تكنولوجيا

قراصنة مرتبطون بالمسؤولية العسكرية الروسية عن تخريب مرافق المياه الأمريكية


كانت وحدة الاستخبارات العسكرية الروسية المعروفة باسم Sandworm، على مدى العقد الماضي، بمثابة قوة الهجوم السيبراني الأكثر عدوانية في الكرملين، مما أدى إلى انقطاع التيار الكهربائي في أوكرانيا وإطلاق تعليمات برمجية مدمرة ذاتية الانتشار في حوادث لا تزال من أكثر أحداث القرصنة تدميراً في تاريخ. ومع ذلك، في الأشهر الأخيرة، حاولت مجموعة من المتسللين المرتبطين بـ Sandworm القيام بنوع من الفوضى الرقمية التي تتجاوز، في بعض النواحي، حتى سابقتها: لقد أعلنوا مسؤوليتهم عن استهداف الأنظمة الرقمية لمرافق المياه في الولايات المتحدة بشكل مباشر. وبولندا بالإضافة إلى طاحونة مياه في فرنسا، حيث قاموا بقلب المفاتيح وتغيير إعدادات البرامج في محاولة واضحة لتخريب البنية التحتية الحيوية في تلك البلدان.

منذ بداية هذا العام، نالت مجموعة من الناشطين في مجال القرصنة تعرف باسم الجيش السيبراني لروسيا، أو في بعض الأحيان الجيش السيبراني لروسيا من جديد، الفضل في ثلاث مناسبات على الأقل في عمليات القرصنة التي استهدفت مرافق المياه والطاقة الكهرومائية الأمريكية والأوروبية. في كل حالة، نشر المتسللون مقاطع فيديو على منصة التواصل الاجتماعي Telegram تظهر تسجيلات الشاشة لتلاعبهم الفوضوي بما يسمى بواجهات الإنسان والآلة، وهي البرامج التي تتحكم في المعدات المادية داخل تلك الشبكات المستهدفة. ومن بين الضحايا الواضحين لهذا الاختراق العديد من مرافق المياه الأمريكية في تكساس، ومحطة بولندية لمعالجة مياه الصرف الصحي، وطاحونة مياه فرنسية، والتي ادعى المتسللون أنها سد فرنسي لتوليد الطاقة الكهرومائية. ومن غير الواضح بالضبط مقدار التعطيل أو الضرر الذي قد يكون المتسللون قد أحدثوه ضد أي من تلك المرافق.

تقرير جديد نشرته اليوم شركة Mandiant للأمن السيبراني يربط بين مجموعة القراصنة تلك وSandworm، التي تم تحديدها لسنوات على أنها الوحدة 74455 التابعة لوكالة الاستخبارات العسكرية الروسية GRU. عثر مانديانت على دليل على أن Sandworm ساعد في إنشاء Cyber ​​Army of Russian Reborn وتتبع حالات متعددة عندما تم تسريب البيانات المسروقة من الشبكات التي هاجمتها Sandworm لاحقًا من قبل مجموعة Cyber ​​Army of Russian Reborn. ومع ذلك، لم يتمكن مانديانت من تحديد ما إذا كان الجيش السيبراني في روسيا الذي ولد من جديد هو مجرد واحد من العديد من شخصيات التغطية التي تبنتها Sandworm لإخفاء أنشطتها على مدار العقد الماضي أو بدلاً من ذلك مجموعة متميزة ساعدت Sandworm في إنشائها والتعاون معها ولكنها تعمل الآن بشكل مستقل.

في كلتا الحالتين، أصبحت قرصنة Cyber ​​Army of Russian Reborn الآن، في بعض النواحي، أكثر وقاحة من Sandworm نفسها، كما يقول جون هولتكويست، الذي يقود جهود Mandiant في مجال استخبارات التهديدات وتتبع قراصنة Sandworm بحثًا عن معلومات. ما يقرب من عقد من الزمان. ويشير إلى أن Sandworm لم تستهدف مطلقًا شبكة أمريكية بشكل مباشر بهجوم سيبراني تخريبي – فقط زرعت برامج ضارة على شبكات أمريكية استعدادًا لواحدة، أو في حالة هجوم برنامج الفدية NotPetya عام 2017، أصابت الضحايا الأمريكيين بشكل غير مباشر بكود ينتشر ذاتيًا. وعلى النقيض من ذلك، لم يتردد جيش روسيا السيبراني الذي ولد من جديد في عبور هذا الخط.

يقول هولتكويست: “على الرغم من أن هذه المجموعة تعمل تحت هذه الشخصية المرتبطة بـ Sandworm، إلا أنها تبدو أكثر تهورًا من أي مشغل روسي رأيناه يستهدف الولايات المتحدة على الإطلاق”. “إنهم يتلاعبون بنشاط بأنظمة التكنولوجيا التشغيلية بطريقة شديدة العدوانية، وربما تكون مدمرة وخطيرة.”

دبابة فائضة وديك فرنسي

لم يكن لدى Mandiant إمكانية الوصول إلى مرافق المياه وشبكات محطات الطاقة الكهرومائية المستهدفة، لذلك لم يكن قادرًا على تحديد كيفية وصول Cyber ​​Army of Russian Reborn إلى تلك الشبكات. ومع ذلك، يُظهر أحد مقاطع الفيديو التي نشرتها المجموعة في منتصف شهر يناير ما يبدو أنه تسجيل شاشة يصور تلاعب المتسللين بواجهات البرامج الخاصة بأنظمة التحكم في مرافق المياه في مدينتي أبيرناثي وموليشو في تكساس. وجاء في رسالة تقدم الفيديو على تيليجرام: “لقد بدأنا غارتنا التالية عبر الولايات المتحدة الأمريكية”. “يوجد في هذا الفيديو بعض العناصر المهمة للبنية التحتية، وهما أنظمة إمدادات المياه”

يُظهر تسجيل الشاشة Cyber ​​Army of Russian Reborn وهو ينقر على الأزرار الموجودة على واجهة مرفق المياه في تكساس.

الجيش السيبراني لروسيا يولد من جديد عبر Telegram

يُظهر الفيديو بعد ذلك المتسللين وهم ينقرون بشكل محموم حول الواجهة المستهدفة، ويغيرون القيم والإعدادات لنظامي التحكم في كلا المرفقين. على الرغم من أنه ليس من الواضح ما هي التأثيرات التي قد يكون لها هذا التلاعب، حسبما ذكرت صحيفة تكساس بلاينفيو هيرالد ذكرت في أوائل فبراير أن المسؤولين المحليين قد اعترفوا بالهجمات الإلكترونية وأكدوا وجود مستوى معين من التعطيل. وبحسب ما ورد قال مدير مدينة موليشو، رامون سانشيز، في اجتماع عام إن الهجوم على مرافق المدينة أدى إلى فيضان أحد خزانات المياه. وقال مسؤولون في مدينتي أبيرناثي وهيل سنتر القريبتين – وهو هدف لم يذكر في فيديو المتسللين – إنهم تعرضوا للضرب. وبحسب ما ورد قامت مرافق البلدات الثلاث، بالإضافة إلى مدينة أخرى في لوكني، بتعطيل برامجها لمنع استغلالها، لكن المسؤولين قالوا إن الخدمة لعملاء مرافق المياه لم تنقطع أبدًا. (تواصلت WIRED مع مسؤولين من Muleshoe وAbernathy لكنها لم تتلق أي رد على الفور.)

يُظهر تسجيل آخر للشاشة أن الجيش السيبراني التابع لـ Russian Reborn يعبث بأنظمة التحكم في محطة معالجة مياه الصرف الصحي البولندية، ويبدو أنه يغير الإعدادات بشكل عشوائي.

الجيش السيبراني لروسيا يولد من جديد عبر Telegram

يُظهر مقطع فيديو آخر نشره قراصنة Cyber ​​Army of Russian Reborn في يناير ما يبدو أنه تسجيل شاشة لمحاولة تخريب مماثلة لمرفق مياه الصرف الصحي في Wydminy، وهي قرية في بولندا، وهي دولة كانت حكومتها مؤيدًا قويًا لأوكرانيا في البلاد. وسط الغزو الروسي. “مرحبًا بالجميع، سنلعب اليوم مع محطات معالجة مياه الصرف الصحي البولندية. استمتع بالمشاهدة!‘‘ يقول صوت روسي آلي في بداية الفيديو. يُظهر الفيديو بعد ذلك المتسللين وهم يقلبون المفاتيح ويغيرون القيم في البرنامج، مع ضبطهم على الموسيقى التصويرية لـ Super Mario Bros. لم تستجب منشأة Wydminy لطلب WIRED للتعليق.

يُظهر تسجيل الشاشة الثالث وصول Cyber ​​Army of Russian Reborn إلى ما يعتقدون أنه مرفق مياه فرنسي، ولكن يُقال إنه طاحونة مياه في بلدة صغيرة.

الجيش السيبراني لروسيا يولد من جديد عبر Telegram

وفي مقطع فيديو ثالث، نُشر في مارس/آذار، سجل المتسللون أنفسهم بالمثل وهم يعبثون بنظام التحكم فيما وصفوه بسد كورلون سور يون الكهرومائي في فرنسا. في الواقع، الصحيفة الفرنسية لوموند وكشفوا يوم الأربعاء أنهم تمكنوا بدلاً من ذلك من الوصول إلى نظام التحكم الخاص بطاحونة مياه صغيرة تمر عبر قرية يبلغ عدد سكانها 300 شخص. تم نشر هذا الفيديو مباشرة بعد أن أدلى الرئيس الفرنسي إيمانويل ماكرون بتصريحات علنية تشير إلى أنه سيرسل أفرادًا عسكريين فرنسيين إلى أوكرانيا للمساعدة في حربها ضد روسيا. يبدأ الفيديو بإظهار ماكرون على شكل ديك يحمل العلم الفرنسي. يقول الفيديو: “سمعنا مؤخرًا صياح الديك الفرنسي”. “اليوم سنلقي نظرة على سد كورلون ونستمتع قليلاً. مشاهدة ممتعة يا أصدقاء. المجد لروسيا!».

وفي منشورهم على تطبيق Telegram، يزعم المتسللون أنهم خفضوا منسوب المياه في السد الفرنسي وأوقفوا تدفق الكهرباء التي ينتجها، على الرغم من أنه وفقا لـ لوموندلقد فشلوا حتى في التأثير على طاحونة المياه الصغيرة التي عبثوا بها بالفعل.

في مقاطع الفيديو، يعرض المتسللون بعض المعرفة حول كيفية عمل مرافق المياه، بالإضافة إلى بعض الجهل والتقلب العشوائي للمفاتيح، كما يقول جوس سيرينو، مؤسس شركة الأمن السيبراني I&C Secure والموظف السابق في مرفق المياه وفي شركة البنية التحتية للأمن السيبراني Dragos. ويشير سيرينو إلى أن المتسللين قاموا، على سبيل المثال، بتغيير “مستوى التوقف” لخزانات المياه في مرافق تكساس، الأمر الذي كان من الممكن أن يؤدي إلى الفائض الذي ذكره المسؤولون. لكنه يشير إلى أنهم أجروا أيضًا تغييرات أخرى تبدو اعتباطية، خاصة بالنسبة لمحطة مياه الصرف الصحي في ويدميني، والتي لم يكن لها أي تأثير.

الوسوم

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

زر الذهاب إلى الأعلى