عربي English Türkçe أردو فارسى
pdf
Logo

مسؤولون أميركيون يؤكدون ضلوع إيران في الهجمات على المصارف الأميركية

الأخيرة منها أظهرت قدرا من التعقيد يتجاوز قدرة القراصنة الهواة

  • سان فرانسيسكو: نيكولاس بيرلروث وكوينتين هاردي*
TT
TT
  • سان فرانسيسكو: نيكولاس بيرلروث وكوينتين هاردي*

شن قراصنة هجمات على عدة مصارف أميركية، جاءت مشابهة للعديد من الهجمات السابقة؛ حيث عانت عشرات المواقع من البطء أو الأعطال أو التوقف الكامل قبل العودة إلى العمل بعد بضع دقائق.

لكن ما أثار الانزعاج بشأن موجة الهجمات الإلكترونية التي ضربت المصارف الأميركية في الأسابيع الأخيرة، بحسب باحثين أمنيين، أن المهاجمين لم يلجأوا إلى استخدام كومبيوترات شخصية؛ بل قاموا ببناء شبكات من الكومبيوترات في مراكز المعلومات تنقل على الإنترنت.

المهارة التي يتطلبها تنفيذ هجمات على هذا الصعيد أقنعت مسؤولي حكومة الولايات المتحدة والباحثين الأمنيين أنها من عمل إيران، ترتبط على الأغلب بالعقوبات الاقتصادية والهجمات الإلكترونية التي شنتها الولايات المتحدة.

وقال جيمس لويس، المسؤول السابق في وزارة التجارة الأميركية وخبير أمن الكومبيوترات في معهد الدراسات الدولية والاستراتيجية في واشنطن: «هناك يقين لدى الولايات المتحدة بضلوع إيران في هذه الهجمات».

وأشار لويس إلى أن طوفان الزيارات إلى مواقع المصارف الأميركية يفوق ضعف ما وجهته روسيا على إستونيا خلال شهر كامل من الحرب الإلكترونية عام 2007، التي أعاقت دولة البلطيق.

ولم يقدم المسؤولون الأميركيون أي دليل تقني يدعم مزاعمهم، لكن خبراء أمن الشبكات أشاروا إلى أن الهجمات الأخيرة أظهرت قدرا من التعقيد يتجاوز قدرة القراصنة الهواة، ناهيك بأن القراصنة اختاروا مواصلة التخريب، لا الاستيلاء على المال، وهي علامة أخرى على ضلوع دولة في رعاية تلك الهجمات، بحسب الخبراء.

وقال كارل هيربرغر، نائب رئيس الحلول الأمنية في شركة «رادوير»، مؤسسة أمنية شاركت في التحقيق ممثلة للمصارف ومقدمي الخدمة: «كان نطاق ومدى وفاعلية الهجمات غير مسبوق، فلم يتعرض هذا العدد الكبير من المؤسسات المالية إلى هذا القدر من التخريب».

ومنذ سبتمبر (أيلول) الماضي تسببت هجمات القراصنة في خلل كبير في المواقع الإلكترونية لمصارف «بنك أوف أميركا» و«سيتي غروب» و«ويلز فارغو» و«يو إس بانكورب» و«بي إن سي» و«فيفث ثيرد بنك» و«بي بي آند تي» و«إتش إس بي سي».

لجأ المهاجمون إلى هجمات «حجب الخدمة الموزعة»، وأطلق عليها هذا الاسم لأن القراصنة يمنعون خدمة العملاء عبر توجيه قدر كبير من الزيارات إلى موقع حتى ينهار. في الوقت ذاته لا يتم اختراق حساب أي مصرف ولا يمس مال أي عميل.

ومن خلال استخدام مراكز البيانات، يقوم المهاجمون بالظهور بشكل متواصل، ويجري العملاء أعمالهم بشكل متزايد على سحب إلكترونية ضخمة لمئات بل آلاف خوادم الكومبيوترات المتصلة بالشبكة.

هذه السحب تديرها «أمازون» و«غوغل»، لكن هناك أيضا كثير من اللاعبين الأصغر الذين يستأجرونها على الأغلب لشركات أخرى. ويبدو أن القراصنة اختطفوا عن بعد بعض هذه السحب واستخدموا القوة الكومبيوترات في تعطيل مواقع المصارف الأميركية.

ويقول جون كيندرفاغ، محلل في شركة «فورستر ريسيرش»: «هناك شعور الآن أن المهاجمين يقومون ببناء سحبهم الخاصة؛ إما بإنشاء شبكات لكومبيوترات فردية أو بسرقة الموارد بالكامل من شركات السحب سيئة الصيانة».

لكن الطريقة التي تمكن بها المهاجمون من اختطاف مراكز المعلومات لا تزال لغزا. مما يزيد الأمر تعقيدا، أنهم قدموا بشكل متزامن سلاحا آخر هو هجمات مشفرة لحجب الخدمة الموزعة.

تقوم المصارف بتشفير صفقات العملاء على الإنترنت لدواع أمنية، لكن عملية التشفير تستنفد موارد النظام. وعن طريق تدفق أعداد ضخمة من طلبات التشفير على مواقع المصارف، يستطيع المهاجمون إبطاء أو تعطيل المواقع التي تقل الطلبات المرسلة إليها.

وقد اعترفت جماعة تطلق على نفسها اسم «كتائب عز الدين القسام الإلكترونية»، في رسائل على الإنترنت بمسؤوليتها عن الهجمات.

وأشارت الجماعة إلى أنها قد شنت هجوما على المصارف انتقاما لبث فيديو مسيء للإسلام تضمن سخرية من الرسول محمد صلى الله عليه وسلم، وتعهدت بأن تواصل حملتها الهجومية إلى أن تتم إزالة الفيديو المسيء من على شبكة الإنترنت، وأطلقت على الحملة اسم «عملية أبابيل»، نسبة إلى سورة في القرآن الكريم، تحكي عن إرسال الله تعالى طيورا أبابيل لهزيمة جيش من الأفيال وجهه ملك اليمن لمهاجمة مكة في عام 571 بعد الميلاد.

غير أن مسؤولين استخباراتيين أميركيين يقولون إن الجماعة في واقع الأمر تعتبر ستارا لإيران، ويزعمون أن إيران تشن تلك الهجمات ردا على العقوبات الاقتصادية الغربية المفروضة عليها، وأيضا انتقاما لسلسلة من الهجمات الإلكترونية على أنظمتها الخاصة.

وخلال الأعوام الثلاثة الماضية، هاجمت ثلاثة فيروسات معقدة - تحمل أسماء «فليم» و«دوكو» و«ستوكس نت» - أجهزة الكومبيوتر في إيران. وأشارت صحيفة «نيويورك تايمز» العام الماضي إلى أن الولايات المتحدة، جنبا إلى جنب مع إسرائيل، تحملتا المسؤولية عن فيروس «ستوكس نت»، ذلك الفيروس الذي دمر أجهزة الطرد المركزي في إحدى محطات الطاقة النووية الإيرانية في عام 2010.

وقال لويس من مركز الدراسات الاستراتيجية والدولية: «إنه نوع من الكراهية المتبادلة».

وقد توصل الباحثون بشركة «ريدوير» الذين أجروا تحقيقا حول الهجمات التي استهدفت عدة مصارف، إلى أن معدل الزيارات الكبير للمواقع يأتي من مراكز البيانات حول العالم، واكتشفوا أن العديد من الخدمات السحابية وخدمات استضافة المواقع العامة قد هاجمها نوع على درجة خاصة من التعقيد من البرامج الخبيثة، يحمل اسم «إتسوكنوبروبليمبرو»، الذي صمم لتفادي التعقب من قبل البرامج المضادة للفيروسات.

ظهر البرنامج الخبيث منذ أعوام، لكن الهجمات على المصارف كانت أول هجمات من نوعها تستخدم مراكز البيانات في مهاجمة ضحايا خارجيين.

من الممكن ربط شبكات «بوتنت»، أو شبكات من أجهزة الكومبيوتر التابعة المصابة بالفيروس، بمركز قيادة وتحكم، غير أن خبراء أمنيين يقولون إنه قد تم تصميم «إتسوكنوبروبليمبرو»، بحيث يصبح من الصعوبة بمكان ربطه بجهة واحدة. لقد توصل الباحثون في مجال الأمن إلى اسم جديد للخوادم المتأثرة بفيروس «إتسوكنوبروبليمبرو»، ويشيرون إليها باسم «بي روبوتس».

وفي شبكة «بوتنت»، يمكن بسهولة التعرف على مركز قيادة وتحكم، غير أن هيربرغر قال إنه كان القيام بذلك في هذه الحالة مهمة شبه مستحيلة، مما يشير إلى أن «الحملة ربما تكون مدعومة من قبل دولة وليست ممثلة في برنامج خبيث من تصميم هواة».

استخدم المهاجمون الخوادم المصابة بالفيروسات في استهداف الزيارات لمواقع المصارف بالتزامن إلى أن تباطأت أو توقفت تماما.

وعن طريق مهاجمتهم مراكز البيانات بدلا من أجهزة الكومبيوتر، حصل القراصنة على قوة حوسبة لشن هجمات ضخمة للحرمان من الخدمة. كان لدى أحد المصارف سعة إنترنت حجمها 40 غيغابايت، على حد قول هيربرغر، وهي سعة كبيرة حينما ترى أن شركة متوسطة الحجم ربما تكون لديها سعة 1 غيغابايت فقط. غير أن بعض المصارف قد استقبلت تدفق زيارات مستمر بلغ ذروته عند 70 غيغابايت. ورفض هيربرغر تحديد أي مزودي خدمات سحابية قد تمت مساومتهم، مشيرا إلى اتفاقيات سرية مع عملاء «رادوير»، لكنه قال إن كل هجوم جديد على أحد المصارف قد زود أدلة مفادها أن مزيدا من مراكز البيانات قد أصيبت بالفيروس وتم استغلالها.

وأشار المهاجمون في الأسبوع الماضي إلى أنهم ليست لديهم أي نية لوقف الحملة، وكتبوا: «ينبغي أن يتوقع مسؤولو المصارف الأميركية هجماتنا الضخمة. من الآن فصاعدا، لن تكون أي من المصارف الأميركية في أمان».

* خدمة «نيويورك تايمز»