على مدار الأشهر الأربعة الماضية، هاجم قراصنة صينيون صحيفة «نيويورك تايمز» الأميركية، حيث اخترقوا نظم الكومبيوتر وحصلوا على كلمات المرور الخاصة بالصحافيين وعاملين آخرين بالصحيفة.
وبعد تتبع القراصنة خلسة لدراسة تحركاتهم وتدعيم الدفاعات لصدهم، استطاعت الصحيفة وخبراء أمن الإنترنت الذين استعانت بهم طرد القراصنة ومنعهم من تكرار هجماتهم مرة أخرى.
وتزامنت بداية الهجمات مع قيام الصحيفة بإعداد تحقيق، نشر على موقعها الإلكتروني في الخامس والعشرين من أكتوبر (تشرين الأول) الماضي، جاء فيه أن أقارب رئيس الوزراء الصيني ون جيا باو قد جمعوا ثروة تقدر بمليارات الدولارات من صفقات تجارية.
وتمكن خبراء أمن الإنترنت الذين استعانت بهم الصحيفة من العثور على أدلة رقمية تفيد بأن القراصنة قد استخدموا طرقا، كان مستشارون قد ربطوا بينها وبين الجيش الصيني في الماضي، لاختراق أجهزة الكومبيوتر الخاصة بالصحيفة. ونجح القراصنة في اقتحام حسابات البريد الإلكتروني لرئيس مكتب الصحيفة في شنغهاي ديفيد باربوزا، الذي كتب التحقيق عن أقارب ون جيا باو، وكذلك حسابات البريد الإلكتروني الخاصة برئيس مكتب الصحيفة في جنوب آسيا في الهند جيم ياردلي، الذي عمل سابقا كرئيس لمكتب الصحيفة في بكين.
وقالت رئيسة تحرير «نيويورك تايمز» جيل ابرامسون: «لم يجد خبراء أمن الإنترنت دليلا على أن القراصنة استطاعوا الوصول إلى أو نسخ أو تحميل رسائل إلكترونية أو ملفات حساسة بشأن مقالاتنا عن أسرة ون جيا باو». وقد حاول القراصنة إخفاء مصدر الهجمات على الصحيفة من خلال اختراق أجهزة كومبيوتر تابعة لجامعات أميركية أولا، ثم شن الهجمات من خلالها، وذلك بحسب خبراء أمن الإنترنت بشركة «مانديانت» التي استعانت بها الصحيفة. وهذه هي نفس الحيلة التي تم استخدامها في الكثير من الهجمات الأخرى التي تعقبتها شركة «مانديانت» في الصين.
في البداية، قام القراصنة بتثبيت البرامج الضارة التي مكنتهم من الدخول إلى أي جهاز كومبيوتر على شبكة الصحيفة. وقد تم التعرف على البرامج الضارة من قبل خبراء أمن الإنترنت اللذين قالوا إنها برامج مرتبطة بهجمات الكومبيوتر التي دائما ما تكون الصين مصدرها. وأضاف الخبراء أن هناك دليلا آخر على مصدر هذه الهجمات وهو أنها قد انطلقت من نفس أجهزة الكومبيوتر الموجودة في الجامعات التي سبق أن استخدمها الجيش الصيني لشن هجوم على المتعاقدين مع الجيش الأميركي في الماضي.
ووجد خبراء الأمن أدلة على أن القراصنة قاموا بسرقة كلمات المرور لجميع العاملين بصحيفة «نيويورك تايمز» واستخدموها في الدخول على أجهزة الكومبيوتر الخاصة بـ53 موظفا، وغالبيتهم من العاملين خارج غرفة الأخبار الخاصة بالصحيفة. ولم يجد الخبراء أي أدلة على أن القراصنة قد استخدموا كلمات المرور للحصول على معلومات غير متعلقة بالتحقيق الذي أعدته الصحيفة عن ون جيا باو.
وعند سؤالها عن الأدلة التي تؤكد أن هذه الهجمات صينية وأنها قد تكون ذات صلة بالجيش الصيني، قالت وزارة الدفاع الصينية: «القوانين الصينية تحظر أي عمل من شأنه أن ينتهك أمن الإنترنت». وأضافت الوزارة: «اتهام الجيش الصيني بشن هجمات إلكترونية من دون أدلة دامغة يعد شيئا غير مهنيا ولا أساس له من الصحة».
وتبدو هذه الهجمات جزءا من حملة تجسس أوسع على وسائل الإعلام الأميركية التي قامت بإعداد تقارير عن قادة وشركات صينية، حيث تعرضت شبكة «بلومبيرغ نيوز» العام الماضي لهجوم من قراصنة صينيين، وتم التجسس على أجهزة الكومبيوتر الخاصة ببعض العاملين بها، حسب تصريحات شخص مطلع على التحقيقات الداخلية للشركة، بعدما قامت الشبكة بنشر مقالة في التاسع والعشرين من يونيو (حزيران) عن الثروة الطائلة التي جمعها أقارب نائب الرئيس الصيني آنذاك شي جين بينغ، والذي شغل منصب الأمين العام للحزب الشيوعي الصيني في شهر نوفمبر (تشرين الثاني)، ومن المتوقع أن يشغل منصب الرئيس في شهر مارس (آذار) المقبل. وأكد المتحدث باسم شبكة «بلومبيرغ» تي تريبيت أن القراصنة قد حاولوا ولكن «لم يتم اختراق أي أنظمة أو أجهزة كومبيوتر».
إشارات على وجود حملة وتشير الأعداد المتزايدة للهجمات التي يقف وراءها الصينيون إلى أن القراصنة الصينيين يقفون وراء حملة تجسس أبعد من ذلك بكثير وتهدف إلى اختراق عدد كبير من الأهداف، بما في ذلك الشركات والهيئات الحكومية والجماعات الناشطة والمؤسسات الإعلامية داخل الولايات المتحدة. ويقول خبراء في السياسة الخارجية وباحثون في أمن الكومبيوتر إن حملة جمع المعلومات الاستخباراتية تحاول السيطرة على صورة الصين، سواء في الداخل أو الخارج، بقدر ما تحاول سرقة الأسرار التجارية.
ويقول خبراء أمن الكومبيوتر إن هذه الحملة بدأت عام 2008، عندما بدأ القراصنة الصينيون في استهداف الصحافيين الغربيين كجزء من محاولة لتحديد وتهديد مصادرهم والشخصيات التي يتصلون بها، ومحاولة معرفة الأخبار التي قد تضر بسمعة القادة الصينيين.
وفي تقرير استخباراتي تم نشره في شهر ديسمبر (كانون الأول) الماضي، قالت شركة «مانديانت» إن الكثير من التحقيقات قد أثبتت أن قراصنة صينيين قاموا بسرقة رسائل بريد إلكتروني وجهات اتصال وملفات أكثر من 30 صحافيا ومسؤولا تنفيذيا في مؤسسات إخبارية غربية، وأنهم يحتفظون بـ«قائمة قصيرة» للصحافيين الذين تم استهداف حساباتهم أكثر من مرة.
وبينما يقول خبراء أمن الكومبيوتر إن الصين لا تتوقف عن القيام بهجمات إلكترونية للكثير من الأغراض الوطنية، بما في ذلك التجسس على الشركات، فإن الصين ليست هي الدولة الوحيدة التي تقوم بذلك، حيث يشتبه في أن كلا من الولايات المتحدة وإسرائيل وروسيا وإيران، وغيرها من الدول، تقوم بتطوير ونشر أسلحة إلكترونية.
ولم تعترف الولايات المتحدة وإسرائيل مطلقا بأنهما يقومان بذلك، ولكن الأدلة تشير إلى أنهما قد صمما برنامجا ضارا عام 2008، والذي هاجم إحدى منشآت تخصيب اليورانيوم الإيرانية وأصابها بالعطل. ويعتقد أن إيران قد ردت بهجمات على أهداف في الولايات المتحدة، بما في ذلك مصارف أميركية وشركات نفط أجنبية.
ويشتبه أيضا في أن روسيا قد استخدمت هجمات على أجهزة الكومبيوتر خلال حربها مع جورجيا عام 2008.
وتقدم الرواية التالية عن الهجوم على صحيفة «نيويورك تايمز» - والتي تستند إلى مقابلات مع المديرين التنفيذيين والصحافيين وخبراء الأمن بالصحيفة - لمحة عن إحدى حملات التجسس من هذا القبيل. بعدما علمت صحيفة «نيويورك تايمز» بتحذيرات مسؤولي الحكومة الصينية من أن التحقيق الذي أجرته عن ثروة أقارب ون سوف يكون له «تداعيات»، طلب المسؤولون التنفيذيون بالصحيفة، في الرابع والعشرين من أكتوبر، من شركة «إيه تي أند تي»، التي تراقب شبكة أجهزة الكومبيوتر بالصحيفة أن تراقب ما إذا كان هناك أي نشاط غير عادي أم لا. وفي الخامس والعشرين من أكتوبر، وهو نفس اليوم الذي تم فيه نشر التحقيق على الموقع الإلكتروني الخاص بالصحيفة، أخبرت شركة «إيه تي أند تي» الصحيفة بأنها قد لاحظت سلوكا يتسق مع هجمات أخرى يعتقد أنها ارتكبت من قبل الجيش الصيني.
وأبلغت الصحيفة مكتب التحقيقات الفيدرالي بتلك الهجمات، وأطلعته طواعية، على ما حدث، ثم - مع عدم الاعتراف في البداية بمدى اختراق أجهزة الكومبيوتر الخاصة بها - عملت مع شركة «إيه تي أند تي» على تعقب المهاجمين، ثم حاولت منعهم من الدخول على أجهزتها.
وفي السابع من شهر نوفمبر (تشرين الثاني)، عندما بات واضحا أن القراصنة ما زالوا يخترقون أنظمة الصحيفة على الرغم من كل الجهود الرامية إلى إيقافهم، استعانت الصحيفة بشركة «مانديانت» المتخصصة في الرد على الانتهاكات الأمنية. ومنذ أن علمت بعمليات التجسس ضدها، قامت الصحيفة - من خلال العمل في البداية مع شركة «إيه تي أند تي» ثم مع شركة «مانديانت» - بمراقبة القراصنة وهم يتحركون نحو أنظمتها.
وكان القراصنة يبدأون العمل بصورة منتظمة في الثامنة صباحا بتوقيت بكين، وكانوا عادة ما يستمرون لساعات العمل اليومية، ولكنهم كانوا يواصلون التجسس في بعض الأحيان حتى منتصف الليل. وأحيانا، كانت الهجمات تتوقف لمدة أسبوعين كاملين، على الرغم من أن السبب لم يكن واضحا.
ولا يعرف المحققون حتى الآن كيف تمكن القراصنة في البداية من اختراق الأنظمة التابعة لصحيفة «نيويورك تايمز»، ويشكون في أن القراصنة قد استخدموا ما يسمى بهجمات «الرمح الخداع»، حيث يقومون بإرسال رسائل بريد إلكتروني إلى موظفين تحتوي على روابط أو ملحقات خبيثة، وما إن يضغط الموظف على الرسالة حتى يتمكن القراصنة من تثبيت «أدوات الوصول عن بعد». وتستطيع هذه الأدوات الحصول على عدد هائل من البيانات - كلمات المرور، وضغطة الزر، وصور الشاشة، والوثائق، وفي بعض الحالات تسجيلات من ميكروفونات أجهزة الكومبيوتر وكاميرات الويب - وإرسال تلك المعلومات إلى خوادم القراصنة.
وقال مايكل هيغينز، وهو الرئيس التنفيذي للأمن بصحيفة «نيويورك تايمز»: «لم يعد القراصنة يذهبون إلى ما هو أبعد من جدار الحماية لدينا. هم يستهدفون الأفراد، ويرسلون ببرمجيات خبيثة إلى حساب البريد الإلكتروني الخاص بك، وما إن تفتحه حتى يسمح لهم بالدخول».
الجلوس في حالة ترقب عند اختراق القراصنة الأجهزة، يصعب التخلص منهم. على سبيل المثال، في حالة اختراق غرفة التجارة الأميركية في عام 2011، عملت عن كثب مع مكتب التحقيقات الفيدرالي من أجل تأمين نظمها، بحسب الموظفين العاملين بغرفة التجارة. غير أنه بعد مرور بضعة أشهر، اكتشفت الغرفة أن الأجهزة المتصلة بالإنترنت - مثل ترموستات موجود في أحد مباني الشركة وطابعة في مكاتبها - كانت لا تزال تتصل بأجهزة الكومبيوتر في الصين.
وبهدف منع ذلك من الحدوث، سمحت صحيفة «نيويورك تايمز» للقراصنة بمد موقع إلكتروني لمدة أربعة أشهر للتعرف على كل منفذ اختراق رقمي استخدمه القراصنة. بعدها، استعاضت عن كل جهاز كومبيوتر تم اختراقه وأنشأت أنظمة دفاعية جديدة على أمل صد هجمات القراصنة.
يقول نيك بينيت، المستشار الأمني الذي أدار تحقيق شركة «مانديانت»: «استهدف المهاجمون الشركات لمبرر - حتى وإن طردتهم، فسوف يعودون مجددا». ويضيف: «أردنا التحقق من أننا ملمون بشكل كامل بحجم إمكانية اختراقهم الأنظمة، بحيث في المرة المقبلة التي يحاولون فيها اختراق أجهزة الكومبيوتر، يمكننا أن نستجيب لهم بشكل سريع».
واستنادا إلى التحليل الجنائي الذي يعود لأشهر مضت، يبدو أن القراصنة قد اخترقوا أجهزة الكومبيوتر الخاصة بصحيفة «نيويورك تايمز» في يوم 13 سبتمبر (أيلول)، حينما كانت عملية إعداد مقالات ون توشك على الانتهاء. لقد أعدوا ثلاثة منافذ على الأقل تمكنوا من خلالها من اختراق أجهزة الكومبيوتر الخاصة بالمستخدمين الذين استخدموها كقاعدة رقمية. ومن هذا الموضع، اخترقوا أنظمة «نيويورك تايمز» على مدى أسبوعين على الأقل قبل أن يتعرفوا على اسم النطاق المسيطر الذي يضم أسماء المستخدمين وكلمات المرور المشفرة لكل موظف بصحيفة «نيويورك تايمز».
بينما تجعل الكلمات المشفرة اختراق القراصنة النظم أكثر صعوبة، فإنه يمكن بسهولة فك شفرتها باستخدام قواعد بيانات متاحة تضم شفرات لكل مجموعة كلمات تتألف من أحرف وأرقام، حتى طول معين. وتنشر بعض المواقع الإلكترونية للقراصنة عددا يصل إلى 50 مليار شفرة.
توصل المحققون إلى أدلة تفيد بأن المهاجمين فكوا شفرات كلمات المرور واستخدموها في الدخول على عدد كبير من أجهزة الكومبيوتر. وصمموا برامج مخصصة سمحت لهم بالبحث عن رسائل البريد الإلكتروني والمستندات المرسلة من خادم بريد إلكتروني خاص بصحيفة «نيويورك تايمز».
خلال مدة ثلاثة أشهر، قام المهاجمون بتثبيت 45 جزءا من برنامج خبيث مصمم خصيصا. توصلت صحيفة «نيويورك تايمز» - التي تستخدم منتجات مضادة للفيروسات من صنع شركة «سيمانتيك» - إلى حالة واحدة فقط حددت فيها شركة «سيمانتيك» برنامجا خاصا بأحد المهاجمين بوصفه ضارا وقامت بعزله، بحسب «مانديانت».
وقال متحدث باسم «سيمانتيك» إنه، في إطار سياستها، لا تقوم الشركة بالتعليق على عملائها. كان المهاجمون هنا نشطاء على وجه الخصوص في الفترة ما بعد نشر مقال صحيفة «نيويورك تايمز» في 25 أكتوبر، خاصة عشية الانتخابات الرئاسية يوم 6 نوفمبر (تشرين الثاني). وأثار هذا مخاوف بين كبار محرري «نيويورك تايمز» ممن تم إخطارهم بالهجمات من احتمال أن يحاول القراصنة إغلاق نظام النشر الإلكتروني أو المطبوع للصحيفة. غير أن حركات المهاجمين أشارت إلى أن الهدف الأساسي لا يزال هو مراسلات البريد الإلكتروني لباربوزا.
يقول مارك فرونس، المدير التنفيذي للمعلومات بصحيفة «نيويورك تايمز»: «ربما يكونون قد ألحقوا دمارا بنظامنا، لكن ذلك لم يكن هدفهم».
بيد أن ما كانوا يبحثون عنه هو أسماء الأفراد الذين ربما يكونون قد أمدوا باربوزا بالمعلومات.
كان بحث باربوزا عن الأخبار، مثلما نشر مسبقا في صحيفة «نيويورك تايمز»، معتمدا على السجلات العامة، بما فيها آلاف من مستندات الشركات عبر الإدارة الرسمية للصناعة والتجارة في الصين. وتلك المستندات - المتاحة للمحامين وشركات الاستشارات مقابل رسم رمزي - استخدمت في تعقب مصالح العمل لأقارب ون.
عملية بحث دقيقة ربما تكون عملية ربط مصدر هجوم بمجموعة أو دولة عسيرة، نظرا لأن القراصنة عادة ما يحاولون إخفاء هوياتهم ومواقعهم.
لشن حملة اختراقهم صحيفة «نيويورك تايمز»، استخدم المهاجمون عددا من أنظمة الكومبيوتر التي تم اختراقها والمسجلة بجامعات في ولايات نورث كارولينا وأريزونا وويسكونسن ونيومكسيكو، إضافة إلى شركات ومزودي خدمة إنترنت أصغر عبر الولايات المتحدة، وفقا لمحققين من شركة «مانديانت».
إضافة إلى ذلك، فإن القراصنة يتحولون على الدوام من عنوان بروتوكول إنترنت إلى آخر، وهو عبارة عن رقم مميز يعرِّف كل جهاز متصل بالإنترنت بين مليارات الأجهزة حول العالم، بحيث توجه الرسائل والمعلومات الأخرى المرسلة من جهاز بشكل صحيح إلى الأجهزة المفترض أن تتلقاها.
كان استخدام أجهزة الكومبيوتر الخاصة بالجامعات كوحدات خدمة نائبة وتغيير عناوين بروتوكولات الإنترنت جهود بسيطة لإخفاء مصدر الهجمات، الذي يزعم المحققون أنه الصين. وقد ضاهى النمط الذي اكتشفه الخبراء بشركة «مانديانت» بدرجة كبيرة نمط الهجمات الأولى التي نسب مصدرها إلى الصين. وبعد تعرض «غوغل» لهجوم في عام 2010 وفتح حسابات «جي ميل» الخاصة بنشطاء حقوقيين صينيين، على سبيل المثال، تمكن المحققون من ربط مصدر الهجوم بمؤسستين تعليميتين في الصين، من بينهما واحدة تربطها صلات بالجيش الصيني.
ويقول خبراء أمن الإنترنت إنه عن طريق توجيه الهجمات عبر الخوادم في الدول الأخرى وتعهيد الخدمات إلى قراصنة مهرة، يبقى الجيش الصيني في حالة إنكار ظاهرية. يقول ريتشارد بيجيتليتش، مسؤول أمن إنترنت رفيع بشركة «مانديانت».
لكن حينما تكون أساليب وأنماط القراصنة متشابهة، تكون هذه إشارة دالة على أن القراصنة متماثلون أو مرتبطون ببعضهم البعض.
يقول: «عندما ترى المجموعة نفسها تسرق بيانات متعلقة بمنشقين صينيين ونشطاء من التبت، ثم تشن هجوما على شركة هندسة فضاء، تبدأ في دفعك في الاتجاه الصحيح».
لقد أخذت شركة «مانديانت» تتعقب قرابة 20 مجموعة تتجسس على المنظمات داخل الولايات المتحدة وحول العالم. ذكر محققوها أنه استنادا إلى الأدلة - البرامج الضارة المستخدمة ومراكز القيادة والسيطرة المخترقة وأساليب القراصنة - تعرضت صحيفة «نيويورك تايمز» لهجوم من قبل مجموعة من القراصنة الصينيين الذين تشير إليهم شركة «مانديانت» داخليا باسم «إيه بي تي. رقم 12».
ويعتبر A.P.T. اختصارا لـAdvanced Persistent Threat، أو التهديدات المستعصية المتقدمة، وهو مصطلح يستخدمه خبراء أمن الكومبيوتر والمسؤولون الحكوميون في وصف هجوم مستهدف والذي ربما يكون قد أصبح متزامنا مع الهجمات التي قامت بها الصين. لقد كان كل من «إيه تي أند تي» ومكتب التحقيقات الفيدرالي يتعقب المجموعة نفسها، التي قد توصلوا إلى أن مصدرها هو الصين، لكنهم يستخدمون تسمياتهم الداخلية.
لقد ذكرت شركة «مانديانت» أن الجماعة كانت «نشطة جدا» واخترقت مئات المؤسسات الغربية الأخرى، من بينها الكثير من المتعاقدين العسكريين الأميركيين.
وللتخلص من هجمات القراصنة، قامت «نيويورك تايمز» بحجب أجهزة الكومبيوتر الخارجية التي تم اختراقها وقامت بإزالة كل المنافذ المؤدية لشبكتها وغيرت كلمات المرور الخاصة بجميع الموظفين وأحاطت أنظمتها بإجراءات أمن إضافية.
حتى الآن، يبدو أن هذا قد أجدى نفعا، لكن المحققين ومسؤولي صحيفة «نيويورك تايمز» يقولون إنهم يتوقعون المزيد من الجهود من جانب القراصنة.
يقول بيجتليتش من «مانديانت»: «ليست هذه نهاية القصة. بمجرد أن تروق لهم ضحية، يعودون أدراجهم. إنها ليست مثل جريمة رقمية يسرق فيها المقتحمون معلومات ثم يختفون. بل يتطلب هذا نموذج حذر داخليا».
* خدمة «نيويورك تايمز»