هل تقف روسيا خلف هجمات "بيتيا" الخبيثة؟
إن لم تقتنع الشركات والأفراد، أو حتى الحكومات، بضرورة تثبيت آخر التحديثات الصادرة لأنظمة التشغيل والبرامج التي يقومون باستخدامها، فإن هجمات "تريد البكاء" (WannaCry) جاءت كعبرة لمن لم يعتبر.
وفي وقت ظنّ فيه البعض أنها مُجرّد هجمات عابرة لن تتكرّر قبل عام أو اثنين، حصل ما لم يكن بالحسبان، هجمات جديدة تستغل نفس الثغرة تقريبًا التي أصابت نظام ويندوز لتُصيب مجموعة كبيرة من الأجهزة، وهي هجمات عُرفت باسم "بيتيا" (Petya).
وسائل الإعلام زادت من شدّة تلك الهجمات ومن تأثيرها، فالعناوين جاءت كإعلان للحرب خصوصًا بعد وصف "بيتيا" تارة بكونها هجمات خبيثة، وتارةً بكونها هجمات اختراق، وأُخرى بكونها هجمات لانتزاع الفدية. حاول الخُبراء الأمنيون تحليل نشاط البرمجية لمعرفة ما الذي يحدث ليرصدوا تشابه مع هجمات سابقة لانتزاع الفدية تحمل اسم "بيتيا" ظهرت عام 2016. ولهذا السبب ظهرت هذه التسمية(1).
لكن بعدها بساعات قليلة، تبيّن أن الهجمات الجديدة تختلف تمامًا عن هجمات 2016، لتظهر تسمية جديدة وهي "نت بيتيا" (NotPetya)(2). كما ذهب البعض لإطلاق تسميات أُخرى مثل "إكس بيتير " (ExPetyr)، أو "غولدن آي" (GoldenEye)، أو حتى "نيتيا" (Nyetya)، و"بيت راب" (PetrWrap)(3).
تعدّدت التسميات والنتيجة واحدة، هجمات أدّت إلى إيقاف أنظمة مطار "بوريسبيل" (Boryspil) في أوكرانيا رفقة نظام المصرف المركزي، ومحطّة توليد الطاقة الرئيسية، دون نسيان أنظمة الحكومة ومفاعل "تشيرنوبيل" (Chernobyl) النووي. في روسيا، لم تختلف الحدّة أيضًا، فشركة استخراج النفط "روسنفت" (Rosneft)، إضافة إلى "إيفراز" (Evraz) لإنتاج المعادن تضرّرتا جراء تلك الهجمات(4).
وقفزت الأضرار من القارّة العجوز إلى أميركا، حيث تضرّرت مشافي ومؤسّسات مُتخصّصة في مجال إنتاج الأدوية هناك بعدها بساعات قليلة. كما أن أنظمة شركة "فيد إكس" (FedEX) في هولندا توقّفت لفترة بسيطة عن العمل بسبب نفس الهجمات(5). جميع الحواسب المُتضرّرة كانت تتوقف عن العمل ثم تبدأ التشغيل بشكل آلي مع عرض رسالة تُفيد بأن الملفّات مُشفّرة تمامًا ويحتاج المستخدم لدفع فدية لفك تشفيرها واستعادة السيطرة. المبلغ المطلوب هذه المرّة كان 300 دولار أميركي، لكن آلية التحصيل فتحت أبوابًا واسعة من الأسئلة لأن تلك الهجمات ليست طبيعية أبدًا.
إلى هُنا يبدو أن ما حصل كان مُجرّد استغلال لثغرات أمنية في نظام ويندوز بغضّ النظر عن أي شيء آخر. لكن تحليل أداء برمجية "بيتيا" كشف عن أكثر من نقطة هامّة جدًا تبدأ من آلية العمل. في حقيقة الأمر لا تؤدّي الهجمات إلى تشفير الملفات أبدًا، بل تقوم بحذف البيانات المُخزّنة على القرص الصلب، وتحديدًا الموجودة في الربع الأول من القطّاعات، وهي قطّاعات بالأساس محجوزة للنظام ولا تحتوي على بيانات حسّاسة(8). ومن هنا فإن دفع 300 دولار أميركي كفدية لن يُساهم أبدًا في استعادة الملفّات التي لم تُشفّر بالأساس، فتضرّرها يعني حذفها وليس تشفيرها فقط. وبالحديث عن دفع الفدية فإن هذا الأمر بحد ذاته مشبوه ولا يعكس وجود نيّة بالأساس لتشفير الملفّات، أو لجمع النقود.
عادة وعند وجود مثل تلك الهجمات فإن المُخترق أو الجهة التي تقف خلف الهجوم تقوم بإنشاء محفظة إلكترونية لاستقبال الفدية على هيئة "بت كوين" (BitCoin)، وتلك المحفظات تتولّد بشكل آلي بناء على أجهزة المُتضرّرين؛ عند إصابة 10 أجهزة، تقوم البرمجية الخبيثة بتوليد رقم عشوائي فريد من نوعه لكل جهاز، بحيث يتم استخدام نفس الرقم لإنشاء محفظة جديدة. من خلال تلك الطريقة كان بالإمكان فك التشفير فورًا، فعندما يتم إرسال المبلغ إلى المحفظة، يتم أخذ رقمها وإرساله إلى برمجية أُخرى تقوم بفك تشفير ملفّات الجهاز الذي يحمل نفس الرقم.
مجموع ما حصل عليه المُخترق لم يتجاوز 10000 دولار أميركي، وهذا رقم صغير جدًا أمام هجمات من هذا النوع كان بالإمكان استغلالها بشكل آخر وتحصيل مئات الآلاف بسهولة تامّة |
أما في هجمات "بيتيا" فإن الجهة قامت بإنشاء محفظة واحدة وطلبت من أي شخص مُتضرّر أن يقوم بتحويل 300 دولار إلى تلك المحفظة ثم إرسال رسالة إلكترونية إلى عنوان بريدي تحتوي على رقم المحفظة التي أرسلت المبلغ، وعلى الرقم الظاهر على شاشة الحاسب المُتضرّر(9).
المُحصّلة بحسب تتبّع نشاط التحويلات إلى تلك المحفظة لم تتجاوز 30 إلى 35 عملية تقريبًا، أي أن مجموع ما حصل عليه المُخترق لم يتجاوز 10000 دولار أميركي، وهذا رقم صغير جدًا أمام هجمات من هذا النوع كان بالإمكان استغلالها بشكل آخر وتحصيل مئات الآلاف بسهولة تامّة. هذا يعني أن الهجمات لم تكن هجمات انتزاع الفدية لأن دفع المبلغ لن يؤدّي إلى استعادة الملفات المُتضرّرة، فالضرر الرئيسي كان يلحق ملفّات الإقلاع فقط، وليس ملفّات المُستخدم.
أمر آخر جاء لتأكيد نفس النقطة وهو الاعتماد على حساب بريدي من شركة "بوستيو" (Posteo) الألمانية التي قفلت الحساب، وأي حساب آخر بنفس النشاط لأنه مخالف لشروط الاستخدام التي تمنع الاستفادة من الحسابات لأغراض خبيثة(10). ما سبق يعكس بشكل أو بآخر جهل القائمين على تلك الهجمات من جهة. لكنه من جهة أُخرى يعكس دهاء كبير جدًا وغايات تتجاوز ما شاهدنا بالعين المُجرّدة.
المُتّهم الأول بكل تأكيد هي روسيا على الرغم من كونها المُتضرّر الثاني خلف أوكرانيا. لكن وبسبب الحرب الدامية بين الطرفين منذ 2014، توجّهت أصابع الاتّهام صوب روسيا التي يُمكن اعتبارها الأوفر حظًّا بالاستفادة من مثل تلك الهجمات، خصوصًا أن الجهود بدأت في أوكرانيا قبل أي بلد آخر. الاتّهام جاء من سوابق روسيا، فهي في 2015 حرّضت جماعات للهجوم على محطّة توليد الطاقة في أوكرانيا وتعطيل أنظمتها، وهو ما أدّى إلى انقطاع التيار الكهربائي عن أكثر من 200 ألف شخص.
إلى هُنا يُمكن اعتبار الأمر مُجرّد تراشق للاتهامات، لكن نفس اليوم الذي بدأت فيه الهجمات، حدث مشهد أمني دامي أدّى إلى مقتل عقيد في الجيش الأوكراني، وهو "مكسيم شابوفال" (Maksim Shapoval) الذي كان يُشرف على تحقيقات ضد روسيا وانتهاكاتها في الحرب على أوكرانيا(11). ذلك القيادي العسكري قُتل في تفجير استهدف سيّارته، لكننا بالكاد سمعنا عن الخبر في ظل تصاعد حدّة الهجمات الإلكترونية والمؤسّسات التي تضرّرت منها.
تدخّل حلف شمال الأطلسي "ناتو" في تلك الهجمات أيضًا، فالمتحدث القانوني في مركز الأبحاث في الحلف قال إن ما حدث أدّى إلى تضرّر أنظمة بعض الحكومات، وهذا يُفعّل دور المادّة الخامسة التي تُجبر الحلف على التدخّل عسكريًا للرد على تلك الهجمات(12). ما سبق يعني أن إثبات مصدر الهجمات والدولة التي تقف خلفه سيؤدّي إلى عمل عسكري مُحتمل ضدّها لانتهاكها سيادة دولة أُخرى بنيّة إلحاق الضرر حتى لو كان إلكتروني.
استخدام ويندوز 10 أمر مُحبّب جدًا نظرًا لمستوى الحماية الأعلى الذي يوفّره في الوقت الراهن. كما تعمل الشركة حاليًا على تطوير نظام يسمح بقفل الملفّات ويمنع أي برنامج من التعديل عليها، وهذا من شأنه تقليل مخاطر هذا النوع من الهجمات، فحتى لو تمكّنت برمجيات خبيثة من الوصول إلى الحاسب، لن تكون قادرة على تشفير الملفّات الهامّة إذا ما قام المستخدم بتفعيل خيار "التحكّم بالوصول إلى الملفّات والمُجلّدات" (Controlled folder access)(13).
أما المُتضرّرين من "بيتيا" فإنقاذ حواسبهم ما يزال مُمكن دون دفع الفدية التي لا فائدة منها، وذلك من خلال فصل الجهاز بالكامل من التيار الكهربائي، ومن ثم استخراج القرص الصلب ووصله بحاسب آخر غير مُتضرّر. في تلك الحالة يُمكن محاولة إصلاح القطّاعات المُتضرّرة واستعادة ملفّات الإقلاع المحذوفة ليعود كل شيء كما كان(14).
والأهم مما سبق هو أخذ نسخة احتياطية باستمرار من الملفّات المُخزّنة على الحاسب. والأفضل هو تخزين الملفات الضرورية على السحاب واستعادتها فقط عند الرغبة بالتعديل عليها. هنا حتى لو نجحت الهجمات في إصابة الحاسب، يُمكن وبكل سهولة حذف كل شيء وتثبيت النظام من جديد. أما الملفّات فهي في مأمن طالما أنها مُخزّنة على السحاب، لتكون استعادتها سهلة جدًا ولا تتطلّب كثيرًا من الوقت.
لن تكون "بيتيا" الأخيرة أيًا كان مصدرها خصوصًا بعد الظنون حول "أريد البكاء" التي بدت وقتها وكأنها سحابة عابرة، لتتبعها الهجمات الأخيرة وتُفنّد تلك الظنون والأقاويل. لإسقاط الخصم بالضربة القاضية يُمكن اتبّاع الكثير من الإستراتيجيات، وهنا الحديث عن كافّة الأصعدة، الرياضة منها والتقنية أيضًا. الأنسب هو توجيه مجموعة مُتتابعة من اللكمات للخصم حتى ينهار لتوجيه الضربة القاضية فيما بعد ولضمان تأثيرها بالشكل الأمثل.
هذا تمامًا ما حدث، فهجمات "أريد البكاء" جاءت كلكمات مُتتابعة فقط، لتعقبها هجمات "بيتيا" التي بدت وكأنها ضربة قاضية على الرغم من كونها أضعف من سابقتها، لكن العامل النفسي كان حاسمًا وساهم بذلك السقوط.