"الدب الدافئ" يخترق مؤسسات أميركا إلكترونياً.. فما هو؟

time reading iconدقائق القراءة - 7
مبنى وزارة الخزانة الأميركية - AFP
مبنى وزارة الخزانة الأميركية - AFP
القاهرة-محمد عادل

أثار الهجوم الإلكتروني، الذي طال وزارة الأمن الداخلي الأميركية، والتجسس على رسائل البريد الخاصة بوزارتي التجارة والخزانة، جدلاً كبيراً في الأوساط الأمنية الأميركية، وهو ما دفع مسؤولين بوزارة التجارة الأميركية، ووكالة "سي أي أيه" ومكتب التحقيقات الفيدرالي، إلى فتح تحقيق فوري فيما حدث.

وتشير أصابع الاتهام إلى مسؤولية فريق (APT29)، أو "الدب الدافئ"، المحسوب على الحكومة الروسية، عن هجوم وزارة الخزانة الأميركية، وعدد من الوكالات الحكومية.

ويؤكد مختصون أن الفريق نفسه يقف وراء الهجوم  الذي تعرضت له شركة (FireEye) الأميركية، المتخصصة في قطاع الأمن المعلوماتي. وتعتبر الوكالات الأميركية الحكومية من أهم عملائها، إضافة إلى محاولته سرقة حسابات العاملين على تطوير لقاح كورونا في كندا وبريطانيا والولايات المتحدة.

فمن هو فريق "الدب الدافئ"؟ وما تاريخه في عالم الاختراق وحصد المعلومات؟ وما أشهر العمليات التي نفذها خلال السنوات الأخيرة؟

"الدب الدافئ"

يحمل فريق "الهاركز" الروسي (APT29)، أسماءً أخرى مثل (CozyDuke) و(Cozy Bear) أو الدب الدافئ، وهو فريق مشهور بدعم الدولة الروسية له، ومن المعروف استهدافه المستمر لحصد أي بيانات سريّة وحساسة من داخل الشبكات الإلكترونية للمؤسسات والوكالات الحكومية والمجموعات والأحزاب السياسية، وكذلك المعاهد البحثية.

ووفقاً لتقرير شركة "كاسبرسكي" الأمنية، فإن الفريق الروسي يُعد من أكثر مجموعات الاختراق الدولية خطورة، ومن أهم خصائصه استهدافه لمؤسسات على درجة عالية من الأهمية، وتطويره المستمر لتقنيات تشفير معقدة بما يصعب تعقبه.

وتأتي على قمة الحكومات المستهدفة من جانبه، كلا من: الولايات المتحدة الأميركية وألمانيا وأوزباكستان وكوريا الجنوبية.

 

عمليات سابقة

ولا يُعد هجوم "الدب الدافئ" ضد وزارة الخزانة الأميركية، الأول من نوعه على الحكومة الأميركية، ففي عام 2014، تعرضت واشنطن لاختراق في صورة هجوم ضخم استهدف البيت الأبيض ووزارة الخارجية، واعتبرته الإدارة الأميركية آنذاك، أسوأ هجوم إلكتروني تعرضت له في تاريخها، واستغرق تعافيها منه نحو 3 أشهر.

 

لقاح كورونا في المرمى 

وفي عام 2015 كانت هجمات "الدب الدافئ" أكثر شراسة، إذ استهدف الفريق الروسي نظام البريد الإلكتروني الداخلي الخاص بالبنتاغون الأميركي، وتعطلت عناوين البريد الإلكتروني الخاصة بـ4000 موظف، ما بين مدني وعسكري.

وفي العام نفسه، تسبب هجوم على الحزب الديمقراطي الأميركي في تسريب بيانات حساسة مثل كلمات المرور.

وخلال أزمة كورونا تصدر اسم الفريق الروسي، عناوين الأخبار في يوليو الماضي، عندما شن هجمة موسعة من الاحتيال الإلكتروني لسرقة كلمات المرور الخاصة بحسابات العاملين في المؤسسات البحثية التي تعمل على تطوير لقاح كورونا في كندا وبريطانيا والولايات المتحدة.

ووُجِهت اتهامات للفريق الروسي من جانب وكالة الأمن القومي الأميركية، والمركز القومي للأمن الدفاعي، والمركز الكندي للأمن الإلكتروني.

طريقة هجوم "الدب الدافئ" 

أوضحت شركة (SolarWinds)، وهي "شركة أميركية تقوم بتطوير برامج للشركات للمساعدة في إدارة شبكاتها وأنظمتها وبنيتها التحتية لتكنولوجيا المعلومات"، أن التحديثات البرمجية التي كانت تقوم بإرسالها إلى نظامها للإدارة والتتبع، تم التلاعب بها من جانب هجوم على مستوى رفيع من التعقيد.

وقالت الشركة إنه تمت إضافة برمجيات خبيثة بداخل التحديثات الرسمية، ما تسبب في عملية الاختراق، وذلك دون أن يلفت الهجوم انتباه عملائها من الضحايا.

وأكدت أنها تعاونت مع مايكروسوفت باتخاذ كافة الإجراءات التأمينية، لضمان عدم وقوع ذلك مستقبلاً.

قمة جبل الجليد

ورجحت وكالة "رويترز" أن الهجوم على وزارة الخزانة الأميركية وقطاع تنظيم وإدارة الاتصالات الحكومية الأميركية، ليس سوى قمة جبل من عمليات التجسس الموسعة التي تجرى ضد المؤسسات الحكومية والشركات الأميركية، وما يؤكد صدق توقعاتها تسريب بيانات مراسلات وزارة الأمن الداخلي الأميركية.

واستندت "رويترز" في ذلك الطرح إلى أن الشركة التي تسببت ثغرة في أحد أنظمتها، (SolarWinds)، لديها عملاء رفيعي المستوى وعلى قمتهم الشركات الأميركية المسجلة في مؤشر قائمة US Fortune 500، وهي أغلى 500 شركة بالولايات المتحدة.

كما تضم قائمة عملاء الشركة أكبر 10 شركات أميركية مقدمة لخدمات الاتصالات، والفروع الخمس للجيش الأميركي، ووزارة الخارجية الأميركية، ووكالة الأمن القومي، ومكتب الرئاسة الأميركية، ما يفتح مجالاً واسعاً لنفاذ منفذي الاختراق إلى أكبر المؤسسات والشركات الأميركية، وذلك بالتأكيد يعرض الأمن القومي للولايات المتحدة إلى الخطر.

واستهدف الهجوم حزمة من أدوات الكشف عن الثغرات Red Team Tools، والتي تستخدمها الشركة لاختبار دفاعات الأمن الإلكتروني لدى عملائها وإبلاغهم بها ومساعدتهم على سد تلك الثغرات.

مايكروسوفت ترد

وأرجعت شركة مايكروسوفت في بيان رسمي السبب وراء الهجوم، إلى ثغرة أمنية في نظام Orion للإدارة والتتبع الخاص بشركة SolarWinds، ما أتاح للمخترقين النفاذ إلى الشبكات الداخلية في المؤسسات الأميركية المستهدفة، وجعلهم قادرين على انتحال صفة أي موظف داخل تلك المؤسسات، حتى وإن كان مسؤولاً رفيع المستوى.