قراصنة يستخدمون أدوات سيبرانية أميركية لـ«شل» مدن وخدمات

جهات كورية وروسية وصينية استغلت برنامجاً طورته وكالة الأمن القومي

مقر وكالة الأمن القومي في ماريلاند (نيويورك تايمز)

على امتداد نحو ثلاثة أسابيع، رزحت بالتيمور تحت وطأة هجوم سيبراني من جانب مبتزين جمدوا آلاف الكومبيوترات وأغلقوا عناوين بريد إلكتروني وأوقفوا مبيعات عقارات وسداد فواتير مياه وخدمات الإخطارات الصحية والكثير من الخدمات الأخرى.
إلا أن أكثر ما أصاب موظفي المدينة بالإحباط، ولا يعلمه سكان المدينة بعد، هو أن عنصراً محورياً في البرنامج الخبيث الذي استغله المجرمون السيبرانيون في الهجوم جرى تطويره بأموال دافعي الضرائب على مسافة قصيرة من «بالتيمور - واشنطن باركواي» في وكالة الأمن القومي، وفقاً لما ذكره خبراء أمنيون مطلعون على القضية.
منذ عام 2017. عندما فقدت وكالة الأمن القومي السيطرة على الأداة، التي تحمل اسم «إترنال بلو»، التقطها قراصنة يعملون لحساب حكومتي كوريا الشمالية وروسيا، والصين حديثاً. وسعى هؤلاء القراصنة لإثارة حالة من الفوضى عبر العالم، وخلفوا وراءهم خسائر تقدر بمليارات الدولارات. إلا أنه على مدار العام الماضي، عاود هذا السلاح السيبراني الظهور، وبدأ الآن يستهدف جهات في الفناء الخلفي لوكالة الأمن القومي.
ولا يقتصر الأمر على بالتيمور، وإنما أفاد خبراء أمنيون أن هجمات «إترنال بلو» وصلت لمستوى مرتفع غير مسبوق، وأن مجرمين سيبرانيين يستهدفون مدناً أميركية مختلفة، من بنسلفانيا حتى تكساس، وتسببوا في إصابة حكومات محلية بالشلل ودفعوا التكاليف نحو ارتفاع شديد.
لم يُكشف النقاب عن صلة وكالة الأمن القومي بالهجمات التي تعرضت لها مدن أميركية من قبل، الأمر الذي يرجع لأسباب عدة بينها رفض الوكالة مناقشة الأمر أو الاعتراف بخسارة هذا السلاح السيبراني والذي جرى طرحه عبر شبكة الإنترنت في أبريل (نيسان) 2017 من جانب مجموعة لم تتضح هويتها حتى الآن تطلق على نفسها اسم «ذي شادو بروكرز».
وبعد سنوات، لم تنجح الوكالة ومكتب التحقيقات الفيدرالي (إف بي آي) في توضيح ما إذا كانت «ذي شادو بروكرز» مجموعة جواسيس أجانب أو عناصر داخلية تشعر بالسخط. من جهته، وصف توماس ريد، خبير أمن سيبراني بجامعة «جونز هوبكينز»، الهجمات التي شنتها مجموعة «ذي شادو بروكرز» بأنها «الاختراق الأكثر تدميراً والأفدح تكلفة في تاريخ وكالة الأمن القومي». وأكد أنها ألحقت أضراراً أكبر عن تسريبات عام 2013 الشهيرة التي قادها إدوارد سنودين، المقاول السابق لدى وكالة الأمن القومي.
وأضاف: «رفضت الحكومة تحمل المسؤولية، أو حتى الإجابة على الأسئلة الأساسية. الواضح أن الرقابة التي يمارسها الكونغرس أخفقت في مهمتها. والآن، يستحق الشعب الأميركي الحصول على إجابة».
في المقابل، رفض كل من وكالة الأمن القومي و«إف بي آي» التعليق. فمنذ وقوع التسريبات، عمدت وكالات استخبارات أجنبية وعناصر مارقة إلى استغلال «إترنال بلو» لنشر البرنامج الخبيث الذي أصاب مستشفيات ومطارات وسككاً حديدية وشركات شحن وأجهزة صرف آلي ومصانع تنتج لقاحات بالغة الأهمية، بالشلل. والآن، بدأ هذا السلاح في ضرب الولايات المتحدة في أكثر منطقة حساسة، أي الحكومات المحلية المعتمدة على بنى تحتية متهالكة وموارد قليلة للدفاع عن نفسها.
وقبل تسريبه، كان «إترنال بلو» واحداً من أنجح أدوات الترسانة السيبرانية لدى وكالة الأمن القومي. وطبقاً لما ذكره ثلاثة موظفين سابقين لدى الوكالة اشترطوا عدم كشف هويتهم، قضى محللون قرابة عام للتوصل إلى نقطة ضعف في برنامج لـ«مايكروسوفت» ووضعوا شفرة لاستهدافها.
في البداية، أشاروا للأداة الجديدة باسم «إترنال بلوسكرين» (أي الشاشة الزرقاء) لأنها غالباً ما كانت تؤدي لانهيار الكومبيوترات، مخاطرة قد تكشف عن أهدافهم. إلا أنه بمرور الوقت، تحول إلى أداة قوية وجرى استغلالها عدة مرات في مهام جمع الاستخبارات ومكافحة الإرهاب.
وذكر مسؤولون سابقون بوكالة الأمن القومي أن «إترنال بلو» كان على درجة كبيرة من الأهمية، لدرجة أن الوكالة لم تفكر بجدية قط في تنبيه «مايكروسوفت» حيال الثغرات التي اكتشفتها، واستمرت في التكتم على الأمر لأكثر من خمس سنوات قبل أن يجبرها الاختراق الأخير على ذلك.
وجاء هجوم بالتيمور في 7 مايو (أيار) بمثابة هجوم فيروسي كلاسيكي. وفجأة ساد اللون الأسود شاشات موظفي المدينة وظهرت رسالة بإنجليزية ركيكة تطالب بنحو 100 الف دولار في صورة «بتكوين» لتحرير الملفات التي جرت قرصنتها. وقالت الرسالة التي حصلت «ذي بالتيمور صن» على نسخة منها: «نحن نراقبك منذ أيام. ولن نتحدث بعد الآن، كل ما نعرفه هو المال! أسرع!»
قبل يومين، كانت بالتيمور ما زالت تعاني من الشلل مع رفض مسؤولي المدينة دفع المبلغ المطلوب، وإن كانت بعض الخدمات قد جرت استعادتها. من دون «إترنال بلو»، لم يكن الضرر ليكون على هذه الدرجة من الضخامة، حسبما ذكر خبراء، إذ إنه يستغل نقطة ضعف في برنامج يسمح للقراصنة بنشر برنامجهم الخبيث بسرعة أكبر، وعلى مساحة أوسع.
وكانت كوريا الشمالية أول دولة تستغل الأداة في هجوم شنته عام 2017 أُطلق عليه اسم «وانا كراي»، وتسبب في إصابة نظام الرعاية الصحية البريطاني بالشلل، وكذلك خطوط السكك الحديدية الألمانية ونحو 200 ألف منظمة عبر العالم. وجاءت بعدها روسيا، التي استغلت الأداة في شن هجوم أطلق عليه اسم «نوت بتيا» استهدف أوكرانيا، لكنه انتشر عبر شركات كبرى تعمل بالبلاد. وكبد الهجوم «فيدكس» أكثر من 400 مليون دولاراً، وكذلك «ميرك» الشركة العملاقة بمجال الأدوية، 670 مليون دولار.
ولم يتوقف الضرر عند هذا الحد، فعلى امتداد العام الماضي استغل ذات القراصنة الروس الذين استهدفوا الانتخابات الرئاسية الأميركية عام 2016 «إترنال بلو» في إسقاط شبكات «واي فاي» بأحد الفنادق. كما استغله قراصنة إيرانيون في نشر برنامج خبيث والقرصنة ضد شركات خطوط جوية في الشرق الأوسط، تبعاً لما أفاد به باحثون في شركتي «سيمانتيك» و«فاير آي» الأمنيتين.
من ناحيته، قال فيكرام ثاكور، مدير شؤون الاستجابات الأمنية في «سيمانتيك» إنه «من المتعذر تصديق أن أداة كانت تستخدمها وكالات استخباراتية أصبحت اليوم متاحة علانية، ويجري استغلالها على نطاق واسع».
جدير بالذكر أنه بعد شهر من شروع «ذي شادو بروكرز» في نشر أدوات وكالة الأمن القومي عبر الإنترنت عام 2017، تواصلت الوكالة مع «مايكروسوفت» وعدد من الشركات التكنولوجية لإخطارها بعيوب البرنامج الخاص بها. وأصدرت «مايكروسوفت» أداة حماية، لكن تبقى مئات الآلاف من الكومبيوترات عبر العالم دونما حماية.
وعلى ما يبدو، وجد القراصنة في بالتيمور وألينتاون وسان أنتونيو وحكومات محلية أميركية أخرى نقاط ضعف تسهل مهاجمتها. في هذه الحكومات، غالباً ما يتولى موظفون عموميون الإشراف على شبكات معقدة تعتمد على برامج عفا عليها الدهر. في يوليو (تموز) الماضي، أصدرت وزارة الأمن الداخلي تحذيراً شديداً من أن حكومات ولايات وحكومات محلية تتعرض لهجمات باستخدام فيروس مدمر، بدأ في الاعتماد الآن على «إترنال بلو» للانتشار.
من ناحيتها، رفضت «مايكروسوفت» التي تتولى متابعة استخدام «إترنال بلو»، الكشف عن أسماء المدن المتضررة بدعوى حماية خصوصية المستخدم. إلا أن خبراءً آخرين مطلعين على الهجمات أكدوا أن القراصنة اعتمدوا على «إترنال بلو».
من جانبه، قال أميت سيربر، رئيس شؤون أبحاث الأمن لدى مؤسسة «سايبر سيزون»، إن المؤسسة التي يعمل بها استجابت لهجمات استخدم بها «إترنال بلو» في ثلاث جامعات أميركية مختلفة.
من ناحية أخرى، قد تكبد مثل هذه الهجمات تكاليف يصعب على الحكومات المحلية تحملها. فعلى سبيل المثال، تسبب هجوم ألينتون في فبراير (شباط) الماضي في تعطل خدمات المدينة لأسابيع وكلفت جهود إصلاح العطب نحو مليون دولاراً، إلى جانب 420 ألف دولاراً سنوياً لبناء دفاعات جديدة، حسبما ذكر ماثيو ليبرت، المسؤول الأول بالمدينة عن المعلومات.
وذكر مصدران مطلعان أن الفيروس الذي ضرب سان أنتونيو سبتمبر (أيلول) الماضي، أصاب كومبيوتر داخل مكتب عمدة مقاطعة بيكسار وحاول الانتشار عبر الشبكة باستخدام «إترنال بلو». وفي الأسبوع الماضي، اكتشف باحثون بشركة «بالو ألتو نتوركس» الأمنية أن مجموعة تابعة للدولة الصينية تدعى «إميساري باندا» اخترقت أجهزة تخص حكومات في الشرق الأوسط بالاعتماد على «إترنال بلو».
من جانبه، قال جين ميلر أوزبورن، نائب مدير شؤون استخبارات التهديدات لدى «بالو التو نتوركس»: «ليس من الضروري لدى انتهاء الموجة الأولى من الهجمات، أن تختفي الأداة. نتوقع أن يستمر استغلال «إترنال بلو» إلى الأبد لأن المهاجمين وجدوا فيها نظاماً قوياً ومفيداً».
* خدمة «نيويورك تايمز»