د. عبدالرزاق المرجان
لكل هجمة إلكترونية تعرضت لها السعودية دافع، ولكشف تلك الدوافع كان حريا بأن نستخدم التحليل الزمني لكشف خبايا الدوافع لكل هجمة من الهجمات، وخصوصا تلك التي تعرضنا لها خلال السنوات الخمس الماضية.
ونستطيع تقسيم الهجمات إلى مرحلتين مختلفتين بناءً على طريقة التبني لهذه الهجمات:
المرحلة الأولى: تبنت جماعتان مختلفتان الهجوم، وقد ذكرت بعض التقارير الأمنية أنهما مجموعة واحدة وهي كالتالي:
• في يونيو 2012 تعهدت المملكة أمام العالم بإمداد الدول المتضررة من حظر البترول الإيراني كالهند، عندما دخل حظر البترول الإيراني حيز التنفيذ من قبل أمريكا والاتحاد الأوروبي بتاريخ 1 يوليو 2012. وأرسلت إيران تهديدا مباشرا لأمريكا والمملكة بأن ذلك يعتبر بمثابة إعلان حرب في حالة إمداد المملكة لعملاء إيران.
بعد شهر من الحظر في أغسطس 2012 تعرضت شركة أرامكو لهجمة إلكترونية شامون1 واستطاع شامون اختراق جميع مستويات حماية نظام الاختراقات ونظام البرامج المضاد للفيروسات إذ أن شامون1 كان حديثاً ولا توجد بصمة للتعرف عليه من قبل برامج الحماية. وقد أعلنت سيف العدالة مسؤوليتها عن الحادثة ولكن لا يوجد ما يؤكد ذلك.
• في مايو 2015 تم اختراق جزئي لموقع وزارة الخارجية وتم تسريب مواد كثيرة في موقع «ويكليكس» ولا توجد طريقة لمعرفة موثوقية هذه الوثائق المسربة. وقد أعلن الجيش اليمني الإلكتروني مسؤوليته عن الهجوم وذكر أن الدافع هو قيادة المملكة للتحالف العربي لمواجهة الإرهاب ومساندة الشرعية في اليمن.
المرحلة الثانية: المثير للدهشة لهجمات عام 2016 أنه لم تتبنَ أي جهة مسؤوليتها عن الحادثة حتى إعداد هذا التقرير.
وكان عام 2016 عاما مليئا بالأحداث المهمة والجوهرية لمنطقة الشرق الأوسط والعالم بقيادة مملكة الحزم بكل اقتدار ملفات ضخمة أجبرت العالم لإعادة ترتيب أوراقه. فكان هذا العام هو تكوين التحالف الإسلامي لمواجهة الإرهاب بعد أن أعاد السعوديون حكومة وشعباً المملكة إلى مكانتها الطبيعية بقيادة التحالف لمواجهة الإرهاب. وتم إنشاء المركز لقيادة التحالف بالرياض الذي سيكون بإذن الله هو النواة لقيادة مكافحة الإرهاب ليس على مستوى الدول الإسلامية فحسب بل على مستوى العالم.
وفي الوقت ذاته حاصرت المملكة إيران وأذرعتها الإرهابية وأعادت إيران إلى حجمها الطبيعي وعزلتها تماما عن العالم الإسلامي وشنت حملة على الجماعات الإرهابية. وقد توج العام الماضي بإطلاق رؤية المملكة 2030 التي ستمنح المملكة استقلالية تامة من حيث تعدد مصادر الدخل وعدم اعتمادها الكلي على مستهلكي البترول الكبار ويعود الفضل لأميرنا الشاب محمد بن سلمان.
في مايو 2016 بدأت انطلاق الهجمات الإلكترونية على المملكة وهي بعد أقل من شهر من إعلان البيان الختامي لمنظمة التعاون الإسلامي في تركيا والمتضمن إدانة التدخلات الإيرانية في الشؤون الداخلية لدول المنطقة واستمرار دعمها للإرهاب، وهذا نجاح كبير للمملكة باعتراف الدول الإسلامية بأن حكومة إيران إرهابية.
وإدانة المؤتمر لحزب الله لقيامه بأعمال إرهابية في سورية والكويت والبحرين واليمن ولدعمه لجماعات إرهابية تزعزع أمن واستقرار دول الأعضاء. مما تسبب في غضب الوفد الإيراني خصوصا بعد تجاهل ملك الحزم لروحاني أمام جميع رؤساء الدول الإسلامية. وكذلك كان هذا الشهر هو المصادف لإعلان رؤية المملكة 2030.
في نوفمبر وديسمبر 2016 استمر شامون2 بالهجوم على المواقع الحيوية على المملكة والشركات المهمة والقطاعات التي تخدم المواطنين. واستمرت الهجمات إلى بداية 2017 تهاجم القطاعات الحيوية.
التحليل الزمني يشير إلى أن جميع الهجمات الإلكترونية على المملكة كانت متزامنة مع أحداث سياسية واقتصادية مهمة. ويشير كذلك إلى نجاح المملكة في جر إيران الدولة الداعمة للإرهاب إلى مربع ردة الفعل على أحداث سياسية واقتصادية.
عند تنفيذ هجمات إلكترونية موجهة ومركزة لهدف (ما) تحتاج إلى جمع معلومات عن هذه الأهداف لمعرفة الثغرات الممكن استغلالها والأدوات التي تحتاجها لاستغلال هذه الثغرات، ولمعرفة أهم المهمات لتنفيذ الهجمات تم استخدام التحليل الوظيفي.
التحليل الوظيفي Functional analysis:
ويشير إلى أن منفذي الهجمات الإلكترونية استخدموا طرقاً عدة لتنفيذ هجمات شامون2 من أهمها:
• تطوير إصدارات عدة لبرنامج شامون2 في وقت قياسي بعد معرفة الثغرات في برامج الحماية لمخادعة برامج الحماية بعدم التعرف على البصمة لشامون2.
• احترافية عالية المستوى لإقناع الضحايا بابتلاع الطعم، لذلك تم استخدم طرق عدة من أهمها:
* الهندسة الاجتماعية Social Engineering وهي الأصعب والأعقد لحاجتها لجمع معلومات ضخمة عن الأهداف وعن عمل هذه القطاعات وموظيفها وعملائها وتحليلها ثم توظيفها.
* وبعد ذلك يتم استخدام انتحال الشخصية impersonation حتى يستطيع كسب ثقة الضحية بأن مصدر البريد الإلكتروني والمرفقات جاءت من مصادر موثوقة. وتكون النتيجة بأن يبتلع أحد الضحايا الطعم.
ومن هذا المنطلق تحتاج هذه العمليات لتجنيد طاقات لهذه الأعمال الإرهابية أو عن طريق الاستعانة بشركات أجنبية أو الاثنين، ولكن تحتاج إلى تمويل ضخم وعادة تتم عن طريق الحكومات، وهو ما يجعل جميع أصابع الاتهام تتجه إلى مصدر الشر في العالم إيران لارتباط جميع هذه العمليات الإرهابية الإلكترونية بأحداث سياسية في المنطقة كما هو موضح في التحليل الزمني.
ويؤكد هذه الاحتمالية تقارير بعض الشركات الأمنية الإلكترونية فقد أشارت إلى أن من قام بهذه الهجمات هي مجموعات متمكنة من الاختراقات وممولة من دولة.
جميع هذه العمليات تنخرط تحت الإرهاب الإلكتروني الذي يمول من إيران لزعزعة أمن واستقرار المملكة ومحاولة خلق بيئة طاردة للاستثمارات الأجنبية الضخمة بعدم قدرة المملكة على حماية بيئتها المعلوماتية.
شركة أمريكية تستضيف موقع الفيروس الخبيث
بعد التحليلات التقنية ظهرت عدة نتائج مثيرة في تحليل هجمات شامون2، ففي يناير 2017 تم التعرف على شامون وإصدار جديد ولكن هذه المرة تم تحليله وكانت النتائج مثيرة وهي كالآتي:
• مصدر شامون2 موقع مشبوه يدعى intlsystemsgrp.com
• مستضاف هذا الموقع من شركة أمريكية تدعى GODADDY.COM
• الشركة المستضيفة هي ذاتها التي تستضيف موقع منبر التوحيد والجهاد الذي يختص في التشريع للأعمال الإرهابية كالإفتاء بجواز تنفيذ العمليات الإرهابية
الموقع المشبوه تم إنشاؤه بعد أسبوعين من إعلان منظمة التعاون الإسلامي الارتباط بين الموقع المشبوه وشامون2 هو عند فتح الضحية للبريد الإلكتروني والمرفق المشبوه، يقوم بالتوجه مباشرة للموقع المشبوه المستضاف من الشركة الأمريكية ويتم تحميل شامون2 دون علم الضحية.
* عضو الأكاديمية الأمريكية للطب الشرعي- الأدلة الرقمية
ونستطيع تقسيم الهجمات إلى مرحلتين مختلفتين بناءً على طريقة التبني لهذه الهجمات:
المرحلة الأولى: تبنت جماعتان مختلفتان الهجوم، وقد ذكرت بعض التقارير الأمنية أنهما مجموعة واحدة وهي كالتالي:
• في يونيو 2012 تعهدت المملكة أمام العالم بإمداد الدول المتضررة من حظر البترول الإيراني كالهند، عندما دخل حظر البترول الإيراني حيز التنفيذ من قبل أمريكا والاتحاد الأوروبي بتاريخ 1 يوليو 2012. وأرسلت إيران تهديدا مباشرا لأمريكا والمملكة بأن ذلك يعتبر بمثابة إعلان حرب في حالة إمداد المملكة لعملاء إيران.
بعد شهر من الحظر في أغسطس 2012 تعرضت شركة أرامكو لهجمة إلكترونية شامون1 واستطاع شامون اختراق جميع مستويات حماية نظام الاختراقات ونظام البرامج المضاد للفيروسات إذ أن شامون1 كان حديثاً ولا توجد بصمة للتعرف عليه من قبل برامج الحماية. وقد أعلنت سيف العدالة مسؤوليتها عن الحادثة ولكن لا يوجد ما يؤكد ذلك.
• في مايو 2015 تم اختراق جزئي لموقع وزارة الخارجية وتم تسريب مواد كثيرة في موقع «ويكليكس» ولا توجد طريقة لمعرفة موثوقية هذه الوثائق المسربة. وقد أعلن الجيش اليمني الإلكتروني مسؤوليته عن الهجوم وذكر أن الدافع هو قيادة المملكة للتحالف العربي لمواجهة الإرهاب ومساندة الشرعية في اليمن.
المرحلة الثانية: المثير للدهشة لهجمات عام 2016 أنه لم تتبنَ أي جهة مسؤوليتها عن الحادثة حتى إعداد هذا التقرير.
وكان عام 2016 عاما مليئا بالأحداث المهمة والجوهرية لمنطقة الشرق الأوسط والعالم بقيادة مملكة الحزم بكل اقتدار ملفات ضخمة أجبرت العالم لإعادة ترتيب أوراقه. فكان هذا العام هو تكوين التحالف الإسلامي لمواجهة الإرهاب بعد أن أعاد السعوديون حكومة وشعباً المملكة إلى مكانتها الطبيعية بقيادة التحالف لمواجهة الإرهاب. وتم إنشاء المركز لقيادة التحالف بالرياض الذي سيكون بإذن الله هو النواة لقيادة مكافحة الإرهاب ليس على مستوى الدول الإسلامية فحسب بل على مستوى العالم.
وفي الوقت ذاته حاصرت المملكة إيران وأذرعتها الإرهابية وأعادت إيران إلى حجمها الطبيعي وعزلتها تماما عن العالم الإسلامي وشنت حملة على الجماعات الإرهابية. وقد توج العام الماضي بإطلاق رؤية المملكة 2030 التي ستمنح المملكة استقلالية تامة من حيث تعدد مصادر الدخل وعدم اعتمادها الكلي على مستهلكي البترول الكبار ويعود الفضل لأميرنا الشاب محمد بن سلمان.
في مايو 2016 بدأت انطلاق الهجمات الإلكترونية على المملكة وهي بعد أقل من شهر من إعلان البيان الختامي لمنظمة التعاون الإسلامي في تركيا والمتضمن إدانة التدخلات الإيرانية في الشؤون الداخلية لدول المنطقة واستمرار دعمها للإرهاب، وهذا نجاح كبير للمملكة باعتراف الدول الإسلامية بأن حكومة إيران إرهابية.
وإدانة المؤتمر لحزب الله لقيامه بأعمال إرهابية في سورية والكويت والبحرين واليمن ولدعمه لجماعات إرهابية تزعزع أمن واستقرار دول الأعضاء. مما تسبب في غضب الوفد الإيراني خصوصا بعد تجاهل ملك الحزم لروحاني أمام جميع رؤساء الدول الإسلامية. وكذلك كان هذا الشهر هو المصادف لإعلان رؤية المملكة 2030.
في نوفمبر وديسمبر 2016 استمر شامون2 بالهجوم على المواقع الحيوية على المملكة والشركات المهمة والقطاعات التي تخدم المواطنين. واستمرت الهجمات إلى بداية 2017 تهاجم القطاعات الحيوية.
التحليل الزمني يشير إلى أن جميع الهجمات الإلكترونية على المملكة كانت متزامنة مع أحداث سياسية واقتصادية مهمة. ويشير كذلك إلى نجاح المملكة في جر إيران الدولة الداعمة للإرهاب إلى مربع ردة الفعل على أحداث سياسية واقتصادية.
عند تنفيذ هجمات إلكترونية موجهة ومركزة لهدف (ما) تحتاج إلى جمع معلومات عن هذه الأهداف لمعرفة الثغرات الممكن استغلالها والأدوات التي تحتاجها لاستغلال هذه الثغرات، ولمعرفة أهم المهمات لتنفيذ الهجمات تم استخدام التحليل الوظيفي.
التحليل الوظيفي Functional analysis:
ويشير إلى أن منفذي الهجمات الإلكترونية استخدموا طرقاً عدة لتنفيذ هجمات شامون2 من أهمها:
• تطوير إصدارات عدة لبرنامج شامون2 في وقت قياسي بعد معرفة الثغرات في برامج الحماية لمخادعة برامج الحماية بعدم التعرف على البصمة لشامون2.
• احترافية عالية المستوى لإقناع الضحايا بابتلاع الطعم، لذلك تم استخدم طرق عدة من أهمها:
* الهندسة الاجتماعية Social Engineering وهي الأصعب والأعقد لحاجتها لجمع معلومات ضخمة عن الأهداف وعن عمل هذه القطاعات وموظيفها وعملائها وتحليلها ثم توظيفها.
* وبعد ذلك يتم استخدام انتحال الشخصية impersonation حتى يستطيع كسب ثقة الضحية بأن مصدر البريد الإلكتروني والمرفقات جاءت من مصادر موثوقة. وتكون النتيجة بأن يبتلع أحد الضحايا الطعم.
ومن هذا المنطلق تحتاج هذه العمليات لتجنيد طاقات لهذه الأعمال الإرهابية أو عن طريق الاستعانة بشركات أجنبية أو الاثنين، ولكن تحتاج إلى تمويل ضخم وعادة تتم عن طريق الحكومات، وهو ما يجعل جميع أصابع الاتهام تتجه إلى مصدر الشر في العالم إيران لارتباط جميع هذه العمليات الإرهابية الإلكترونية بأحداث سياسية في المنطقة كما هو موضح في التحليل الزمني.
ويؤكد هذه الاحتمالية تقارير بعض الشركات الأمنية الإلكترونية فقد أشارت إلى أن من قام بهذه الهجمات هي مجموعات متمكنة من الاختراقات وممولة من دولة.
جميع هذه العمليات تنخرط تحت الإرهاب الإلكتروني الذي يمول من إيران لزعزعة أمن واستقرار المملكة ومحاولة خلق بيئة طاردة للاستثمارات الأجنبية الضخمة بعدم قدرة المملكة على حماية بيئتها المعلوماتية.
شركة أمريكية تستضيف موقع الفيروس الخبيث
بعد التحليلات التقنية ظهرت عدة نتائج مثيرة في تحليل هجمات شامون2، ففي يناير 2017 تم التعرف على شامون وإصدار جديد ولكن هذه المرة تم تحليله وكانت النتائج مثيرة وهي كالآتي:
• مصدر شامون2 موقع مشبوه يدعى intlsystemsgrp.com
• مستضاف هذا الموقع من شركة أمريكية تدعى GODADDY.COM
• الشركة المستضيفة هي ذاتها التي تستضيف موقع منبر التوحيد والجهاد الذي يختص في التشريع للأعمال الإرهابية كالإفتاء بجواز تنفيذ العمليات الإرهابية
الموقع المشبوه تم إنشاؤه بعد أسبوعين من إعلان منظمة التعاون الإسلامي الارتباط بين الموقع المشبوه وشامون2 هو عند فتح الضحية للبريد الإلكتروني والمرفق المشبوه، يقوم بالتوجه مباشرة للموقع المشبوه المستضاف من الشركة الأمريكية ويتم تحميل شامون2 دون علم الضحية.
* عضو الأكاديمية الأمريكية للطب الشرعي- الأدلة الرقمية