. وتم التوصُّل إلى هذه النتائج بالاستناد إلى قائمة خاصة بالشركة تضم أدلة تتبُّع لآلاف من التحقيقات المتعلقة بالهجمات السيبرانية على مدار 17 عامًا.

وقد اختلف الهجوم السيبراني الأخير مقارنةً بالهجمات التي تعرضت لها المؤسسات الأمريكية خلال السنوات السابقة من حيث مدى التنظيم والدقة والانضباط في تحديد الأهداف، واستهداف أشخاص بعينهم، والتخطيط بدقة، فضلًا عن استخدام تقنيات جديدة لم يسبق أن شهدتها المؤسسات الأمريكية من قبل.

3– أهمية تضافُر الجهود لحماية بيانات الأمريكيين: تُعد إمكانية مشاركة المعلومات السرية بين الحكومة الفيدرالية والقطاع الخاص للتمكن من اتخاذ الإجراءات الدفاعية بسرعة؛ أولى الخطوات المهمة لحماية الدولة بأكملها من مخاطر الهجمات السيبرانية، من خلال الاستجابة السريعة، والتخفيف من أثر الهجوم، واتخاذ الخطوات اللازمة لمنع تكرارها في المستقبل.

ومن هذا المنطلق، يجب على الحكومية الفيدرالية تبني برنامج واسع للإخطار بالتهديدات ومشاركة المعلومات من خلال ضمان حماية وسلامة البيانات الإلكترونية، وتشجيع الكيانات على اعتماد المعايير المتعلقة بالأمن السيبراني، والحد من الإجراءات العقابية، وتقديم حوافز أكبر لمؤسسات القطاع الخاص، بما في ذلك حماية المسؤولين، وحماية الخصوصية والحقوق المدنية، وتقديم المساعدة الفنية للمؤسسات الصغيرة التي لا تمتلك القدرات أو الخبرة الكافية بمجال الأمن السيبراني.

4– “سلامة الطيران الفيدرالي” نموذج للمشاركة المعلوماتية الفعَّالة: أشار “مانديا” إلى نظام الإبلاغ عن سلامة الطيران التابع لإدارة الطيران الفيدرالي كنموذج لتبادل المعلومات بين القطاعين الخاص والعام في إطار من النظام غير العقابي، يسمح بالتواصل الفعال بشأن التهديدات. ويضم هذا النموذج عددًا من المبادئ الرئيسية؛ من بينها بذل الحكومة الفيدرالية الجهود للحفاظ على سلامة الطيران والعمل على تطويرها، ونشر التقارير المتعلقة بالحوادث في القطاعين العام والخاص.

5– الحاجة إلى تطوير وكالة الأمن السيبراني وأمن البنية التحتية: وفقًا لـ”مانديا”، فإن القدرات التي تتمتع بها وكالة الأمن السيبراني وأمن البنية التحتية، لا تزال محدودة، ويعتقد أن السبيل الوحيد لترقيتها وتمكينها في مواجهة التحديات السيبرانية القائمة، يتمثل في التعاون مع القطاع الخاص، والاستفادة من الموارد والمواهب والإمكانات المتاحة لديه.

وهو الأمر الذي يتطلب كذلك، في بعض جوانبه، إشراك وكالة الأمن القومي والقيادة الإلكترونية الأمريكية في هجمات معينة واسعة النطاق، كما تُعد مشاركة المعلومات في الوقت المناسب قبل وأثناء الهجوم السيبراني، من الأمور التي تعزز الثقة بين القطاعين العام والخاص.

وخلص “مانديا” إلى أنه على الرغم من الإقرار بالحقيقة القائلة بأنه لا يمكن درء جميع الهجمات السيبرانية في المستقبل، فإن من الممكن تخفيف حدة الهجمات وتقليل آثارها من خلال اتخاذ إجراءات سريعة، والتنسيق بين مختلف الجهات والقطاعين العام والخاص، والاكتشاف المبكر للهجوم وإخطار الضحايا بسرعة.

ثالثًا: تعامُل شركة “مايكروسوفت” مع الاختراق السيبراني

1– تحذير من خطورة الضحايا غير المعروفين: تطرق براد سميث رئيس شركة “مايكروسوفت”، إلى الهجوم الأخير على “سولارويندز” ومايكروسوفت، وإلى كيفية حدوث الهجوم في محاولة لفهمه، وقدم عددًا من الحلول والمقترحات لتحقيق العمل الجماعي لمنع تكرار اختراق سيبراني واسع النطاق مستقبلًا، من خلال تعزيز الأمن السيبراني، ولا سيما من خلال التعاون بين القطاعين العام والخاص.

وحذر سميث من أن الضحايا قد يمثلون مصدرًا للخطورة من منطلق أن التحليلات قامت على فرضية أن الاختراق شمل أولًا مزود الخدمات، ثم انتقلت إلى الخدمات السحابية. ومن ثم فإن هناك خطورة من الضحايا غير المعلومين الذين لم ينتقلوا إلى الخدمات السحابية بعد.

2– اختراق سبعة عشر ألف شبكة محلية: تعرضت شركة “فاير آي” للاختراق في شبكتها المحلية عبر فتح باب خلفي نتج عن طريقه تحديث برامج من شركة “سولارويندز” كانت مصابة بالبرنامج الخبيث بالفعل الذي أطلقت عليه شركة “مايكروسوفت” وصف “برنامج ضار أولي مستتر مثبت في التحديث”؛ حيث تم توزيعه على أكثر من 17 ألف عميل، وهو ما ساهم في اختراق 17 ألف شبكة محلية دون ملاحظتها؛ لأن البرنامج الضار كان مثبتًا مع تحديث أوريون. وتمكن المهاجمون من اختراق المنازل الخاصة، وتثبيت برامج ضارة أكثر قوةً في المنازل الأكثر أهميةً، فتمكنوا من فتح نافذة جديدة للتواصل مع شبكات الضحايا وإغلاق “الباب الخلفي” حتى يصعب اكتشافهم.

3– تركيز المهاجمين على استهداف شركات تكنولوجيا الاتصالات: توصلت نتائج التحقيقات الأولية لشركة “مايكروسوفت” إلى أن المهاجمين الروس استخدموا التقنية التي عكفوا على استخدمها خلال السنوات السابقة، والتي عُرفت بـ”رش كلمة المرور العدوانية” والتي تتيح لهم إمكانية الوصول، وربما اعتمدوا على سلاسل التوريد التي استخدموها في الهجمات اللاحقة لإنشاء نقاط دخول جديدة.

وقد مثلت المعلومات وشركات تكنولوجيا الاتصالات نحو 50% من أهداف الهجوم السيبراني الأخير، بينما شكلت المنظمات الحكومية والخاصة –من بينها منظمات المجتمع المدني، كمنظمات الفكر والمؤسسات الأكاديمية– الجانب الآخر من الأهداف. وحتى يوم 17 فبراير 2021، قدرت آن بويبرجر عدد الشركات الخاصة التي تعرضت للهجوم بما يقرب من 100 شركة و9 شركات أمريكية حكومية، ناهيك عن شركات في عدد من الدول الأخرى لم تُكشف بعد.

4– استجابة سريعة لمعالجة تداعيات الاختراق: اتخذت شركة مايكروسوفت عددًا من الخطوات للاستجابة للهجوم الواقع عليها تمثلت إجمالًا في الكشف عن الهجوم، والإخطار به، ومحاولة صده. ففي الخطوة الأولى، عمدت “مايكروسوفت” إلى العمل مع موردي برامج مكافحة الفيروسات لتطوير عملية “اكتشاف” البرامج الضارة للعثور على العملاء المتعرضين للاختراق وإخطارهم.

واتخذت الشركة خطوة إضافية لحظر البرامج الضارة وإغلاق “الباب الخلفي”، لكن لحين تمكُّنها من تحقيق ذلك، كان المهاجم قد استطاع بالفعل فتح باب خلفي إلى عدد من الضحايا لمدة تتراوح بين 6 و9 أشهر. وتمثلت الخطوة التالية في “إخطار” العملاء بالهجوم كجزء من تعهدات شركة “مايكروسوفت” بالشفافية تجاه عملائها عند تعرضهم للتهديدات؛ ليتمكنوا من فتح التحقيقات الخاصة بهم، ثم تمثلت الخطوة التالية في محاولة “معالجة” الهجوم من خلال سعي الضحايا إلى محاولة التعرف على الكيفية التي دخل بها المهاجمون الروس في الشبكات المحلية الخاصة بهم. وتتمثل الخطوة الأخيرة في أن “تبلغ” الشركات التي تعرضت للهجوم بعضُها بعضًا، وتتشارك المعلومات، وتعزز الشفافية. وفي هذا الإطار أتاحت الشركة المعلومات حول الهجوم للجمهور.

5– أهمية الإفصاح والشفافية لتأمين البيئة الرقمية: وفقًا لـ”سميث”، فإن هناك ضرورة لعدم إخفاء المعلومات من قبل الشركات التي تعرضت للهجوم؛ للتمكن من الاستجابة الفعَّالة، وتعزيز سُبل الحماية المستقبلية، وما تطلبه من التعرف على حدود هذه الهجمات في المجتمعات الأخرى للتمكن من تأمين البيئة الرقمية الأمريكية. وهناك حاجة مُلحَّة لكي تقوم الشركات بفحص شبكاتها من خلال استخدام أحد البرامج الرائدة في مجال مكافحة الفيروسات، كما يجب أن تكون المجتمعات قادرة على تحديد باقي الضحايا.

رابعًا: توصيات لتأمين الفضاء السيبراني

1– الاهتمام الصارم بقواعد الحماية السيبرانية: بناءً على الخبرة التي تعرضت لها شركة “مايكروسوفت” خلال الهجوم السيبراني الأخير، فإنها توصلت إلى وجود فرص عدة يمكن استغلالها لتحسين وتعزيز الأمن السيبراني، في مقدمتها الاهتمام بالصحة الإلكترونية الأساسية؛ حيث أشارت التحقيقات إلى أن العملاء الفيدراليين لم يراعوا أبسط قواعد الحماية والأمن السيبراني، وهو ما ساهم في انتشار آثار الهجوم على نحو واسع، ومن ثم أوصى سميث باتخاذ كافة إجراءات الاستعداد الدفاعية الحكومية.

2– تحسين المشاركة المعلوماتية بين القطاعين العام والخاص: من المهم تحسين عملية مشاركة المعلومات بين الحكومة والقطاع الخاص من خلال سرعة مشاركة التفاصيل المتعلقة بالاستجابة للهجوم السيبراني ولا سيما المتوافرة عند وكالات الأمن القومي، وأن تكون المعلومات أكثر تحديدًا وتفصيلًا، واتخاذ الإجراءات والاستجابة الموحدة من خلال التنسيق المشترك بين مختلف الجهات.

وفي هذا الإطار دعا براد سميث مدير شركة “مايكروسوفت” الحكومة إلى تدشين نهج موحد للاستجابة للحوادث السيبرانية وتقييمها لتفادي الهجمات المستقبلية، وأن تتعاون الحكومة مع القطاع الخاص، لا سيما في حالة وقوع هجوم كبير، وأن تكشف عن توقعاتها واحتياجاتها بوضوح. كما أن هناك ضرورة للالتزام بإبلاغ واضح ومتسق بالنسبة إلى القطاع الخاص، وضمان الشفافية، وإحاطة الوكالات الفيدرالية بالمعلومات المتعلقة بالهجمات.

واقترح “سميث” إنشاء وكالة رائدة لتوحيد المعلومات. وعلى الرغم من مخاوف القطاعين العام والخاص من مشاركة المعلومات والأساليب المستخدمة في مواجهة الهجوم لعدم إعطاء المهاجمين فرصة لإخفاء هجماتهم بشكل أفضل في المستقبل، فضلًا عن بعض التخوفات المتعلقة بخصوصية العميل؛ فإن من الضروري التنسيق بين الجهتين.

3– تعزيز أمن سلاسل التوريد: من المهم تعزيز أمن سلسلة التوريد للقطاعين الخاص والعام على السواء لكل من البرامج والأجهزة، من خلال صيانة البرامج، وإدارة الثغرات الأمنية ومعالجتها، وتوفير أفضل أدوات الأمان لمطوري البرامج المفتوحة المصدر، وشراء البرامج التي تتماشى مع متطلبات الاستخدام الآمن.

4– نشر أفضل ممارسات الأمن السيبراني: أوصى المشاركون في جلسة الاستماع بتوسيع نطاق استخدام أفضل الممارسات للأمن السيبراني بما في ذلك الحاجة إلى تطوير وتحسين الصحة الإلكترونية، والالتزام بتحديث تكنولوجيا المعلومات، والانتقال إلى الخدمات السحابية باعتبارها أكثر أمانًا، لكن بشرط الوفاء بالمتطلبات الأمنية الفيدرالية.

5– فرض عقوبات على الدول التي تشكل تهديدًا سيبرانيًّا: تعزيز القواعد الحاكمة لسلوك الدول في الفضاء السيبراني، وفرض عقوبات على الدول التي تشكل تهديدًا لغيرها من خلال الهجمات الإلكترونية. وفي هذا الصدد، دعا “سميث” الحكومة الأمريكية إلى بذل جهد عالمي لتشريع وإنفاذ قانون قائم على القواعد فيما يتعلق بالفضاء والأمن السيبراني.

6– زيادة عدد المُدربين في مجال الأمن السيبراني: زيادة الاستثمار في تطوير القوة العاملة الماهرة في مجال الأمن السيبراني من خلال التعاون بين القطاعين العام والخاص؛ وذلك بزيادة الاستثمارات الفيدرالية المخصصة لتدريب الأفراد في مجال الأمن السيبراني، وإنشاء البرامج التي تدمج بين الأمن السيبراني والخدمة العامة، وتعزيز الشراكة لجلب المواهب إلى الحكومة الفيدرالية، والتعاون مع القطاع الخاص للتعرف على طبيعة العمالة والمهارات المطلوبة لوظائف الأمن السيبراني.

7– الاستعداد لهجمات أكثر تطورًا في المستقبل: دعا “سميث” إلى ضرورة الاستعداد لهجمات أكثر تطورًا في المستقبل، مع تأكيد أهمية التعاون بين القطاعين العام والخاص، وبذل الجهود لمساعدة المؤسسات الكبيرة والصغيرة على السواء لتأمين بنية المعلومات التكنولوجية التحتية. هذا بجانب زيادة عدد المُدرَّبين، وزيادة التواصل ومشاركة المعلومات بين المؤسسات والقطاعات المختلفة؛ لضمان الفاعلية في الأداء في حالة التعرض لهجمات، ولا سيما في ظل احتفاظ العديد من المؤسسات والشركات التي تتعرض للهجوم بالمعلومات ونتائج التحقيقات دون مشاركتها.


الكلمات المفتاحية:
https://www.interregional.com/%d8%a7%d8%ae%d8%aa%d8%b1%d8%a7%d9%82-%d8%ae%d8%a7%d8%b1%d8%ac%d9%8a/