الاستخبارات الأميركية حصلت على الدب السيبراني الخاطئ

بلغت قصة «القرصنة الروسية» في الولايات المتحدة أقصى ما يمكنها أن تبلغه. ولا يستند ذلك إلى أي دليل عام دامغ، والتقارير الإخبارية المرافقة هي في غالب الأمر مبالغ فيها للغاية لدرجة فقدان بوصلة الاتجاه، وهي مشكلة فقط لأولئك الذين يشعرون بالقلق حول حملات التضليل، والدعاية، والمعايير الصحافية - وهم لا يمثلون سوى شريحة ضئيلة من الجمهور العام. ولكن التقرير الحكومي الأميركي الأخير الذي صدر مؤخرا، ويحاول إثبات التفاصيل الفنية الكثيرة لمحاولات الاختراق الأخيرة من جانب أجهزة الاستخبارات الروسية هو أبعد ما يكون عن الصواب، ومن المحتمل أن يُلحق الكثير من الضرر بالكثير من الناس والمؤسسات.
والتقرير المشترك الصادر عن وزارة الأمن الداخلي ومكتب التحقيقات الفيدرالي يحمل اسما جذابا بحق «النشاط الإلكتروني الروسي الخبيث» - دب السهول - ويوفر عددا لا نهائيا من الفرص لعمليات الكشف الكاذبة التي تتعهد الحكومة الأميركية بنسبتها إلى روسيا.
لم يكن هدف التقرير هو تقديم الأدلة على، مثلا، العبث الروسي في الانتخابات الرئاسية الأميركية، ولكن التمكين الظاهري للمؤسسات الأميركية من الكشف عن جهود الاستخبارات الإلكترونية الروسية ورفع التقارير بشأن الحوادث ذات الصلة بتلك الجهود إلى الحكومة الأميركية. ومن المفترض للتقرير الأميركي المشترك أن يخبر مسؤولي الشبكات الإلكترونية عن الأشياء التي يبحثون عنها. ولهذه الغاية، يحتوي التقرير على قاعدة يارا - وهو نوع من الأكواد المستخدمة في تحديد عينات البرمجيات الخبيثة. وتحدد تلك القاعدة البرمجيات المسماة (حزمة «PAS» لأدوات الويب بلغة بي إتش بي). ولقد بحث بعض المهتمين الفضوليين بالأمور الأمنية عن هذه الحزمة ووجدوا أنه يسهل تحميلها من موقع (profexer.name). ولكن لم يعد يسهل تحميلها اعتبارا من يوم الاثنين الماضي، ولكن الباحثين لدى (فيجيت)، المطورين لبرنامج (ووردفينس) لحماية ووردبرس، التقطوا بعض صور الشاشة للموقع المذكور، والذي أعلن بكل فخر أن الحزمة من إنتاج أوكرانيا.
وهذا، بطبيعة الحال، ليس شيئا يستحق التصديق بالضرورة - أي شخص يمكن أن يكون من أي مكان على الإنترنت. والمطور الواضح للبرنامج الخبيث ينشط في منتدى للقراصنة باللغة الروسية ويعمل تحت اسم مستعار هو (Profexer). ولقد أعلن عن برنامج «PAS» وهو من البرامج المجانية، وشكر المتبرعين الذين ساهموا من كل مكان بحفنة من الدولارات إلى بضع مئات. والبرنامج يحمل مسمى قذيفة الإنترنت - وهو أداة يثبتها المتسلل على الخادم المخترق حتى يجعل من سرقة الملفات وزيادة التسلل أمرا يبدو قانونيا. وهناك الكثير من تلك الأدوات والبرمجيات على الإنترنت، وبرنامج «PAS» شائع للغاية - «يستخدمه المئات إن لم يكن الآلاف من القراصنة، الذين يرتبطون في غالب الأمر بروسيا، ولكنه مستخدم أيضا في جميع أنحاء العالم (إذا حكمنا من خلال المشاركات المسجلة في منتدى القراصنة)»، كما كتب روبرت غراهام من شركة (إيراتا سيكيورتي) المعنية بشؤون الأمن الإلكتروني، في مقالة على منتدى الأسبوع الماضي.
ونسخة برنامج «PAS» المحددة في التقرير الحكومي الأميركي هي عبارة عن عدة إصدارات من النسخة الحالية.
كتب مارك موندر من موقع (ووردفينس): «يمكن للمرء أن يتوقع بشكل معقول أن يطور عملاء الاستخبارات الروسية الأدوات الخاصة بهم، أو على الأقل استخدام الأدوات الخبيثة من مصادر التطوير الخارجية».
ومرة أخرى، لا يعتبر ذلك بالضرورة من قبيل التوقعات المعقولة. أي قرصان، سواء كان على صلة بالاستخبارات الروسية من عدمه، يمكنه استخدام أي أدوات يراها أو تراها مناسبة، بما في ذلك الإصدارات القديمة من النسخة المجانية من البرنامج المطور في أوكرانيا. حتى برنامج (Xagent)، البرنامج المستتر المرتبط بقوة بهجمات مجموعة من القراصنة المرتبطين بالاستخبارات الروسية - المجموعة المعروفة باسم (التهديدات المتقدمة المستمرة 28 أو الدب الواهم) - يمكن استخدامه بواسطة أي شخص يملك المعرفة التقنية لتنفيذ ذلك. وفي أكتوبر (تشرين الأول) من عام 2016، نشرت شركة (ESET) الأمنية تقريرا تزعم فيه أنها تمكنت من استعادة الكود الأصلي الكامل للبرنامج الخبيث. وإذا ما استطاعت تلك الشركة الحصول عليه، فيمكن للآخرين فعل نفس الشيء أيضا.
الآن، وحيث إن الحكومة الأميركية قد ربطت وبقوة بين برنامج «PAS» والقراصنة الذين تشرف عليهم الحكومة الروسية، فإنها تعد بمثابة الدعوة لأي لاعب من المستوى المتوسط في مجال البرمجيات الخبيثة لاستخدام نفس البرنامج (أو يستخدم Xagent، والمذكور أيضا في التقرير الأميركي المشترك) وتمرير أي أضرار ناجمة بأنها من نشاط الاستخبارات الروسية. ولم تساعد الحكومة الأميركية أحدا بنشرها قائمة عناوين (IP) المرتبطة بالهجمات الروسية. وأغلب هذه العناوين ليست لها أي صلة واضحة بروسيا، وبعض منها عبارة عن عقد إلكترونية خارجية على شبكة (Tor) المجهولة، وهي جزء من البنية التحتية لشبكة (Dark Web). وأي شخص من أي مكان يمكنه استخدام هذه العناوين.
يعتبر برنامج مايكروسوفت وورد من البرامج المطورة في الولايات المتحدة. ومع ذلك يمكن أن يستخدمه أي إنسان في العالم، - وربما - أحد العملاء التابعين للاستخبارات الروسية! وعلى نفس المنوال، فإن القرصان الموجود في الولايات المتحدة والذي يهدف إلى الحصول على بعض كلمات المرور وأرقام البطاقات الائتمانية أو يسعى إلى مجرد التفاخر والتبجح والصلف، يمكنه استخدام أي نوع من البرمجيات الخبيثة المتاحة في كل مكان، بما في ذلك المنتجات الروسية أو الأوكرانية ذات الصلة.
ولقد بدأ الارتباك بالفعل. في الأسبوع الماضي، إذ نشرت صحيفة «واشنطن بوست» خبرا مفاده «الكود المرتبط بعملية القرصنة الروسية يحمل اسم دب السهول» ولقد تم العثور عليه في حاسوب مكتبيّ في أحد المرافق بولاية فيرمونت، لتبدأ سلسلة مريعة من التصريحات القوية من جانب السياسيين حول الروس الذين يحاولون اختراق شبكة الطاقة في الولايات المتحدة. وسرعان ما ظهر أن الحاسوب المحمول المشار إليه لم يكن على اتصال بشبكة الطاقة الأميركية، ولكن على أي حال، إذا كان برنامج «PAS» هو الكود الذي عُثر عليه داخل الحاسوب وتم الإبلاغ عنه على النحو الواجب إلى الحكومة، فمن المرجح بشكل هائل أن يكون من قبيل الإنذار الكاذب. يرسل الآلاف من القراصنة والمتسللين الفرادى والجماعات الملايين من رسائل البريد الإلكتروني المتصيدة للضحايا، والمقصود من الشخص ذي النيات الحسنة النقر على رابط ما، وبالتالي يسمح للمتسلل بالدخول إلى حاسوبه الشخصي. والآن، لديهم حافز قوي لاستخدام برمجيات التسلل الروسية ضد الأهداف الأميركية.
وبالنسبة لعملاء الاستخبارات الروسية، فإنها من الفرص السانحة - إلا إن كانوا كسالى كما تشير إليهم التقارير الأميركية. وهم، بدورهم، يحتاجون إلى التحول إلى البرمجيات الخبيثة المطورة على أيدي خبراء البرمجيات من غير المتحدثين باللغة الروسية. وحيث إن عملهم يميل إلى الاتصال بالحكومة الروسية بناء على التعليقات باللغة الروسية في الكود، وغير ذلك من الأدلة العرضية، ويشعر مجتمع الأمن الإلكتروني والحكومة الأميركية بالارتياح مع هذه الصلة، فكل ما يحتاجون إليه هو وجود التعليقات الصينية، أو دعنا نقل، الألمانية.
يجعل مجتمع الاستخبارات الأميركي من نفسه أمثولة أمام العالم تحت الضغوط السياسية الرهيبة التي تمارسها الإدارة الأميركية المنتهية ولايتها، ومن جانب بعض الصقور المتشددين في الكونغرس كذلك. وحري بمجتمع الاستخبارات الأميركي أن يتوقف عن فعل ذلك. من المستحيل نسبة هجمات القراصنة بناء على البرمجيات المتاحة في المجال العام للجميع، وبناء على عناوين (IP) المستخدمة في الهجمات فحسب. وعلاوة على ذلك، ليس الأمر ضروريا بالأساس: ينبغي على المؤسسات والأفراد التركيز على منع وقوع الهجمات، وليس القيام بدور ألعاب اللوم والتقريع بعد وقوع الكوارث. والجزء الأكثر إفادة من التقرير الحكومي الأميركي المشترك هو، ويا للسخرية، هو الجزء الأكثر وضوحا وعمومية - وهو الجزء الذي يتعامل مع استراتيجيات التخفيف من الهجمات. فهو يخبر المديرين بالتحديث المستمر للبرمجيات، وتدريب الموظفين على أدوات الأمن الإلكتروني، وتقييد امتيازاتهم الإدارية، واستخدام برمجيات الحماية القوية ضد الفيروسات وتهيئة جدران الحماية النارية في أجهزتهم. وفي معظم الحالات، من شأن ذلك أن يمنع تسلل القراصنة الروس، والصينيين، والقراصنة المحليين كذلك. ربما كان قد استفاد الديمقراطيون في الولايات المتحدة من هذه النصائح قبل أن يتعرضوا للاختراق، ومما يؤسف له أنهم إما لم يحصلوا عليها أو حصلوا عليها بالفعل ثم تجاهلوها.
* بالاتفاق مع «بلومبيرغ»