اختراق المصدر.. ما هجوم سلسلة التوريد؟

cyber threat
اختراق سلاسل التوريد موجه للأدوات التي تستخدم في صناعة البرامج (غيتي)

لطالما تم تحذيرنا حول الأمن السيبراني بعبارات بسيطة، مثل احذر أن تكون مرفقات بريدك الإلكتروني من مصادر غير مألوفة، ولا تسلّم بياناتك إلى موقع إنترنت احتيالي، ولكن ومع تزايد هذه التحذيرات التي قوضت حركة المتسلّلين أصبح هؤلاء المجرمون يبحثون عن اختراقات المصادر الأساسية لأمننا وليس الاختراق المباشر لنا، فماذا لو اُختُرِقت الأجهزة والبرامج الأصلية التي تستخدمها من مصدرها؟

يُعرف هذا الشكل الخبيث والمُتزايد من القرصنة باسم "هجوم سلسلة التوريد" (Supply chain attacks)، وهي تقنية يقوم فيها الخصم بإيصال تعليمات برمجية ضارة، أو مكوّن ضار، إلى جزء موثوق فيه من البرامج أو الأجهزة، حيث يتمكن المُهاجمون أو المخرّبون من سرقة نظام التوزيع بالكامل الخاص بالبرنامج لتحويل أي تطبيق يبيعونه وأي تحديث برمجي يدفعونه، وحتى المعدات المادية التي يشحنونها للعملاء؛ إلى أحصنة طروادة (حصان طروادة شفرة صغيرة تُحمَّل مع برنامج رئيسي من البرامج ذات الشعبية العالية، ويقوم ببعض المهام الخفية، وغالبًا تتركز على إضعاف قوى الدفاع لدى الضّحية أو اختراق جهازه وسرقة بياناته)، وذلك من خلال مورد واحد، أي أنه من خلال تدخّل واحد في وضع جيد يمكنهم إنشاء نقطة انطلاق لشبكات عملاء المورد، حيث يصل عددهم أحيانًا إلى مئات أو حتى آلاف الضحايا.

فعلى سبيل المثال، بدل أن يخترق القراصنة حسابا شخصيا لبريد إلكتروني، فإنهم يركزون على اختراق البريد نفسه، وبهذه الحالة يعد أي حساب إلكتروني يتم إنشاؤه مخترقا من البداية.

ويقول نيك ويفر، وهو باحث أمني في المعهد الدّولي لعلوم الحاسوب بجامعة كاليفورنيا في بيركلي؛ "من الطبيعي أننا نثق في الشركات التي تطور أنظمتنا ونعتبر كل مطور لنظام قادر على حماية نظامه، خاصة إذا كان من الأسماء الكبيرة في عالم التقنية، لذلك تُعد هجمات سلسلة التوريد مخيفة؛ لأنه من الصعب حقا التعامل معها، ولأنها توضّح كيف يمكن للثقة في الأنظمة الكبيرة أن تكون ضارة".

وشهد العالم على خطورة هجمات سلسلة التوريد في ديسمبر/كانون الأول الماضي، وذلك عندما كُشف النقاب عن أن المُهاجمين الرّوس -الذين حُدّدوا لاحقا على أنهم يعملون لصالح جهاز المخابرات الروسية؛ والمعروف باسم "إس في آر" (SVR)- اخترقوا شركة البرمجيات الشهيرة "سولار ويندز" (Solar Winds)، ووضعوا شفرة ضارة في أداة إدارة تكنولوجيا المعلومات الخاصة بها، المعروفة باسم "أوريون" (Orion)، مما سمح بالوصول إلى ما يصل إلى 18 ألف شبكة تستخدم هذا التطبيق حول العالم.

واستخدمت "إس في آر" هذا الاختراق لسلسلة التوريد كموطئ قدم لها في شبكات تسع وكالات فدرالية أميركية على الأقل، بما في ذلك وكالة ناسا ووزارة الخارجية ووزارة الدّفاع ووزارة العدل.

الصادم في هذا الاختراق أن المهاجمين قاموا باختراق الجزء الأساسي في المنظومة، ووضعوا بابا خلفيا ربما منذ سنوات، وأصبح بإمكانهم الدخول والخروج من النظام وقتما شاؤوا من دون أن تعلم الشركة المطورة ذلك، مما أدى إلى اختراق جميع عملاء الشركة الكبار، فلا داعي أن يصرف المخترقون الوقت والجهد لاختراق وكالة الدفاع أو وزارة الخارجية، يكفي أن يخترقوا المصدر الموزع للبرمجيات لهذه المؤسسات.

محاولات سابقة

ولكن، وبقدر ما كانت عملية التجسس على "سولار ويندز" صادمة، فإنها لم تكن فريدة من نوعها، حيث ضربت هجمات سلسلة التوريد الخطيرة الشركات في جميع أنحاء العالم لسنوات، وذلك قبل حملة روسيا الجريئة الأخيرة.

الهجمات السيرانية و روسيافي 2017 سرق متسللون روس تحديثات البرامج الخاصة ببرنامج المحاسبة الأوكراني "مي دوك" (رويترز)

فقد اُكتشِف اختراق لأداة تطوير برمجيات تبيعها شركة تدعى "كود كوف" (CodeCov) الشهر الماضي فقط، والتي منحت المهاجمين الوصول إلى مئات شبكات الضحايا، وأيضا نفّذت مجموعة قرصنة صينية معروفة باسم "باريوم" (Barium) ما لا يقل عن 6 هجمات لسلسلة التوريد على مدى السنوات الخمس الماضية، حيث أخفت التعليمات البرمجية الضارة في برنامج شركة "آسوس "(Asus) لصناعة الحاسوب، وفي تطبيق تنظيف القرص الصلب المعروف باسم "سي كلينر" (CCleaner).

وفي عام 2017، سرق المتسللون الروس -"ساند ورم" (Sandworm)، والمعروف بأنهم جزء من جهاز المخابرات العسكرية "جي آر يو" (GRU)- تحديثات البرامج الخاصة ببرنامج المحاسبة الأوكراني "مي دوك" (MEDoc)، واستخدموه لدفع الشفرة المدمرة والمنتشرة ذاتيا والمعروفة باسم "نوت بتيا" (NotPetya)، التي تسبّبت في النهاية في حدوث ضرر بقيمة 10 مليارات دولار في جميع أنحاء العالم، والذي اُعتبر أغلى هجوم إلكتروني في التاريخ.

البداية من نظام يونيكس

ظهرت هجمات سلسلة التوريد في الواقع لأول مرة منذ حوالي 4 عقود، وذلك عندما أراد كين تومسون -وهو أحد مبتكري نظام التشغيل يونيكس (Unix)- معرفة إذا كان بإمكانه إخفاء باب خلفي في وظيفة تسجيل الدخول إلى يونيكس.

لم يقم تومسون بمُجرّد وضع قطعة من التعليمات البرمجية الخبيثة التي منحته القدرة على تسجيل الدخول إلى أي نظام؛ بل إنه أيضا عمل على بناء مترجم (والذي هو أداة لتحويل كود المصدر المقروء إلى برنامج قابل للتنفيذ يمكن قراءته آليا)، حيث وضع الباب الخلفي سرّا في الوظيفة عندما نفّذ عملية تجميعه، ثم ذهب إلى أبعد من ذلك وأفسد المترجم، حيث لا تظهر أي علامات واضحة على التلاعب في الكود المصدري لمترجم المستخدم.

كتب تومسون في محاضرة يشرح فيها نظريته عام 1984 قائلا "الأخلاق واضحة، لا يمكنك الوثوق في التعليمات البرمجية التي لم تصنعها بنفسك بالكامل (خاصة الكود من الشركات التي توظف أشخاصا مثلي)".

وتعد تلك الحيلة النظرية نوعا من هجوم سلسلة التوريد المزدوجة؛ فالاختراق لا يفسد قطعة برمجية مستخدمة على نطاق واسع فقط، بل الأدوات المستخدمة لإنشائها أيضا، حيث أصبحت منذ ذلك الحين حقيقة واقعية أيضا.

ووزّع المُخترقون عام 2015 نسخة مزيفة من "إكس كود" (XCode) التي تُعد أداة تستخدم لبناء تطبيقات "آي أو إس" (iOS) التي بدورها وضعت خفيةً (بطريقة سرية) رموزًا ضارة في العشرات من تطبيقات آيفون (iPhone) الصينية، كذلك الأمر ظهرت هذه التقنية مرة أخرى عام 2019 عندما أتلف قراصنة الباريوم الصّينيون إصدارًا من مترجم مايكروسوفت فيجيوال ستوديو (Microsoft Visual Studio)، حيث يسمح لهم بإخفاء البرامج الضارة في العديد من ألعاب الفيديو.

هذه الاختراقات ليست موجهة للبرامج نفسها، بل للأدوات التي تستخدم في صناعة البرامج، وهذا يعني أن أي برنامج يتم إنشاؤه باستخدام هذه الأدوات سيكون مخترقا.

ويجادل نيك ويفر بأن الزيادة في هجمات سلسلة التوريد قد تكون راجعة جزئيّا إلى تحسين الدفاعات ضد المزيد من الهجمات البدائية، فقد كان على المُخترقين البحث عن نقاط دخول أقل سهولة في الحماية، كما توفّر هجمات سلسلة التوريد الوفرة بالحجم؛ أي اخترق أحد موردي البرامج ويمكنك الوصول إلى مئات الشبكات.

لن يكون منع هجمات سلسلة التوريد في المستقبل أمرًا سهلا؛ حيث إنه لا توجد طريقة بسيطة للشركات لضمان عدم تلف البرامج والأجهزة التي تشتريها، فقد يكون من الصعب خصوصا اكتشاف هجمات سلسلة توريد الأجهزة حيث يقوم الخصم مادّياً بوضع تعليمات برمجية أو مكونات ضارة داخل قطعة من المعدات، في حين زعم تقرير قنبلة من بلومبيرغ ( Bloomberg) عام 2018 أن رقائق تجسُّس صغيرة كانت مُخبأة داخل اللوحات الأم (SuperMicro) المستخدمة في الخوادم داخل مراكز بيانات أمازون (Amazon) وآبل (Apple)، علما أن جميع الشركات المعنية أنكرت القصة بشدة كما فعلت وكالة الأمن القومي، ولكن التسريبات السرية لإدوارد سنودن كشفت عن أن وكالة الأمن القومي نفسها قد سرقت شحنات من أجهزة توجيه سيسكو وأدخلتها في أبواب خلفية لأغراض التّجسّس الخاصّة بها.

احذر مجرمي الإنترنت والروابط الإلكترونية القصيرة Internet crime cyber crime securityالخبراء يرون أن الحل لهجمات سلسلة التوريد ربما لا يكون تقنيا بقدر ما هو تنظيمي (دويتشه فيله)

ويقول بو وودز -أحد كبار مستشاري وكالة الأمن السيبراني وأمن البنية التحتية- إن الحل لهجمات سلسلة التّوريد -على كل من البرامج والأجهزة- ربما لا يكون تقنيا بقدر ما هو تنظيمي، حيثُ تحتاج الشّركات والوكالات الحكومية إلى معرفة مورّدي البرامج والأجهزة وفحصهم وإلزامهم بمعايير معيّنة، ويقارَن هذا التّحول بالطّريقة التي تسعى بها شركات مثل تويوتا (Toyota) إلى التّحكم في سلاسل التوريد الخاصة بها، والحدّ منها لضمان الموثوقية، والشيء نفسه يجب القيام به الآن للأمن السيبراني.

ويضيف وودز "إنهم يتطلّعون إلى تبسيط سلسلة التوريد؛ عددٌ أقلّ من المورّدين وقطع غيار عالية الجودة من هؤلاء المورَدين"، وأضاف "لقد كان تطوير البرمجيات وعمليات تكنولوجيا المعلومات في بعض النواحي يعيد تعلم مبادئ سلسلة التّوريد هذه".

قد يساعد الأمر التنفيذي للأمن السيبراني الصادر عن البيت الأبيض للرئيس الأميركي جو بايدن في وقت سابق من هذا الشهر بوضع معايير أمان جديدة لأي شركة تريد بيع البرامج إلى الوكالات الفدرالية، لكن الفحص نفسه ضروريّ في جميع أنحاء القطاع الخاص. ويقول وودز إن الشركات الخاصة -تمامًا مثل الوكالات الفدرالية- لا ينبغي أن تتوقع انتهاء وباء اختراق سلسلة التوريد في أي وقت قريب.

ربما كان كين تومسون محقّا عام 1984 عندما كتب أنه لا يمكنك الوثوق تمامًا في أي رمز لم تكتبه بنفسك. لكن الثقة في التعليمات البرمجية من الموردين الذين تثق بهم -وقمت بفحصها- قد تكون ثاني أفضل شيء.

المصدر : مواقع إلكترونية

حول هذه القصة

People pose in front of a display showing the word 'cyber' in binary code, in this picture illustration taken in Zenica December 27, 2014. A previously undisclosed hacking campaign against military targets in Israel and Europe is probably backed by a country that misused security-testing software to cover its tracks and enhance its capability, researchers said. Picture taken December 27, 2014. REUTERS/Dado Ruvic (BOSNIA AND HERZEGOVINA - Tags: SCIENCE TECHNOLOGY CRIME LAW)

قالت شركة مايكروسوفت إن 3 مجموعات قرصنة مرتبطة بالحكومتين الروسية والكورية الشمالية استهدفت 7 منظمات معنية بعلاج فيروس كورونا وأبحاث اللقاحات حول العالم في الأشهر الأخيرة، وقد نجحت بعض هجماتها.

Published On 15/11/2020
password, hacking, hacker, spam

اكتشفت وكالة الأمن السيبراني الفرنسية اختراق العديد من الأنظمة المرتبطة بالإنترنت في فرنسا من قِبَل مجموعة قرصنة معروفة بارتباطها بالدولة الروسية ومتهمة بتنفيذ هجمات على شركات أميركية العام الماضي.

Published On 16/2/2021
المزيد من تكنولوجيا
الأكثر قراءة