القسام يخترق إسرائيل ويقتنص معلومات خطيرة وهذه أشهر العمليات
في بداية نوفمبر/تشرين الثاني الجاري، ذكر تقرير للجيش الإسرائيلي أن حماس استهدفت جنودا إسرائيليين بهجوم سيبراني لمدة عامين قبل عملية طوفان الأقصى.
وأكد الجيش -في تقريره- أن حركة حماس اخترقت هواتف للجنود وجمعت معلومات حساسة، موضحا أن "جمع المعلومات أفاد حماس في تنفيذ هجوم السابع من أكتوبر". كما أشار تحقيق الجيش لاحتمال اختراق كاميرات المراقبة داخل معسكراته.
اقرأ أيضا
list of 2 itemsأكبر عملية لقوات الجو الإسرائيلية في تاريخها .. ماذا قصفت في سوريا؟
وفي وقت سابق، أشار تقرير لصحيفة "نيويورك تايمز" الأميركية أن لقطات مصورة، مأخوذة من كاميرات مثبتة على رؤوس عناصر تابعين لكتائب القسام، الجناح العسكري لحركة حماس، أظهرت معرفتهم بالعديد من المعلومات والأسرار عن الجيش الإسرائيلي ونقاط ضعفه أثناء تنفيذ "طوفان الأقصى". وأوضحت الصحيفة الأميركية أن المهاجمين تمكّنوا من الوصول إلى غرفة الخوادم في أحد مراكز الجيش الإسرائيلي بمساندة المعلومات الاستخباراتية التي امتلكوها.
وفقا للتقرير، فإن التقديرات الاستخبارية الإسرائيلية تشير إلى أن عملية التحضير وجمع المعلومات الاستخبارية بدأت قبل عامين من عملية طوفان الأقصى، واستهدفت التجسس على جنود إسرائيليين، لذا فإن هذا النمط من التخطيط يدخل ضمن نطاق التخطيط طويل الأمد نسبيا. أما اللافت في هذا السياق، هو أن مثل هذه العمليات ليس بجديد على المقاومة، فهناك أمثلة بارزة سبقتها خلال السنوات القليلة الماضية.
إذ يؤكد إعلان الجيش الإسرائيلي عن هذه العملية حقيقة مدى تطور القوة السيبرانية لفصائل المقاومة الفلسطينية على مدار تلك السنوات الماضية، مما يعني أن جهود التجسس السيبراني التي نفذتها حركة المقاومة الإسلامية (حماس) لم تقتصر على كونها جهودا تكتيكية فحسب، بل كانت إستراتيجية أيضا، أي تتعلق بالتخطيط طويل الأجل لعملية نوعية بضخامة عملية "طوفان الأقصى"، لدرجة أن تبدأ تلك الجهود قبل عامين كاملين من 7 أكتوبر/تشرين الأول.
ولكي ندرك أهمية سياق تلك العملية، علينا أولا فهم تصنيف الهجمات السيبرانية التي تنفذها الوحدة السيبرانية التابعة لكتائب القسام ضد جيش الاحتلال.
أبعاد تكتيكية وإستراتيجية
يمكن تصنيف عمليات المقاومة السيبرانية ضد إسرائيل إلى بُعدين؛ بُعد تكتيكي وآخر إستراتيجي، وكل بعد منهما يخدم أهدافا متنوعة ويعتمد أساليب هجومية متباينة.
وتركّز العمليات السيبرانية التكتيكية على تحقيق أهداف فورية أو خلال فترات زمنية قصيرة، وهي عمليات تؤثر تأثيرا مباشرا لصالح قدرات حماس العملياتية. ويتمثل أحد أبرز تلك التكتيكات في التجسس السيبراني المتصل بجمع المعلومات الاستخباراتية قبل تنفيذ عملية عسكرية محددة على الأرض بفترة زمنية قصيرة، أو جمع المعلومات أثناء تنفيذ العملية.
تعتمد العمليات التكتيكية أيضا على الاستهداف المباشر لمواقع أو منصات رقمية تخص الحكومة الإسرائيلية أو جيش الاحتلال، مثل هجمات "الحرمان من الخدمة" "دي دي أو إس" (DDoS) التي تهدف إلى إرباك تلك المواقع أو الخدمات الإسرائيلية. وقد صُممت هذه الهجمات السيبرانية ذات المستوى المنخفض للتشويش على الاتصالات وإرباك الخصم أثناء تنفيذ العمليات العسكرية على الأرض، أو إضعاف قدراته واستنزاف إمكانياته في أوقات أخرى.
ومن أمثلتها الهجوم ببرمجيات مدمرة من نوع "وايبر" (Wiper) التي تصيب الحاسوب وتمسح بياناته بالكامل، وهي برمجية مُختصة بتدمير كل شيء في طريقها. وبعد أحداث السابع من أكتوبر، اخترقت مجموعة سيبرانية تابعة لحركة حماس شركات إسرائيلية واستخدمت هذه البرمجية لتدمير بنية تلك الشركات التحتية، ووضعت المجموعة اللقب الذي يطلق على رئيس الوزراء الإسرائيلي بنيامين نتنياهو (بيبي) كوصف لهذه البرمجية الخبيثة وأطلقت عليها "بي بي وايبر" (BiBi Wiper)، وذلك بحسب ما أشارت إحدى شركات الأمن السيبراني الإسرائيلية.
أما العمليات السيبرانية الإستراتيجية، فيتحقق هدفها الأساسي على مدى زمني أطول، مثل عمليات التجسس السيبرانية طويلة الأجل، كتلك التي ذكرها تقرير الجيش الإسرائيلي. ولا يرتبط استخلاص تلك المعلومات الاستخباراتية بعمليات عسكرية فورية، بل تهدف إلى تشكيل فهم أوسع للقدرات العسكرية الإسرائيلية مع مرور الزمن.
وقد ساهمت تلك العمليات الإستراتيجية في تخطيط وتنفيذ عملية طوفان الأقصى كما أشرنا، إذ أتاحت عمليات التجسس السيبراني فهما أعمق لنقاط الضعف الحساسة في أنظمة الدفاع الإسرائيلية.
كما وفّرت لمقاتلي القسام معرفة تفصيلية للبنية التحتية الإسرائيلية، وكيفية تحرك الوحدات العسكرية، وما خطواتها، وغيرها من المعلومات الحساسة، ثم توظيف تلك المعرفة للتخطيط لهجمات عسكرية محددة، وهو السيناريو الذي حدث خلال عملية طوفان الأقصى كما أشارت العديد من المصادر.
على إثر ذلك، أشار تقرير صحيفة "نيويورك تايمز" الأميركية إلى أن حماس امتلكت "معلومات دقيقة عن أسرار الجيش الإسرائيلي بصورة تثير الدهشة" عند جمعها للمعلومات الاستخباراتية، ويبدو أن مجهودات البحث والتخطيط التفصيلي، الذي شاركت فيه الوحدة السيبرانية، ساهم بمعرفة أماكن خوادم الاتصالات في عدة قواعد عسكرية بدقة، وهو ما ساعد الجنود على الأرض في استهداف تلك الخوادم وإيقافها عن العمل أثناء عملية "طوفان الأقصى". كما أشار التقرير إلى أن كتائب القسام امتلكت "فهما ومعرفة متطورة، على نحو مفاجئ، لكيفية إدارة الجيش الإسرائيلي، وأين تتمركز وحدات بعينها، والوقت الذي يستغرقه وصول التعزيزات".
رسم صورة كاملة
على مدار السنوات الماضية، تطورت أساليب الهجمات السيبرانية للمقاومة تدريجيا، من هجمات تعتمد على تكتيك هجومي واسع النطاق، أي باستهداف مجموعة كبيرة من الأهداف برسائل بريد إلكتروني خبيثة مثلا، إلى أساليب أكثر تفصيلا وتعقيدا تستهدف أشخاصا ومجموعات محددة من جنود جيش الاحتلال بهدف جمع أكبر قدر من المعلومات المهمة. وهذا ما يؤكده تقرير الجيش الإسرائيلي مؤخرا بالاعتراف باستهداف حماس لجنوده بالهجوم السيبراني على مدار عامين.
لكن قبل هذا الاعتراف الأخير، ظهرت بعض العمليات السابقة التي تؤكد هذا التطور، ربما كانت من أبرزها عملية تجسس سيبراني في عام 2018، حين أخفت الوحدة السيبرانية لحماس برمجيات تجسس داخل تطبيق باسم "الكأس الذهبية" (Golden Cup) الذي يشارك نتائج مباريات كأس العالم 2018 لاختراق هواتف الجنود الإسرائيليين.
وبمجرد تثبيت التطبيق على الهاتف الذكي، يتصل بالخادم لتثبيت حمولة من برمجيات التجسس الخبيثة بسرية على الهاتف. وفي حالة هذا التطبيق، تُثبت البرمجية الخبيثة عمدا بعد تحميل التطبيق من متجر غوغل بهدف تجاوز عملية الفحص الأمني التي تفرضها غوغل. منحت هذه الخطوة مجموعة المخترقين فرصة تنفيذ تعليمات برمجية عن بُعد على الهاتف الذكي، ليتمكنوا من السيطرة عليه بشكل كامل، ومعها أصبح بإمكانهم تتبع الموقع والوصول إلى الكاميرا والميكروفون وتحميل الصور والتنصت على المكالمات واستخراج الملفات من الهاتف.
وفي غضون أسابيع قليلة، نجحت المجموعة في استخلاص معلومات حسّاسة غير معلنة حول مجموعة مختلفة من قواعد الجيش الإسرائيلي ومكاتبه ومعداته العسكرية، بما فيها معلومات مهمة عن المركبات المدرعة في المنشآت العسكرية، كما ذكرت صحيفة "هآرتس" الإسرائيلية حينها. وربما كانت هذه المعلومات التي منحت المقاتلين معرفة واضحة بنقاط ضعف تلك المدرعات وكيفية مهاجمتها.
وفي يوليو/تموز الماضي، سرّبت حماس ملفات تحوي بيانات تفصيلية لأكثر من ألفي جندي في القوات الجوية الإسرائيلية، وفقا لصحيفة هآرتس الإسرائيلية.
تلك الملفات المُفصَّلة أعدّت ونشرت بعد السابع من أكتوبر/تشرين الأول في سياق الحرب وظروفها وفي إطار الحرب المعلوماتية والنفسية الأوسع، لكن المعلومات الأصلية -التي جُمعت- أقدم من ذلك. إذ تكونت الملفات من المعلومات التي سُرّبت أو جرى استخراجها من عملية أو عمليات اختراق سيبراني سابقة، يُرجَّح أنها أصابت خوادم موقع إلكتروني لا يتبع الجيش الإسرائيلي، مع معلومات أخرى جُمعت من شبكات التواصل الاجتماعي وقواعد البيانات العامة ومن تسريبات سابقة.
ومع الترجيحات التي تشير إلى أن فصائل المقاومة هي التي تقف وراء تلك الهجمات، فإن جمع الملفات والبيانات حدث عبر برمجية آلية تُعرف باسم "بروفايلر"، والتي تتيح جمع ومقارنة ودمج المعلومات الاستخبارية من المصادر المفتوحة لإعداد ملف "بروفايل" مُفصّل عن الأهداف الاستخبارية.
أما النتيجة، فتتمثل في تشكيل قواعد بيانات بإمكانها رسم صورة كاملة للخصم إذا جُمعت معا بصورة صحيحة، وبتوليفة مناسبة، وفقا لدانا تورين رئيسة إدارة العمليات في الهيئة الإسرائيلية للأمن السيبراني.
كذلك يتيح الملف التعريفي الشامل لكل جندي إمكانية تنفيذ هجمات "الهندسة الاجتماعية" (social engineering)، بمعنى مطابقة كل هدف بما يناسبه من محتوى مخصص، مما يزيد احتمال نجاح الهجمة المستهدفة.
وتُعرِّف جامعة كارنيغي ميلون الهندسة الاجتماعية بأنها: "تكتيك يُستخدم للتلاعب بالضحية أو التأثير فيها أو خداعها بغرض التحكم في نظام تشغيل الحاسب أو سرقة المعلومات الشخصية والمالية. ويشمل التكتيك استخدام التلاعب النفسي لخداع المستخدم ليرتكب أخطاء أمنية أو يكشف عن معلوماته الحساسة". ويمكننا اعتبارها مجموعة من الإستراتيجيات والخطط المرتبطة غالبا بإدراك السلوك البشري وكيفية عمل العالم الرقمي.
تقنيات الهندسة الاجتماعية
طورت المقاومة اعتمادها على تقنيات الهندسة الاجتماعية في هجماتها السيبرانية خلال السنوات الماضية. فمثلا، في بدايات عام 2017، استخدمت المجموعة تقنيات الهندسة الاجتماعية لاستهداف أفراد داخل جيش الاحتلال الإسرائيلي ببرمجيات خبيثة عبر محادثتهم من حسابات مزيفة على منصة فيسبوك. واستخدمت الوحدة السيبرانية ملفات وهمية لفتيات إسرائيليات لإقناع جنود جيش الاحتلال بتحميل تطبيق للمراسلة الفورية، وهو ما جعل هواتفهم أدوات للتجسس، فيما عُرف بعملية "حسناوات حماس".
واعترف جيش الاحتلال رسميا بهذا الاختراق، وحذَّر جنوده على موقعه الرسمي من هذه العملية، ورغم الادّعاء بعدم الكشف عن أسرار عسكرية مهمة، فإن حماس استخدمت هذه الاختراقات لجمع معلومات سرية عن مناورات جيش الاحتلال الإسرائيلي في قطاع غزة حينها.
كذلك أشار تقرير لشركة غوغل، صدر في فبراير/شباط الماضي، إلى استفادة المجموعات التابعة للمقاومة من تقنيات الهندسة الاجتماعية بأداء وتقنيات متطورة.
وأوضح باحثو غوغل أنه بدأت مؤخرا جهة واحدة على الأقل -تابعة لحماس- تُظهر مؤشرات على امتلاكها إمكانات متطورة أكثر، يطلق عليها فريق غوغل اسم مجموعة "بلاك أتوم" (BLACKATOM)، وتضمنت تلك الإمكانات تقنيات الهندسة الاجتماعية المعقدة والمصممة خصيصا لأهداف عالية القيمة، بجانب تطوير البرمجيات الخبيثة المخصصة لأنظمة التشغيل المختلفة ويندوز وماك ولينكس.
وذكر التقرير أنه في سبتمبر/أيلول 2023 استهدفت مجموعة "بلاك أتوم" مهندسي برمجيات إسرائيليين عبر حيل متقنة في الهندسة الاجتماعية، أدت في محصلتها إلى تثبيت برمجيات خبيثة وسرقة ملفات الكوكيز من الحواسيب.
وتظاهر منفذو الهجوم بصفة موظفين في شركات حقيقية، وتواصلوا عبر منصة "لينكد إن" لدعوة المستهدَفين إلى التقديم لفرص للعمل الحر في مجال تطوير البرمجيات. وشملت قائمة الأهداف مهندسي برمجيات في الجيش الإسرائيلي وفي صناعة الطيران والدفاع في إسرائيل.
فبعد التواصل المبدئي، يرسل منفذ الهجوم إلى المستهدَفين ملف استدراج يتضمن تعليمات للمشاركة في اختبار لتقييم مهارات المتقدم في البرمجة. حيث وجهت التعليمات في الملف الأفراد المستهدفين إلى تحميل مشروع ببرنامج "فيجوال ستوديو" من صفحة على منصة "جيت هاب"، أو صفحة على خدمة "غوغل درايف"، يتحكم فيها المهاجم.
والمطلوب من المهندس هو إضافة بعض المميزات البرمجية إلى هذا المشروع لإثبات مهاراته وقدراته في البرمجة، ثم إرسال الملف مرة أخرى لتقييمه. وكان المشروع يبدو تطبيقا عاديا لإدارة عمليات الموارد البشرية، لكنه تضمّن خاصية لتنزيل برمجية خبيثة مضغوطة، ثم استخراجها وتنفيذ عمل البرمجية داخل نظام تشغيل جهاز الشخص المستهدف.
وأشار فريق غوغل إلى أن هذه الهجمة السيبرانية أظهرت "استهدافا تفصيليا دقيقا أكثر مما ظهر سابقا من المجموعات السيبرانية التابعة لحركة حماس".
وفي أبريل/نيسان 2022، يُعتقد أن المقاومة نفذت واحدة من أكثر عمليات التجسس السيبرانية تعقيدا ضد الاحتلال الإسرائيلي، وفقا لما ذكرته شركة "سايبريسون" (Cybereason)، وهي شركة إسرائيلية متخصصة في استخبارات التهديدات السيبرانية، التي أشارت إلى أن هذا الهجوم يوضح "مستوى جديدا من التعقيد" في عمليات حماس السيبرانية.
واكتشفت الشركة الإسرائيلية حينها حملة تجسس متقنة استهدفت أفرادا إسرائيليين، من بينهم مجموعة أهداف بارزة رفيعة المستوى تعمل في مؤسسات حساسة للدفاع وإنفاذ القانون وخدمات الطوارئ داخل إسرائيل.
مرة أخرى، استخدم المقاومون أساليب الهندسة الاجتماعية من خلال حسابات فتيات على منصة فيسبوك، لكنها كانت تحمل أساليب متطورة بهدف الحصول على أبواب خلفية داخل أجهزة الضحايا التي تعمل بنظام ويندوز، والهواتف التي تعمل بنظام أندرويد. وكان الهدف الأساسي وراء هذا الهجوم هو استخراج معلومات حساسة من داخل أجهزة الضحايا.
وبمجرد تحميل تلك البرمجيات الخبيثة على الأجهزة، يمكن للمخترق الوصول إلى مجموعة كبيرة من المعلومات عليها، مثل مستندات الجهاز والكاميرا والميكروفون، وبهذا يمكنهم الحصول على بيانات ضخمة حول مكان وجود الهدف وتفاعلاته مع محيطه وغيرها من المعلومات الحساسة والمهمة للغاية.
وبعد الخبرة السابقة من عمليات التجسس السيبراني، مثل عملية "حسناوات حماس" في 2017 كما ذكرنا، حاولت المجموعة المنفذة لهذه العملية تحويل الحسابات الوهمية للفتيات لتصبح أقرب لحسابات حقيقية.
ويشير تقرير الشركة إلى أن القائمين على هذه الحسابات قد استثمروا جهدا ملحوظا في الاهتمام بهذه الحسابات الشخصية، وتوسيع نطاق شبكاتهم الاجتماعية، بالانضمام إلى مجموعات إسرائيلية شهيرة على فيسبوك، وكتابة منشورات باللغة العبرية، وإضافة أصدقاء الضحايا المحتملين.
كما كشف التحقيق أن المجموعة حدّثت ترسانتها من تلك البرمجيات بفعالية عبر استخدام أدوات جديدة، وهي برمجيات مجهزة بمزايا تَخفٍّ متقدمة يصعب اكتشافها، وأشار أيضا إلى أنها استخدمت بنية تحتية جديدة ومخصصة منفصلة تماما عن البنية التحتية المعروفة التي تملكها وتستخدمها بالفعل في العمليات السابقة.
وكما يظهر من العمليات السابقة، لا تقتصر صراعات اليوم على الحروب العسكرية المباشرة، فثمة حرب خفية لا نراها تجري في ميادين عدة، أهمها ما يجري في الفضاء السيبراني.