كيف استغل جواسيس صينيون أدوات أمنية أميركية في القرصنة؟

حصلوا عليها بعد هجمة سيبرانية ضدهم واستخدموها ضد حلفاء واشنطن

خوادم شركة «سيمانتيك» في كاليفورنيا (نيويورك تايمز)

تمكن عملاء الاستخبارات الصينية من الحصول على أدوات القرصنة الخاصة بوكالة الأمن القومي الأميركية وأعادوا توظيفها في شن الهجوم على حلفاء الولايات المتحدة والشركات الخاصة في أوروبا وآسيا عام 2016، وفق ما اكتشفت إحدى الشركات الرائدة في مجال الأمن السيبراني مؤخراً. وتعد هذه الحلقة الأخيرة في سلسلة الأدلة التي تفيد بفقدان الولايات المتحدة السيطرة الكاملة على أجزاء رئيسية من ترسانة الأمن السيبراني الخاصة بها.
واستناداً إلى توقيت الهجمات الصينية، والأدلة الواردة في شفرات الحواسيب، يعتقد الباحثون في شركة «سيمانتيك» أن الصينيين لم يسرقوا الشفرات وإنما حصلوا عليها من هجمة شنتها وكالة الأمن القومي الأميركية على حواسيبهم، تماماً مثل مطلق الرصاص الذي يأخذ بندقية العدو ويبدأ في إطلاق النار في الاتجاهات كافة.
ويعكس التصرف الصيني مدى انتشار الصراع السيبراني، وما يخلقه من بيئة متوحشة لا تحكمها القواعد ويشيع فيها عدم اليقين، كما يعكس أيضا الصعوبة التي تجدها الولايات المتحدة في متابعة وتعقب البرمجيات الخبيثة التي تستخدمها في اختراق الشبكات الأجنبية وشن الهجمات على البنى التحتية لشبكات الخصوم.
وأثارت الخسائر نقاشاً حاداً داخل مجتمع الاستخبارات الأميركي، حول ما إذا كان حرياً بالولايات المتحدة مواصلة تطوير أسلحة سيبرانية ذات التقنية العالية والسرية الكبيرة في الوقت الذي تفقد فيه القدرة على الاحتفاظ بتلك القدرات قيد الرقابة والسرية المطلقة.
وتعتبر وكالة الأمن القومي الأميركية مجموعة القراصنة الصينيين التي سطت على أدوات القرصنة الأميركية «المجموعة الأكثر خطورة»، وفق مذكرة سرية جرى تعميمها داخل أروقة الوكالة وتمكنت صحيفة «نيويورك تايمز» من الاطلاع عليها. وتعد هذه المجموعة من مقاولي الاختراق السيبراني الصينيين مسؤولة عن شن الكثير من الهجمات على بعض من أكثر الأهداف الدفاعية حساسية داخل الولايات المتحدة، بما في ذلك برامج الفضاء، والأقمار الصناعية، وتكنولوجيا الدفع النووي المتقدمة.
وتشير النتائج التي توصلت إليها شركة «سيمانتيك»، التي أميط اللثام عنها أول من أمس، أن القراصنة الصينيين أنفسهم الذين تعقّبت الوكالة الأميركية آثارهم لما يربو على عقد من الزمان، قد قلبوا الطاولة في وجه الوكالة مؤخراً.
ووجدت بعض الأدوات التابعة لوكالة الأمن القومي الأميركية، من التي حصل عليها القراصنة الصينيون، طريقها على شبكة الإنترنت بواسطة مجموعة مجهولة حتى الآن، تُطلق على نفسها مسمى «وسطاء الظل». وهي نفسها التي تستخدمها روسيا وكوريا الشمالية في شن هجمات إلكترونية مدمرة على نطاق عالمي، رغم عدم وجود صلة مؤكدة تربط بين الاستحواذ الصيني على أدوات الوكالة الأميركية وأنشطة مجموعة «وسطاء الظل».
غير أن النتائج التي توصلت إليها شركة «سيمانتيك» تقدم أولى الأدلة على أن القراصنة الصينيين الموالين للحكومة في بكين قد حازوا على بعض تلك الأدوات قبل شهور من أول ظهور مسجل لمجموعة «وسطاء الظل» على شبكة الإنترنت في أغسطس (آب) من عام 2016.
ومما تكرر ذكره غير مرة عبر العقد الماضي، أن وكالات الاستخبارات الأميركية يملكون أدواتهم الخاصة بعمليات القرصنة والاختراق والتفاصيل المعنية ببرامج الأمن السيبراني فائقة السرية التي بدأت تظهر في أيدي بعض البلدان الأخرى أو بعض المجموعات الإجرامية.
وكانت وكالة الأمن القومي الأميركية قد استخدمت برمجيات خبيثة عالية التطور في تدمير أجهزة الطرد المركزية النووية الإيرانية، ثم فوجئت بالشفرات نفسها يشيع استخدامها في غير مكان حول العالم وتُلحق الأضرار بالأهداف العشوائية هنا وهناك، بما في ذلك الشركات الأميركية العملاقة من شاكلة «شيفرون» على سبيل المثال. وتمكن إدوارد سنودن، المقاول الأميركي الأسبق لدى وكالة الأمن القومي الأميركية الذي يقطن منفاه حاليا في موسكو، من إبلاغ الصحافيين عن التفاصيل السرية لبرامج الأمن السيبراني الأميركية. كما نشر موقع «ويكيليكس» حفنة من الأسلحة السيبرانية الخاصة بوكالة الاستخبارات المركزية الأميركية التي تزعم الوكالة أنها قد سُربت على أيدي أحد موظفي الوكالة.
وقال إريك تشين، مدير الشؤون الأمنية في شركة «سيمانتيك»: «علمنا أنه لا يمكن ضمان عدم تسرب أدواتك وإعادة استخدامها ضدك وضد حلفائك فيما بعد». «والآن، ومع تسرب الأسلحة السيبرانية للدولة، وتعرضها للقرصنة، وإعادة توظيفها في شن الهجمات من قبل خصوم الولايات المتحدة»، كما يقول السيد تشين، «حان الوقت للدول لإدراج هذه المعلومات ضمن تحليلاتهم لمخاطر استخدام الأسلحة السيبرانية، والاحتمال الحقيقي من إعادة توجيه هذه الأسلحة وإطلاقها في وجه الولايات المتحدة نفسها أو في وجه حلفائها».
وفي السيناريو الأخير، يفتقر الباحثون لدى شركة «سيمانتيك» للمعلومات المؤكدة بشأن كيفية حصول القراصنة الصينيين على الشفرات الأميركية المتطورة. ولكنهم يعلمون أن مقاولي الاستخبارات الصينية استخدموا الأدوات الأميركية المُعاد توظيفها في تنفيذ عمليات الاختراق السيبراني ضد 5 بلدان على الأقل، وهي: بلجيكا، ولوكسمبورغ، وفيتنام، والفلبين، وهونغ كونغ. وشملت الأهداف المؤسسات البحثية، والمؤسسات التعليمية، وشبكات الحواسيب لحكومة حليفة للولايات المتحدة الأميركية.
ومن شأن هجمة واحدة على شبكة الاتصالات السلكية واللاسلكية أن تتيح لضباط الاستخبارات الصينية منفذ الوصول إلى مئات الآلاف أو الملايين من الاتصالات الخاصة، وفق ما كشفته نتائج شركة «سيمانتيك».
ولم تأتِ شركة «سيمانتيك» على ذكر الصين تحديدا في بحثها المذكور. عوضا عن ذلك، عرفت المهاجمين بأنهم «مجموعة بوكآي»، وهو المسمى الخاص بشركة «سيمانتيك» في توصيف القراصنة الذي اعتبرته وزارة العدل الأميركية وغيرها من شركات الأمن السيبراني مرادفا لأحد المقاولين التابعين لوزارة أمن الدولة الصينية الذي يعمل انطلاقا من مدينة غوانزو.
ونظرا لطبيعة عمل شركات الأمن السيبراني على الصعيد العالمي، فإنهم يطلقون مسمياتهم الخاصة في أغلب الأحيان على الوكالات التابعة للاستخبارات الحكومية تفادياً لإثارة حفيظة أي حكومة بعينها. وتشير شركة «سيمانتيك»، وغيرها من شركات الأمن السيبراني، إلى قراصنة وكالة الأمن القومي الأميركية باسم «مجموعة إكويشن». ويشار إلى «مجموعة بوكآي» أيضا بمسمى «إيه بي تي 3»، وتعني «التهديدات المتقدمة المستمرة»، وغير ذلك من المسميات المستخدمة في هذا المجال.
وفي عام 2017، أعلنت وزارة العدل الأميركية عن لائحة اتهام موجّهة ضد ثلاثة قراصنة صينيين من أعضاء المجموعة التي تسميها شركة «سيمانتيك» «مجموعة بوكآي». وفي حين أن الادعاء العام الأميركي لم يؤكد على أن القراصنة الثلاثة كانوا يعملون بالنيابة عن الحكومة الصينية، إلا أن الباحثين المستقلين ومذكرة وكالة الأمن القومي السرية، التي اطّلعت صحيفة «نيويورك تايمز» عليها، أوضحت أن تلك المجموعة كانت على اتصال مباشر مع وزارة أمن الدولة الصينية، وأنّها نفذت الهجمات السيبرانية المعقدة على الولايات المتحدة، وفق الأوامر الصادرة من هناك.
وفي تقرير صادر عن وزارة الدفاع الأميركية الأسبوع الماضي بشأن المنافسة العسكرية الصينية، تُوصف بكين بأنها اللاعب الأكثر مهارة وثباتا بين آخرين فيما يتعلق بالعمليات السيبرانية ذات الطبيعة العسكرية والاستخبارية والتجارية، وهي تواصل سعيها الحثيث لتقويض التقدم الجوهري المحرز أميركياً على الصعيد العملياتي والتكنولوجي.
وفي هذه الحالة، يبدو أن الجانب الصيني قد تمكّن من رصد الاختراقات السيبرانية للولايات المتحدة، وتمكنوا من سرقة الشيفرات، التي يجري تطويرها بنفقات مالية هائلة يتحملها دافعو الضرائب من المواطنين الأميركيين.
واكتشفت شركة «سيمانتيك» أنه اعتبارا من مارس (آذار) لعام 2016، كان القراصنة الصينيون يستخدمون نسخا معدّلة من أدوات وكالة الأمن القومي الأميركية، تسمى «إيترنال سينرجي» و«دوبل بولسار» في شن الهجمات. وبعد ذلك بشهور في أغسطس (آب) من عام 2016، أطلق «وسطاء الظل» العينات الأولى المسروقة من أدوات وكالة الأمن القومي الأميركية، تلاها نشر المجموعة الكاملة من أدوات وكالة الأمن القومي الأميركية المستغلة من طرفهم، في أبريل (نيسان) لعام 2017، على شبكات الإنترنت.
ولاحظ الباحثون من شركة «سيمانتيك» أن هناك الكثير من الحالات السابقة التي تمكّن خبراء الأمن السيبراني من اكتشاف البرمجيات الخبيثة من التي نشرت علنا على الإنترنت، ثم سيطرت عليها أجهزة التجسس أو حازت عليها مجموعات إجرامية، ثم أعيد استخدامها في شن الهجمات. ولكنهم لم يقفوا على سابقة واحدة تتعلق بالضلوع الصيني في هذه القضية: أي الاستحواذ الخفي لشفرات الحواسيب المستخدمة في الهجمات، ثم السيطرة عليها وإعادة استخدامها ضد أهداف جديدة.
ويقول تشين إن «هذه هي المرة الأولى التي نرى فيها حالة - من التي أشار الناس إليها على نحو نظري منذ فترة طويلة - لمجموعة تستغل نقاط الضعف ومواطن الاستغلال التي كانت مجهولة لديهم، ثم يعيدون استخدامها وتوجيهها في شن الهجمات على الآخرين».
ولا يبدو أن الجانب الصيني قد أعاد توجيه الأسلحة مرة أخرى ضد الولايات المتحدة، وذلك لسببين محتملين كما قال الباحثون في شركة «سيمانتيك». ربما افترض الجانب الصيني أن نظيره الأميركي قد طور الدفاعات المضادة لأسلحتهم السيبرانية الخاصة، وأنهم لا يرغبون في أن يكشفوا للولايات المتحدة سرقتهم لأدواتهم السيبرانية.
أما بالنسبة إلى وكالات الاستخبارات الأميركية، فإن ما كشفته شركة «سيمانتيك» تقدم أسوأ سيناريو حاول مسؤولون أميركيون تجنبه عبر استخدام برنامج البيت الأبيض المعروف باسم (عملية معادلة نقاط الضعف).
وبموجب هذه العملية، التي بدأت إبّان إدارة الرئيس الأسبق أوباما، يقدر منسق الأمن السيبراني في البيت الأبيض وممثلين من مختلف الوكالات الحكومية المعنية الأخرى، الموقف إزاء الحفاظ على مخزون الولايات المتحدة من نقاط الضعف السرية غير المعلنة. ويناقش الممثلون الحكوميون تجميع نقاط الضعف المذكورة لصالح جهود جمع المعلومات الاستخبارية أو الاستخدام العسكري، مقابل خطر اكتشافها من قبل خصوم مثل الصين.
وكان من جراء نشر مجموعة «وسطاء الظل» لأكثر أدوات وكالة الأمن القومي الأميركية طلباً في عامي 2016 و2017، أن اضطرت الوكالة إلى تسليم ترسانتها الخاصة من نقاط ضعف البرمجيات إلى شركة مايكروسوفت العملاقة من أجل الترميم وإغلاق بعض من عمليات مكافحة الإرهاب عالية الحساسية لدى وكالة الأمن القومي، كما صرح اثنان من موظفي الوكالة مؤخراً.
وكانت أدوات وكالة الأمن القومي الأميركية التي حصلت عليها كوريا الشمالية وروسيا قد استخدمت في إعاقة عمليات نظام الرعاية الصحية البريطاني، وإغلاق العمليات في شركة «ميرسك» للشحن البحري، وقطع الإمدادات اللازمة لإحدى اللقاحات من تصنيع شركة «ميرك». وفي أوكرانيا، تسببت الهجمات الروسية في إصابة الخدمات الأوكرانية الحرجة بالشلل، بما في ذلك المطار الدولي، والخدمات البريدية، ومحطات التزود بالوقود، وماكينات الصرف الآلية.
يقول مايكل دانيال، رئيس شركة «سايبر ثريت ألايانس»، الذي كان يشغل منصب منسق الأمن السيبراني الأسبق في إدارة الرئيس أوباما: «لا يمكن اعتبار أي من القرارات المتضمنة في العملية خالية من المخاطر. وهي ليست طبيعة عمل هذه الأشياء. ولكن الواقع الراهن يعزز من الحاجة الملحة لصياغة عملية مدروسة تنطوي على الكثير من المعادلات المختلفة، التي يجري تحديثها بصفة متواترة».
وبعيداً عن أجهزة الاستخبارات الأميركية، تتضمن العملية المذكورة وكالات حكومية أخرى مثل وزارة الصحة والخدمات الإنسانية، ووزارة الخزانة التي ترغب في ضمان أن نقاط الضعف المكتشفة لدى وكالة الأمن القومي لن يعلم بها أي من الخصوم أو المجرمين ويُعاد توجيهها ضد البنية التحتية الأميركية، مثل المستشفيات، أو المصارف، أو مصالح البلاد في الخارج.
وهذا بالضبط ما يبدو أنه حدث وفق ما كشفت عنه شركة «سيمانتيك»، كما قال تشين، الذي أوضح: «في المستقبل، سوف يحتاج المسؤولون الأميركيون إلى اعتبار الاحتمال المرجح بأن يُعاد توجيه أدواتهم الخاصة ضد الأهداف الأميركية أو حلفاء الولايات المتحدة». وقال المتحدثة الرسمية باسم وكالة الأمن القومي الأميركية إنه ليس لدى الوكالة تعليق فوري على تقرير شركة «سيمانتيك».
ومن بين عناصر تقرير شركة «سيمانتيك» التي تقلق تشين، كان ملاحظته أنه رغم اختفاء «مجموعة بوكآي» في أعقاب لائحة اتهام وزارة العدل الأميركية بشأن ثلاثة من أعضاء المجموعة في عام 2017، فإن أدوات وكالة الأمن القومي الأميركية المُعاد توظيفها لا تزال قيد الاستخدام في شن الهجمات السيبرانية في أوروبا وآسيا، واستخدمت تحديدا طيلة شهر سبتمبر (أيلول) لعام 2018.
وقال تشين متسائلا: «هل تزال (مجموعة بوكآي) ناشطة؟ أو ربما أنهم نقلوا تلك الأدوات إلى مجموعة أخرى لاستغلالها؟ لا تزال الإجابة غامضة. الناس يأتون ويذهبون. لكن الأدوات لم تبرح مكانها حتى الآن».

- خدمة «نيويورك تايمز»