روسيا أم إيران.. من الذي يخترق برمجيات شركات النفط السعودية؟
عندما تلاعبت الحكومة الروسية بخوارزميات فيسبوك، وبقيّة الشبكات الاجتماعية، لتغيير الرأي العام الأميركي وإيصال دونالد ترامب إلى البيت الأبيض، لم يتوقّع العالم أن جنود "بوتين" يحملون في جعبتهم ما هو أثقل من ذلك على الصعيد التقني، فآخر الدراسات تضع روسيا في قفص الاتّهام بعدما حاول مُخترقون تفجير مُنشأة سعودية عبر إصابتها ببرمجيات خبيثة عن بُعد تقوم بتحويل تدفّق الغاز والنفط في الأنابيب لتدميرها دون إطلاق صاروخ واحد(1).
عادة ما تُخترق أنظمة الشركات لأطماع وأهداف كالاعتراض على سياساتها، أو لابتزاز القائمين عليها للحصول على عائد مادّي من سرقة وتشفير بيانات شبكاتهم. لكن شركات المملكة العربية السعودية عانت منذ عام 2016 من هجمات مُتفرّقة تارة مألوفة، وتارة أُخرى بأشكال جديدة وضعت الحكومة الأميركية وأجهزتها الأمنية في أهبّ الاستعداد(2).
تعرّضت أنظمة شركة التصنيع الوطنية لتوقّف مُفاجئ عن العمل في يناير/كانون الثاني من عام 2017 لتُمحى خلال دقائق معدودة محتويات جميع الأقراص الصلبة وتذهب البيانات دون عودة، ولتظهر بعدها صورة الطفل السوري "آلان كُردي"، الذي وُجدت جُثّته على شواطئ البحر الأبيض المتوسّط، في اعتراض واضح من قِبل المُخترقين على سياسة الشركات السعودية التي -بحسب الخُبراء- لها دور رئيسي في الحرب التي تجري في المنطقة(3).
|
لم ينشغل الباحثون الأمنيون كثيرا في تلك الحادثة. صحيح أن استعادة أنظمة الشركة كانت تكلفتها عالية، لكنّ تنفيذ هجمات اختراق لتدمير بيانات الشركة وعرض صورة ذات مدلول سياسي أمر طبيعي اعتاد العالم على سماعه مرارا وتكرارا. ومن هنا، فإن التحقيقات كانت تجري لمعرفة الثغرات التي سمحت باختراق الأنظمة أولا، ولمعرفة الجهة التي تقف خلفها ثانيا، إن أمكن.
عدم أخذ تلك الهجمات بجديّة كبيرة سببه الدفعة الثانية من الهجمات التي بدأت بعدها بأشهر قليلة فقط، والتي استهدفت من جديد شركات سعودية في مجال البتروكيماويات وتكرير النفط، هجمات لم تأتِ فقط لحذف البيانات وللاعتراض على سياسات الحكومة السعودية فحسب، بل لتنفيذ تفجيرات يُمكن اعتبارها إرهابية بدون قاتل يُعاني من مشاكل نفسية، أو لاجئ ينتمي إلى جماعات مُتشدّدة.
ظنّ الأطباء لفترة طويلة من الزمن أن جرثومة مرض نقص المناعة المُكتسب (HIV) هي التي تتسبّب في وفاة المريض. لتعود الدراسات وتُغيّر تلك القناعة، فجرثومة هذا المرض تختبئ في جسم الإنسان وتدرس جهازه المناعي لإضعافه. بعدها، وعندما يُصاب بأي جرثومة أُخرى، ولتكن تلك المسؤولة عن الزُّكام، سيفشل الجهاز المناعي في وظيفته ليموت المريض(4).
بالمنطق نفسه عملت الدفعة الثانية من الهجمات التي بدأت تقريبا منذ أغسطس/آب من عام 2017 دون اكتشاف أمرها حتى أغسطس/آب 2018، والتي استهدفت شركات خاصّة في المجال نفسه في محاولة للضغط على الحكومة السعودية التي تحاول تنويع مصادر دخلها بفتح باب الاستثمارات أمام الشركات الأجنبية عبر القطّاع الخاص.
تمكّن المُخترقون، بشكل أو بآخر، من العثور على ثغرات سمحت لهم بالدخول إلى الأنظمة دون ترك أي أثر، ودون الإيتاء بأي حركة، فالهدف من الصمت هو دراسة الأنظمة بشكل كامل ومعرفة كل صغيرة وكبيرة لإلحاق الضرر بها عندما تحين الحاجة، وهذا بحسب خُبراء أمنيين من شركة "فاير آي" (FireEye) المسؤولة عن دراسة الهجمات، والتي رفضت بدورها تسمية الشركات التي تعرّضت لتلك الهجمات حفاظا على سلامتها(5).
|
وتجدر الإشارة هُنا إلى أن أنظمة الحماية لم تكن المسؤولة عن اكتشاف أمر الهجمات السريّة، ولا حتى الشركات الأمنية، بل خطأ قامت به الجهات المُنظّمة لتلك الهجمات، فعوضا عن تنفيذ كود خبيث لتغيير مسار المواد الكيميائية في المُنشأة، قام الكود بإيقاف عمل الحواسب فيها ليشكّ المُهندسون بوجود شيء غير طبيعي قاموا على إثره باحتواء الحالة دون أي أضرار تُذكر(3). مرّت تلك الهجمات، المعروفة باسم "ترايتون" (Triton)، دون إثارة الكثير من الضجيج، فمع نهاية سبتمبر/أيلول 2018 نسي العالم وجودها، لتعود شركة "فاير آي" من جديد وتؤكّد عثورها على البرمجيات نفسها في مُنشآت أُخرى، وهذا مع بداية أبريل/نيسان من عام 2019.
يلجأ المُحقّقون عادة للبحث عن أعداء الضحيّة لوضعهم في خانة المُتّهمين، وهو ما دفع خُبراء شركة "سيمانتك" (Symantec)، رفقة "فاير آي"، للشك في كلٍّ من كوريا الشمالية، وإيران، رفقة روسيا أيضا. أما عن السبب الذي جعل أصابع الاتّهام تتّجه نحو الدول، فهو النفس الطويل لتلك الهجمات التي استمرّت لأكثر من عام دون اكتشاف أمرها، فأي شركة لا تحصل على دعم كافٍ من جهات حكومية لن تكون قادرة على إدارة هذا النوع من العمليات بمُفردها(6).
ترى "فاير آي" أن البرمجيات الخبيثة المُستخدمة من إنتاج مُختبرات تابعة للحكومة الروسية، لأن بعض الأنماط تكرّرت في هجمات قامت بها عناكب موسكو الإلكترونية، وهو ما دفع الشركة لنشر بعض الوسوم المُستخدمة في الملفّات الخبيثة ليقوم الخُبراء الأمنيون بالبحث عنها وتعطيلها إن وجدت. لكن في الوقت ذاته، لم تُستثن إيران أبدا من المشهد بسبب العداوة السياسيّة مع الحكومة السعوديّة، لتبقى القضيّة مُسجّلة ضد مجهول حتى اللحظة(7).
تأهّب أميركا ووكالاتها الأمنية لم يكن أبدا بسبب دور إيران وروسيا المُحتمل، بل جاء بسبب شركة "شنايدر" (Schneider Electric) المسؤولة عن تطوير نظام "ترايكونكس" (Triconex) المُستخدم في المُنشآت المُستهدفة، وفي أكثر من 18 ألف مُنشأة حول العالم، وهو نظام مسؤول عن حماية الأنظمة المُستخدمة في شركات النفط والغاز حول العالم. لذا، فإن حدوث تفجيرات وموت العشرات، مثلما حصل في الصين قبل أعوام، لم يكن الشغل الشاغل لها.
وبالعودة إلى نتائج التحقيقات، تم العثور على ملف مُزيّف يبدو أنه خاص بنظام "ترايكونكس" يقوم بزراعة البرمجيات الخبيثة داخل النظام دون أن يلحظها أحد، وهو ملف زُرع عن بُعد، الأمر الذي يجعل المهمّة أصعب على المُحقّقين المُتخوّفين من حدوث هجمات جديدة من النوع نفسه بعدما تعلّم المُخترقون من خطئهم الذي فضح أمرهم أول مرّة. قلق جميع الأطراف نابع أيضا من دراسة أمنية قام بها باحثون قبل أعوام نجحوا فيها باستهداف مُنشآت صناعيّة، وتحديدا مُنشأة افتراضيّة لتنقية المياه، ليقوموا بتغيير نسبة المواد الكيميائية فيها، وبتزييف البيانات الظاهرة في الحواسب، لكي لا يشعر العاملون فيها بأي اختلافات(8).
الكيان الصهيوني رفقة كلٍّ من أميركا وروسيا والصين وإيران هي الجهات التي تمتلك القدرات التقنية على تطوير هذا النوع من الهجمات بحسب الباحثين. لكنّ روسيا والصين وقّعتا سابقا على شراكات في مجال الطاقة مع المملكة العربية السعودية، في وقت لا يفوّت ترامب فيه أي فرصة للإشادة باستثمارات المملكة، وهذا يعني أن دولة الكيان الصهيوني يغيب الدافع عنها أيضا لاحتمائها الدائم بالرئيس الأميركي، لتبقى إيران في الواجهة. لكن لأن أصدقاء اليوم هم أعداء الغد في العالم السياسي، قد تكون الهجمات نُفّذت من أحد حُلفاء اليوم لضرب تلك المُنشآت عندما تسوء العلاقات في الغد.