التنقيط بالقطارة.. احدث أساليب هجمات الصمت والسكون العميق

علي طريقة من يهرب أشياء ضخمة عبر  الاسوار المنيعة للقلاع والسجون من خلال وضع شذرات بسيطة منها يوميا لفترات طويلة في عربة قمامة، تدخل وتخرج مرارا دون ان تثير الريبة، تعمل فرق مدربة عالية المهارات من المجرمين والمحترفين في الهجمات الالكترونية علي اجتياز كافة الحواجز الأمنية المنيعة، لأنظمة المعلومات بالمؤسسات والشركات المهمة والحساسة والصعبة الاختراق، من خلال اتباع أسلوب “التنقيط بالقطارة”، الذي يضع حمولة صغيرة غير مرئية، لا تثير الريبة، من برامجه الخبيثة، داخل تحديثات البرامج الشرعية التي تشتريها هذه الجهات من شركات برمجيات موثوق بها، وبمنتجاتها، ويظل علي هذا الحال حتي تكتمل فيبدأ شن هجومه الكاسح في صمت مطبق وسكون عميق .
يزرع البرامج الخبيثة باتباع سياسة البطء والنفس الطويل
يتفادى الصدام مع أنظمة الحماية بالتخفي في  البرامج الشرعية
كان السر في صعوبة اكتشاف الهجوم  علي المؤسسات الامريكية
احدث هجوم استخدم فيه أسلوب “التنقيط بالقطارة” كان الهجوم الذي تعرضت له عشرات من المؤسسات والوزارات الامريكية الكبرى خلال شهر ديسمبر الماضي، كالدفاع والخارجية والطاقة والصحة والعدل وغيرها، وبلغ حدا من الخطورة والاتساع، اضطر فيه مجلس الأمن القومي الأمريكي للاجتماع مرتين خلال اقل من شهر، وهو الهجوم الذي كانت أكبر أوجه الحرج به، ليس ما تم تسريبه أو سرقته من بيانات، ولكن الفشل الكبير والتام في رصد حدوثه من البداية، وعدم اكتشافه إلا بعد فترة امتدت لعدة اشهر.
قبل ذلك وقعت هجمات من نوعية “التنقيط بالقطارة” مرتين،  الأولي في عام 2012 وتعرضت له العديد من الشركات، وتم تنفيذه عبر أحد برمجيات مايكروسوفت الموثوق بها، والثاني وقع عام 2017، وتم تنفيذه عبر برمجيات شركة “نيت ساراناج” المتخصصة في برمجيات إدارة الحاسبات الخادمة.
نقطة التنقيط بالقطارة
وبحسب تحليل أعده لوسيان كونستانتين المتخصص في مجال التقنية وأمن المعلومات ونشره بموقع سي إس أو csoonline.com ،  فإن هجمات التنقيط بالقطارة، تبدأ عادة بقيام المهاجمين بالبحث عن نقطة بداية، تمثل موطئ القدم الأولي لشن الهجوم، او نقطة التنقيط بالقطارة، وعادة ما تكون هذه النقطة هي احد البرامج المهمة والحساسة والضرورية، الموجودة لدي الضحية، وتحصل عليه من شركة أخري، ويجري تحديثه دوريا، ويكون بعيدا تماما عن كل ما يصنعه أو يضعه الطرف الضحية من برامج ونظم للتأمين، وهذا ما يجعل البعض يطلق عليها في بعض الأحيان ” هجمات سلسلة إمداد وتوريد البرامج”.
حينما يقع اختيار المهاجمين علي نقطة البداية البعيدة، يقومون  بمسح وتقييم هذا البرنامج، وفحصه من أعلي الرأس لأخمص القدم، بحثا عن ثغرة، أو نقطة ضعف موجودة به، يمكنهم من خلالها النفاذ أعماقه، لزرع حمولتهم المطلوب إدخالها لشبكة معلومات الضحية.
 بعد اختيار نقطة البداية، والتأكد من وجود نقاط الضعف، في البرنامج المختار، تبدأ عملية إرسال أجزاء الحمولة الضارة، جزءا وراء جزء،، مع كل تحديث دوري يجري للبرنامج، ولا يهم هنا الوقت المستغرق في التنفيذ، لأن الأمر برمته قائم علي فكرة “التنقيط بالقطارة”، في سكون عميق وصمت مطبق، لعدم لفت الانتباه مطلقا.
التمويه قبل الهجوم
بانتهاء التنقيط بالقطارة، تكون عملية نقل الحمولة  قد تمت بنجاح باهر من خلف ظهر أنظمة الحماية كلية، وهنا لا يتسرع المهاجمون ويشنون هجومهم علي الفور، بل يشرعون في دخول مرحلة جديدة من الإعداد، تتطلب بدورها البطء والنفس الطويل والصبر، وضمان استمرار العمل بعيدا عن الأعين بصورة كاملة، ويطلق الخبراء علي هذه المرحلة “الالتواء والتمويه” السابق علي الهجوم، وفيها يقومون بتكليف برمجياتهم الضارة، ببدء العمل، فقط من اجل الحصول علي ثغرة داخل شبكة المعلومات، تتيح لهم الحصول علي بيانات كسب الصلاحية والاعتماد، ليقوموا بعد هذه الخطوة ببناء كيانات شرعية لأنفسهم داخل الشبكة، عبر تسجيل انفسهم كمستخدمين شرعيين، لهم حق الدخول إلي الشبكة، بصلاحيات محددة، ولكونهم حصولا أصلا علي بيانات الصلاحية والاعتماد الجذرية، فإنهم الحسابات الشرعية التي صنعوها لانفسهم كامل الصلاحيات التي تخولهم القيام بالوظائف المختلفة، تماما كما لو كانوا مديرين أو خبراء أو مستخدمين عاديين للنظام، وهنا يكون قد تم تحقيق الالتواء.
خلط الشرعي وغير الشرعي
أما التمويه فيتم عبر الخلط بين الأدوات الشرعية وغير الشرعية في دورات متتالية، من العمل وممارسة الصلاحيات، والغرض من ذلك محو آثارهم، وعدم ترك أي شيء يدل علي ما قاموا به، والمدهش هنا أن أنظمة الحماية والمعلومات الشرعية، يجري توظيفها لإتمام عملية محو الأثر، مما يجعل التمويه غاية في الاتقان، وغير لافت للنظر علي الإطلاق.
هنا وبعد كل هذا الجهد والوقت، يكون الوضع مهيأ لشن الهجوم الفعلي بأسلوب الصمت المطبق والسكون العميق ايضا، فتبدأ عمليات تجسس  وتنصت، وسرقة بيانات، وإفساد معلومات، وكل ما يريدونه، وذلك كله باعتباره عمليات شرعية عادية وليس تدخل خارجي، مما يصعب كثيرا من عملية الرصد والاكتشاف، لأن أنظمة المعلومات تتعامل مع الامر برمته وكأنه سلوك لمستخدمين شرعيين من الداخل، وليس هجوم وتدخل من الخارج.
في الهجوم الأخير علي المؤسسات الأمريكية، اتم المهاجمون مرحلة التنقيط بالقطارة، ثم مرحلة الالتواء ثم مرحلة التمويه بنجاح تام، ثم شنوا الهجوم الكبير للسرقة والتنصت في هدوء وصمت بالغ، منذ مارس حتي ديسمبر، في بعض الحالات، قبل ان يؤدي هجومهم الي حدوث نشاط غير عادي، ناحم عن التكرار المتوالي لعمليات الانشاء ومحو الأثر، لفترة طويلة، مما اثار الريبة، وانتهي بكشف الهجوم، ولكن بعد فوات الأوان، والتنفيذ المستمر لعدة اشهر في سكون عميق وصمت مطبق.