ما نعرفه جميعًا عن السلاح السيبراني لا يتعدى الإضرار بالاختراق، التجسس، أو سرقة المعلومات. لكن تطورًا جديدًا حدث. باتت قاتلة. روبرت م. لي، الخبير الإلكتروني السابق في وكالة الأمن القومي الأمريكي والمدير التنفيذي الحالي لشركة دراجوس إنك، يقول إن باحثي الأمن السيبراني اكتشفوا نوعًا جديدًا من البرامج الضارة تسمي Trisis تستهدف أنظمة السلامة الصناعية مباشرة،في أول اكتشاف للبرامج الضارة التي قد تسبب تدميرًا ماديًا.
الهجوم الأول كان غامضًا حتى وقت قريب. استهدف جهازًا يدير نظام السلامة الذي طورته شركة شنايدر إلكتريك لتأمين محطة طاقة في السعودية في 2018. كان يرجح أن “دولة” تقف وراء الهجوم الذي ضرب في مكان ما في الشرق الأوسط. لكنه كان مؤشرًا لقدرة البرمجيات الضارة على التسبب في دمار هائل، عبر تدمير مصنع للنفط أو الغاز، وبالتالي فإنه كان مصممًا خصيصًا للقتل.
لاحقًا، أكدت دراجوس إنك في 10 أبريل 2019 أنها اكتشفت هجومًا إضافيًا على منشأة بنية تحتية حيوية أخرى، وأن الهجوم له جذور روسية.
إيدي حبيبي، الرئيس التنفيذي لشركة PAS Global قال إن الهجوم يعتمد ببساطة على التلاعب في تكوين نظام الأمان الذي تتركز مهمته على تعطيل عمليات تأمين المنشآت الصناعية في حالة الطوارئ، ثم تعديل العمليات الصناعية لتجاوز حدود التشغيل الآمنة، ثم التداخل مع عمل نظام إدارة الموقد، بما يؤدي إلى إطلاق غاز كبريتيد الهيدروجين القابل للاشتعال.
صحيح أن الهجوم الأول المعروف بهذا الشكل لم ينجح. لكن خبراء الأمن تنبهوا إلى أن الهجوم الفاشل قد يلهم بهجمات مماثلة تسبب دمارًا ماديًا وخسارة محتملة في الأرواح.
استخدام السلاح السيبراني معقد. مدير مكتب وزير الدفاع الأمريكي الأسبق إريك روزنباخ، يقول إن السلاح السيبراني التخريبي يحتاج عملًا شاقًا يتضمن أولًا تحديد منصة في البلد المستهدف تعاني من ثغرة أو نقطة ضعف، واستكشاف إمكانية اختراقها، ثم زرع البرنامج الضار، والإبقاء عليه خاملًا داخل النظام دون اكتشاف، غالبًا لسنوات، حتى يحين موعد التفعيل.
كل ذلك يدار وفق بروتوكول عسكري صارم، تتحرك أوامره وتفاصيله صعودًا ونزولًا في سلسلة القيادة العسكرية مع تحديد مستمر لمعايير الهجوم المحتمل، وتقييم فوائده وتكاليفه.
لكن الأمر يستحق. على عكس الأسلحة النووية، والتي تكون باهظة الثمن ومملوكة لعدد محدود من الدول، فإن السلاح السيبراني رخيص ومتوفر على نطاق واسع، ليس فقط للدول، ولكن حتى للعصابات. قادر على إحداث معدلات تدمير قياسية، ولا تفضل الحكومات غالبًا الاعتراف به، بالتالي يصبح الرد عليه صعبًا.
لكن ميزة السلاح السيبراني الأهم على عكس الأسلحة التقليدية، أنه لا يمكن تتبع مساراته بسهولة؛ إذ يتنقل عبر كابلات الألياف الضوئية بما يصعب تعقبه، كما أنه يترك للمهاجم مجالًا مهمًا للتنصل من المسؤولية بعد استخدامه وبالتالي يتجنب الرد على الهجوم.
إميلي ميللر، مديرة برامج الأمن القومي والبنية التحتية الحيوية في موكانا، تقول إن “كل شيء يمكنك شراؤه على الدارك ويب”، محذرة من أن مطوري مثل هذه الهجمات الخطيرة يمكن أن يشاركوا تكتيكاتهم مع قراصنة متشابهين في التفكير على الإنترنت. لكن جون شيهي، نائب رئيس الخدمات الإستراتيجية في IOActive، حذر من احتمال أخطر.. دعم الدول لمثل هذه الهجمات، وتزايد الاعتماد على أنظمة التكنولوجيا التشغيلية (OT).
مهارة المهاجمين تتزايد بمرور الوقت. التعلم والتجريب وارتكاب الأخطاء يساعد على تطوير الهجمات بشكل أكثر فعالية. وبالتالي تدمير الهدف بتكلفة أقل
أصبح المطورون أكثر تخصصًا، وأصبحت بعض أجزاء الأسلحة السيبرانية متخصصة بشكل متزايد، مما أدى إلى زيادة الكفاءة.
يسمح نمو القدرات السيبرانية الهجومية في الجيوش بتخصص أكبر في إنتاج الأسلحة السيبرانية. يوجد الآن لدى قيادة القيادة السيبرانية الأمريكية 133 فريقًا، مما يجعل من السهل تخصيص وحدات متخصصة لأنواع محددة من العمليات السيبرانية – حتى إذا كانت هذه الوحدات بحاجة إلى أن تكون متكاملة في هيكل قوة عامة. وفعلت روسيا المثل في حملاتها الإلكترونية ضد أوكرانيا.
تسمح إعادة استخدام أدوات البرامج الضارة الحالية والبناء عليها للمهاجمين بتعلم إنتاج السلاح السيبراني بشكل أكثر فعالية وسعر مقبول. في السنوات الأخيرة ازدادت قدرة المهاجمين ممن لديهم موارد محدودة نسبيًا بسبب زيادة أرباحهم نتيجة عملياتهم.
في عالم الدارك ويب، الجميع جزء من عائلة كبيرة. الجميع يتشارك ما طوره، لا سيما الثغرات الأمنية والقدرة على استغلالها وتطويع تقنيات نشر البرامج الضارة. على سبيل المثال، يُعتقد أن والد Stuxnet هو فاني دودة USB، كما رًبط Stuxnet أيضًا بمنصات التجسس مثل Duqu و Flame و miniFlame و Gauss و Duqu 2.0.
بدأ اهتمام إيران الكبير بالسلاح السيبراني الهجومي في 2010، عندما تسبب فيروس ستوكسنت، الذي تتهم إيران الولايات المتحدة وإسرائيل بتطويره، في أضرار كبيرة لبرنامج إيران النووي، حيث استهدف أنشطة التخصيب وأجهزة الطرد المركزي.
بعدها بدأ القراصنة المدعومون من إيران بشكل متزايد في اختبار نقاط الضعف في البنية التحتية الحيوية في دول الخليج وإسرائيل ودول أخرى وحاولوا الدخول إليها، حيث أمضت إيران سنوات في محاولة الدخول إلى البنية التحتية الحيوية وتطوير الأدوات الإلكترونية اللازمة لاستهداف أنظمة التحكم الصناعية لتدمير البنية التحتية والأهداف الاقتصادية.
خلال تلك السنوات، اقتصرت الهجمات السيبرانية على حذف البيانات والسجلات وعلى الوصول إلى المعلومات. لكن تأثير العقوبات الأمريكية على الاقتصاد الإيراني غير الاتجاه. في نوفمبر الماضي، لاحظ باحثو الأمن السيبراني أن مجموعة القرصنة المدعومة من إيران، (Advanced Persistent Threat 33 (APT33 كانت تركز جهودها بشكل متزايد على اختراق شبكات البنية التحتية الحيوية، مما أدى إلى تكهنات بأن إيران ستحاول نشر البرامج الضارة أو الفيروسات لاستهداف أنظمة التحكم الصناعية.
وخلال الأسابيع الماضية، نجحت إسرائيل في إحباط هجوم سيبراني مجهول المصدر – يعتقد أنه إيراني – بعد نجاح المتسللين في تعطيل مضخات المياه، ونشر برامج ضارة تستهدف أجهزة التحكم في المحطة. الهجوم لم يعطل ضخ المياه فحسب، بل كان يستهدف رفع مستويات الكلور إلى درجة قاتلة للبشر.
الخبراء حذروا إيران من التورط في الهجمات السيبرانية كونها ستكون خاسرة لو نجحت إحداها. يقولون إن الدول الأخرى ستجد نفسها مضطرة للاستجابة للحفاظ على مستوى معين من الردع، وهو ما لن تنجح فيه إيران التي تعاني مجموعة واسعة من نقاط الضعف المحتملة ونقاط الوصول إلى الأنظمة، بما يجعل الأضرار أقوى.
الجنرال غلام رضا جلالي، رئيس الوحدة العسكرية الإيرانية المسؤولة عن مكافحة التخريب قال: “إذا ثبت أن إيران تعرضت لهجمات سيبرانية فسنرد”. ما يفتح الباب للهجوم والهجوم المرتد.
خلال تلك الفترة، تستمر إيران في البحث عن أكبر عدد من نقاط الضعف في البنية التحتية الحيوية الإسرائيلية، حيث تظل عمليات مسح البيانات والمراقبة وجمع المعلومات الاستخبارية أولويات لمجموعات القرصنة.
كم تبلغ تكلفة السلاح السيبراني؟ (مجلس العلاقات الخارجية)
هجوم إلكتروني إيراني يضرب 6 منشآت على شبكة المياه الإسرائيلية (تايمز أوف إسرائيل)
إيران على وشك المضي قدمًا في الهجوم السيبراني (ستراتفور)