لعبت مجموعة قراصنة Sandworm الروسية، التي تقول حكومات غربية إنها "مقربة من الكرملين"، دوراً مركزياً في دعم الأهداف العسكرية الروسية في أوكرانيا، قبل أن توسّع نشاطاتها لتشمل تخريب البنية التحتية الحيوية للدول الأوروبية وتهديد مصالح حلف شمال الأطلسي "الناتو".
وتُنسب المجموعة الرّوسية التي تنشط منذ عام 2009، إلى مديرية الاستخبارات الرئيسية الروسية التابعة لهيئة الأركان العامة للقوات المسلحة، وتديرها الوحدة العسكرية 74455، وهي وحدة حرب إلكترونية تابعة للجيش الروسي GRU، وفق تحقيق أجرته شركة Mandiant المتخصصة في الأمن الرقمي، لكن السلطات الروسية دائماً ما تنفي صلتها بتلك المجموعة.
وعبر حلف شمال الأطلسي، الأسبوع الماضي، عن قلقه العميق إزاء تزايد "الأنشطة الخبيثة على أراضي الحلفاء" من جانب روسيا، مشيراً إلى ما وصفه بـ"الحملة المكثفة"، عبر المنطقة الأوروبية الأطلسية.
وتأتي المخاوف المتزايدة بشأن رغبة روسيا في إلحاق أضرار مادية بخصومها في أعقاب سلسلة من الاتهامات ضد موسكو بشأن "حملات تضليل وقرصنة"، استهدفت مصالح أوروبية.
الباحثة المشاركة في مؤسسة البحوث الاستراتيجية الفرنسية، لوفا رينل، اعتبرت في حديثها مع "الشرق"، أن الهجمات الإلكترونية التي تشنها روسيا على أوروبا محتدمة منذ ما يزيد عن 10 سنوات، إذ "تستغل موسكو البرمجيات وأدوات خبيثة للاضرار بمصالح أوروبا الحيوية وزعزعة الاستقرار ونشر الخوف"، وفق قولها.
من هم Sandworm؟
بدأت مجموعة Sandworm المعروفة أيضاً باسم "بلاك إينيرجي" و"فودو بير" وAPT28، تنشط منذ عام 2007 على الأقل، عندما تبنت عملية ضدّ إستونيا شملت تعطيل الإنترنت في المناطق الحيوية، مما أدى إلى قطع الاتصالات بين الحكومة والخدمات الصحية، وكان سبب الهجوم قيام السلطات الاستونية بإزالة نصب تذكاري للجيش السوفيتي من وسط العاصمة تالين.
ويتمتع المجندون في هذه المنظمة بقدرة عالية على التكيف ويعتمدون على طرق الوصول الأولية الشائعة مثل التصيد الاحتيالي وجمع بيانات الاعتماد بالإضافة إلى استغلال نقاط الضعف المعروفة، وفق شركة Mandiant التابعة لشركة جوجل.
وتعتمد المنظمة على 3 قنوات تليجرام رئيسية تحمل علامة تجارية للقرصنة، وهي XakNet Team وCyberArmyofrussia_Reborn وSolntsepek، وجميعها تعمل بالتوازي وبشكل مستقل عن بعضها البعض.
وقامت قناة Solntsepek بتسريب معلومات تعريف شخصية تخص أفراد الجيش والأمن الأوكرانيين قبل تغيير علامتها التجارية إلى "مجموعة قراصنة" في عام 2023 عندما بدأت في تبني الهجمات الإلكترونية التخريبية التي قامت بها.
وقالت الباحثة الفرنسية لوفا رينل في تصريحاتها لـ"الشرق"، إن "الهجمات الروسية تتخذ أبعاداً مختلفة وتمويهية يصعب تتبعها، وهي ذات طابع إجرامي وانتقامي"، وفق وصفها، مضيفة أن "موسكو لم تجر أي تحقيقات داخلية لمنع مثل هذه الهجمات".
وشددت على أن الألعاب الأولمبية التي تحتضنها باريس في الصيف المقبل، "ستكون بلا شك تحت التهديد الروسي، خاصة في ظل الصراع المحتدم في أوكرانيا، لكن فرنسا مستعدة لمواجهتها والتقليل من خطورتها".
وفي 17 أبريل 2024، أفادت شركة Mandiant بأن Sandworm المعروفة أيضاً باسم APT44، لها علاقات وثيقة بالاستخبارات الروسية. ومنذ أوائل عام 2024، أفادت التقارير أن المجموعة غيرت استراتيجيتها، وتعمل الآن أيضاً تحت اسم مجموعات قرصنة قومية متطرفة.
ويشير مكتب التحقيقات الفيدرالي الأميركي FBI، إلى أن المهاجمين عادة ما يستخدمون بعضاً من أكثر البرامج الضارة تدميراً في العالم حتى الآن، بما في ذلك؛ KillDisk وIndustroyer، اللذان تسبب كل منهما في انقطاع التيار الكهربائي في أوكرانيا من ديسمبر 2015 إلى ديسمبر 2016.
"حوادث اختراق سابقة"
حملة ماكرون
يُشتبه منذ فترة طويلة في مسؤولية الاستخبارات العسكرية الروسية، عن الاختراق الذي أدى إلى تسريب 9 جيجابايت من رسائل البريد الإلكتروني من حملة المرشح الرئاسي الفرنسي آنذاك إيمانويل ماكرون قبل الانتخابات الفرنسية في أوائل شهر مايو من عام 2017، وفق صحيفة "لوموند" الفرنسية.
وتمكنت Sandworm من الوصول إلى المعلومات بفضل اختراق حسابات البريد الإلكتروني المهنية والشخصية للعديد من أعضاء الحملة، وفق شركة Mandiant.
وأكد حزب ماكرون، في بيان صدر في أعقاب التسريب، أن قراصنة روس اخترقوا موقعه. وجاء في بيان: "كان الحزب ضحية لعملية قرصنة ضخمة ومنسقة، حيث تم بث معلومات داخلية متنوعة (رسائل بريد ووثائق وحسابات وعقود) على شبكات التواصل الاجتماعي".
واتهمت السلطات الأميركية والبريطانية، قراصنة روساً مدعومين من الدولة، بتنفيذ هجوم معقد على حملة ماكرون الرئاسية، حتى مع أن الحكومة الفرنسية لم تحدد رسمياً بعد المسؤولية عن الاختراق.
وكشفت هيئة محلفين اتحادية كبرى في الولايات المتحدة عن لائحة اتهام تتهم 6 مواطنين روس بمهاجمة آلاف الشركات والمؤسسات الحكومية وكيانات أخرى في الغرب، بما في ذلك حملة ماكرون.
لكن التحقيق الذي أجرته وكالة الأمن السيبراني الوطنية الفرنسية ANSSI، أدى إلى نتائج غير حاسمة، إذ قال رئيس الوكالة جيوم بوبارد لوكالة "أسوشيتد برس" إن الهجوم الذي تسبب في تسرب رسائل البريد الإلكتروني "كان عاماً وبسيطاً للغاية لدرجة أنه كان من الممكن أن يكون من صنع أي شخص عملياً".
الألعاب الأولمبية
في 9 فبراير 2018، نفذ قراصنة يعملون في خدمة وكالة الاستخبارات العسكرية الروسية المعروفة باسم GRU هجوماً إلكترونياً كان يهدف إلى شل الألعاب الأولمبية الشتوية التي أقيمت في بيونج تشانج في كوريا الجنوبية.
واخترقت البرمجيات الخبيثة التي أنشأها متسللون تابعون لمنظمة Sandworm شبكة الكمبيوتر الخاصة بالأولمبياد، إذ دمرت هذه البرمجية، التي عُرفت فيما بعد باسم "المدمرة الأولمبية"، الواجهة الخلفية لتكنولوجيا المعلومات المسؤولة عن كل شيء بدءاً من شبكة WiFi وحتى التطبيق الرسمي للأولمبياد ونظام تذاكر الألعاب، وفق "واشنطن بوست".
واتهمت بريطانيا، روسيا باستهداف الألعاب الأولمبية ببرمجيات خبيثة.
وأكد المركز البريطاني للأمن السيبيراني في تقرير نشرته الخارجية البريطانية، أن مجموعة تابعة للاستخبارات الروسية حاولت انتحال هوية صينية وكورية شمالية من خلال استهداف الحفل الافتتاحي من أجل التمويه على عمليات منظمة لتخريب الأنظمة الالكترونية للأولمبياد الشتوية.
وأوضح أن "المجموعة استهدفت وسائل إعلام ومنتجع شتوي وعدد من المسؤولين والقائمين على الألعاب والشركات الراعية لها"، مضيفاً أن محاولة تعطيل النظام الالكتروني للدورة الأولمبية تسبب في تخريب الحواسب على نطاق واسع".
واعتبر التقرير، أن الهدف من العملية كان إفشال الألعاب الأولمبية لأن البرمجيات الخبيثة كانت معدة لحذف البيانات ونتائج المسابقات علاوة على تعطيل الحواسيب والشبكات.
حرب أوكرانيا
بعد الغزو الروسي لأوكرانيا، استخدمت Sandworm تقنيات التكنولوجيا التشغيلية الجديدة لتنفيذ هجوم سيبراني تخريبي استهدف مؤسسة البنية التحتية الحيوية الأوكرانية في أواخر عام 2022، وفقًا لتحليل أجرته Mandiant.
وشاركت المجموعة في العديد من الهجمات الإلكترونية على البنية التحتية الحيوية في أوكرانيا. ويشمل ذلك الهجوم الشهير على شبكة الكهرباء في أوكرانيا في عام 2015، والذي ترك أجزاء من البلاد بدون كهرباء لعدة ساعات.
وأرجع جهاز الأمن الأوكراني، الهجوم الإلكتروني على شركة الهاتف المحمول Kyivstar إلى مجموعة القرصنة الروسية Sandworm في يناير الماضي.
وقال إيليا فيتيوك، رئيس قسم الأمن السيبراني بجهاز الأمن الأوكراني SSU، إنه تم إحباط العديد من الهجمات اللاحقة ضد كييفستار في الأيام التي تلت الحادث الأولي.
إمدادات المياه
في يناير الماضي، نشرت محموعات روسية على تليجرام، أنها تلاعبت بأنظمة تتحكم في إمدادات المياه في العديد من بلدات ولاية تكساس الأميركية، ومرفق مياه الصرف الصحي في قرية بولندية.
أدت إحدى هذه الهجمات الإلكترونية في موليشو، تكساس، إلى قيام قراصنة بإغراق برج المياه، وإرسال عشرات الآلاف من الجالونات من المياه إلى الشارع وأنابيب الصرف، وفقاً لصحيفة "واشنطن بوست".
واكتشفت مدينتان أخريان في تكساس أيضاً، نشاطاً ضاراً على شبكاتهما في نفس الوقت تقريباً الذي وقع فيه هجوم موليشو، وفقاً لتقارير CNN.
وفي مارس، شاركت مجموعة القرصنة نفسها مقطع فيديو مختلفاً زعمت فيه أنها تلاعب بمحطة فرنسية للطاقة الكهرومائية، ويمكنها التحكم في مستويات المياه.
ونقلت وكالة الأمن السيبراني وأمن البنية التحتية الأميركية CISA أن "Sandworm متورطة بشكل مباشر في هذه الهجمات الإلكترونية المحددة على أنظمة المياه".