التجنيد والنشر وقلة الوعي وراء نجاح هجمات «ميراي» على «دايـن» الأميركية

في ضوء المعلومات والحقائق التي ساقها الخبراء أخيراً، حول الهجوم الكبير وغير المسبوق حجماً وعنفاً في تاريخ الإنترنت، والذي وقع صباح الجمعة 21 أكتوبر الجاري باستخدام فيروس «ميراي»، يمكن القول إن هذا الهجوم كان وراءه ثلاثة أسباب، هي: التجنيد والإعداد طويل الأمد، والنشر الوبائي على نطاق واسع للفيروس المستخدم في الهجوم، وانخفاض الوعي لدى شريحة واسعة من مستخدمي الإنترنت، الذين أسهموا بقلة وعيهم في إنجاح الهجوم، وهم في الغالب لا يعلمون ولا يدرون.

وتستند «الإمارات اليوم» في هذه الفرضية إلى مراجعة قامت بها لعشرات التقارير والتحليلات التي نشرت عقب الهجوم، بأكثر من 10 مواقع متخصصة في التقنية وأمن المعلومات، على رأسها «سي نت»، و«زد دي نت»، و«بيزنس انسايدر»، و«تيك ريبابليك» وغيرها، ولعل النقطة الأولى التي أجمع عليها المراقبون والخبراء الذين تحدثوا إلى هذه المواقع، أو كتبوا تحليلات سريعة أولية حول الهجوم هي أنه عطل ما يقرب من نصف الإنترنت وأثر بشدة في قلبها النابض لمدة زادت على الساعتين على الأقل.

حدود الهجمة

وملخص الواقعة، أنه في يوم الجمعة قبل الماضي، تعرضت شركة «داين» إحدى كبرى الشركات المزودة لخدمة الإنترنت، ومقرها نيوهامبشاير بأميركا، لثلاث هجمات من نوع «حجب الخدمة» عن خدماتها المتعلقة بأسماء النطاق، وبدأت الهجمات في حدود الـ11 صباحا، وانتهت في المساء.

أسلوب التنفيذ

وجرى تنفيذ الهجمة بالاعتماد على أسلوب «إنكار الخدمة الموزع»، الذي يعرف اختصاراً باسم «دي دوس»، وفي هذا النوع من الهجمات يتم إغراق المواقع المستهدفة بسيل من البيانات غير اللازمة، ما يسبب بطء الخدمات أو زحاماً مرورياً بهذه المواقع، ويسبب صعوبة وصول المستخدمين إليها، نظراً لهذا الاكتظاظ، وعلى هذا الأساس فإن هذا النوع من الهجمات يُدعى في بعض الأوساط بـ«إيدز الإنترنت»، وهو يتم من دون كسر ملفات كلمات السر أو سرقة البيانات السرية. وتتم عملية الإغراق بالبيانات والطلبات غير اللازمة عادة من خلال السيطرة على عدد كبير من الأجهزة المتصلة بالشبكة، وهي أجهزة وحاسبات بها نقاط ضعف أمنية كبيرة، وليس لها نشاط كبير على الشبكة، ما يجعلها أقرب إلى «الأجهزة الميتة»، ولذلك يطلق عليها «حاسبات الزومبي»، أو «الأجهزة الميتة الحية» على الشبكة. وتزرع فيها برمجيات خبيثة لها وظيفة واحدة فقط، هي تحويل الحاسب من هذا النوع في لحظة ما إلى منصة لإطلاق سيل من البيانات والمعلومات الزائفة وغير الحقيقية على المواقع والأهداف المحددة في توقيت معين، يحدده المهاجم، وغالباً ما يقوم المهاجم بتحديد توقيت متزامن لقيام «الحاسبات الزومبي» بهذا الأمر، ما يجعلها أشبه بمدفعية جيش تقصف أهدافها بصورة متزامنة منسقة.

برنامج خبيث

واستخدم المهاجمون برنامجاً خبيثاً أطلقوا عليه اسم «ميراي»، وهو برنامج متطور يدس نفسه ليس فقط داخل «حاسبات الزومبي»، ولكن داخل أي شيء متصل بالإنترنت، كأجهزة الاستخدام اليومي والأجهزة المنزلية كمسجلات الفيديو الرقمية والكاميرات وحتى الغلايات التي تتصل بالإنترنت، وهو مفهوم للتواصل يشار إليه باسم «إنترنت الأشياء»، حيث يقوم البرنامج بتحويل كل هذه الأشياء إلى منصات إطلاق عند اللزوم.

نجاح الهجمة

وحققت الهجمة نجاحاً كبيراً من حيث القوة والانتشار، أثرت في ما يقرب من نصف الإنترنت، ما جعلها الأعنف والأكبر من نوعها في تاريخ الإنترنت، الأمر الذى دفع البعض إلى الحديث عن أنها نوع من «الحرب الإلكترونية» المكشوفة الساخنة، بين كل من أميركا وروسيا. ووضعوا لذلك احتمالين، إما أن الولايات المتحدة نفذت الهجوم لإلقاء اللوم على روسيا وإحراج «الكرملين»، أو أن روسيا شنت هذه الهجمات الإلكترونية لتهديد الولايات المتحدة وإثارة الرعب والخوف، خصوصاً مع اقتراب الانتخابات الرئاسية الأميركية.

النشر الوبائي

وبتحليل النمط الذي تمت به الهجمة، قال الخبراء إن النجاح الساحق الذي حققته يعود في مجمله إلى ثلاثة أسباب:

الأول هو لجوء المهاجمين إلى اتباع طريقة متطورة جداً في نشر الفيروس المستخدم في الهجوم، وهي النشر بطريقة «الوباء»، حيث قاموا بإطلاق هذا الفيروس بكثافة عالية في شتى أرجاء الإنترنت، وكل شيء مرتبط بها، ما جعله ينتشر ويتوغل بصورة وبائية واسعة النطاق، لكنها صامته وغير محسوسة أو معروفة. وأسفر النشر الوبائي عن وصول الفيروس إلى كمية ضخمة من الأجهزة والمعدات والأدوات، لم يتم حصرها على نحو دقيق بعد، وإن كانت الإحصاءات السريعة التي ظهرت في هذا السياق تحدثت عن نشر الفيروس في حاسبات وأجهزة يراوح عددها بين 100 ألف جهاز في أقل التقديرات، و493 ألف جهاز في أعلى التقديرات، وهو ما يعني أن منصات الإطلاق التي استخدمها المهاجمون تشكلت من جيش مؤلف من 100 ألف منصة على الأقل.

التجنيد

والسبب الثاني هو لجوء المهاجمين لأسلوب «التجنيد طويل الأمد»، ويعني هذا الأسلوب أن الإعداد للهجمة استغرق وقتاً طويلاً يقاس بالأشهر، ظل خلالها المهاجمون ينشرون ويجندون الأجهزة التي يسيطرون عليها بهدوء، وبطريقة صامتة غير مكتشفة، حتى تمكنوا من تكوين «جيش منصات الإطلاق» اللازمة للهجمة. ويشير الخبراء والمحللون إلى أن عملية «التجنيد» التي نفذها المهاجمون كانت بارعة وتتسم بالصبر، ومهارة التخفي، وإن كانت بعض تحركاتهم قد تعرضت للرصد من قبل بعض الأجهزة الأمنية ونظم المعلومات حول العالم، والتي أصدرت بعض التحذيرات قبل وقوع الأزمة، لكن اتباع سياسة «النفس الطويل» في عملية التجنيد، نجح في تفادي كشف الهجوم أو موعده أو تحديد نطاقه وحجمه.

الغافلون الجدد

أما السبب الثالث، فتمثل في قلة الوعي بأمن المعلومات ومقتضياته لدى الكثير من أصحاب ومالكي الأدوات المنضوية تحت ما يعرف بـ«إنترنت الأشياء»، أو الأجهزة المنزلية واليدوية وداخل المكاتب والمؤسسات والمصانع وجرى ربطها بالإنترنت، دون أن يصاحب ذلك وعي كامل بكيفية تأمينها ضد التجنيد والتلويث بالبرمجيات الخبيثة المستخدمة في هذه النوعية من الهجمات، ويطلق على هؤلاء «الغافلون الجدد» أو الأشياء التي ارتبطت بالإنترنت حديثاً، ولاتزال غافلة عن مخاطر الإنترنت. وأشار أحد التقارير إلى أن قلة الوعي وصلت إلى درجة أن المهاجمين استطاعوا تحويل خط إنتاج كامل من شبكات كاميرات المراقبة التلفزيونية الداخلية المتصلة بالإنترنت التي تنتجها إحدى الشركات الصينية إلى منصات إطلاق وحاضنات لفيروس «ميراي» المستخدم في الهجمة.

ومن حيث الخسائر، تحدثت التقارير المبدئية عن ملايين الدولارات التي خسرتها المواقع العالمية الكبرى، جراء توقفها عن الخدمة لساعات عدة بصورة متقطعة أكثر من مرة في يوم الهجوم، وكذلك في إجراءات استعادة المواقع إلى طبيعتها مرة أخرى، وأيضاً نتيجة عمليات البطء الشديد في إجراء المعاملات المالية والإدارية وتبادل المستندات والخدمات خلال هذه الفترة. وطبقاً لتقديرات سابقة في مواقف أقل عنفاً واتساعاً، فإن الخسائر لن تقل عن نصف مليار دولار على مستوى العالم أجمع.