هاكر القبعة الخضراء.. كيف تطورت القوة السيبرانية للمقاومة الفلسطينية؟

نحن الآن في صيف عام 2018، تجري مباريات كأس العالم في ملاعب روسيا، وعلى بُعد آلاف الكيلومترات من هذه الإثارة، وفي إحدى القواعد العسكرية لجيش الاحتلال، يجلس الجنود الإسرائيليون يتابعون أحداث المباريات على هواتفهم الذكية، خاصة مع وجود تطبيق جديد يُسمى "الكأس الذهبية" (Golden Cup)، يمكن تحميله مجانا من متجر غوغل على هواتف أندرويد.

قدَّم لهم التطبيق وعدا بأن يكون أسرع مصدر لمواعيد المباريات والأهداف والإحصاءات والنتائج عن كل مباراة، وغيرها من المزايا التي يصعب مقاومتها لمَن يحب متابعة بطولة مهمة مثل كأس العالم. لكن ما لم يعرفه جنود الاحتلال حينها أن لهذا التطبيق جانبا خطيرا، لأنه ببساطة لم يكن سوى أداة متطورة للتجسس على هواتفهم الذكية!

بمجرد تثبيت التطبيق على الهاتف الذكي، يتصل بالخادم لتثبيت حمولة من برمجيات التجسس الخبيثة في سرية على الهاتف. وفي حالة هذا التطبيق، تُثبت البرمجية الخبيثة عمدا بعد تحميل التطبيق من متجر غوغل بهدف تجاوز عملية الفحص الأمني التي تفرضها غوغل. وهذا منح مجموعة الهاكرز فرصة تنفيذ تعليمات برمجية عن بُعد على الهاتف الذكي، ليتمكّنوا من السيطرة عليه بشكل كامل، ومعها أصبح بإمكانهم تتبع الموقع والوصول إلى الكاميرا والميكروفون وتحميل الصور والتنصت على المكالمات واستخراج الملفات من الهاتف (1).

بينما يستخدم جنود الاحتلال هواتفهم كانت الوحدة السيبرانية التابعة لحركة المقاومة الإسلامية "حماس" تحصد كمًّا هائلا من البيانات من تلك الهواتف. (الأوروبية)

لم يدرك جنود الاحتلال أن هواتفهم تتعرض للتجسس، وبينما يستخدمونها يوميا كانت مجموعة الهاكرز تحصد كمًّا هائلا من البيانات من تلك الهواتف. وفي غضون أسابيع قليلة، نجحت في جمع معلومات غير معلنة حول مجموعة مختلفة من قواعد الجيش الإسرائيلي ومكاتبه ومعداته العسكرية كالدبابات والمركبات المدرعة.

الفكرة أن هذه المجموعة لم تكن إحدى مجموعات الاختراق الشهيرة عالميا، ولم تكن تابعة لاستخبارات إحدى الدول الكبرى كالصين أو إيران مثلا، ورغم أن الحرفية والمهارات التي ظهرت في هذه العملية من السمات المميزة لأجهزة الاستخبارات الشهيرة، فإنها كانت من أعمال الوحدة السيبرانية التابعة لحركة المقاومة الإسلامية "حماس".

الوحدة السيبرانية للمقاومة

في أكتوبر/تشرين الأول العام الماضي 2022، وبعد نحو 10 سنوات على أول هجوم إلكتروني نفذته المقاومة الفلسطينية في غزة ضد أهداف إسرائيلية، كشفت "كتائب الشهيد عز الدين القسام"، الجناح العسكري لحركة حماس، عن وحدة إلكترونية متخصصة بتنفيذ هجمات سيبرانية ضد إسرائيل.

يُنسب الفضل في تأسيس هذه الوحدة وتطوير عملها للشهيد جمعة الطحلة، الذي اغتالته إسرائيل في معركة "سيف القدس" في مايو/أيار 2021، وأعلنت حينها أنه قائد الأمن السيبراني في حماس، وأن الهدف هو ضرب قدرات المقاومة في الهجمات السيبرانية (2).

ذكر حينها مصدر أمني في المقاومة للجزيرة نت أن تأسيس هذه الوحدة كان يهدف إلى تنظيم الهجمات التقنية للمقاومة، وزيادة تطويرها، وخاصة في توظيف المعلومات سواء لجهة العمليات الهجومية الميدانية أو لإحباط عمليات العدو.

عملية #هكر_حماس.. المقاومة تظهر قوتها الإلكترونية لتفتح الباب أمام نمط جديد من مواجهة الاحتلال pic.twitter.com/BzBgatdb5q

— قناة الجزيرة (@AJArabic) January 12, 2017

منذ بدأت معركة "طوفان الأقصى" في الميدان يوم السابع من أكتوبر/تشرين الأول الماضي، كانت هناك معركة شرسة تدور في الفضاء السيبراني من كيانات ومنظمات تساند فلسطين والقضية الفلسطينية، وتركز هذه المعركة في الأغلب على الهجمات ضد المؤسسات الإسرائيلية المختلفة، وكان هذا غالبا عبر هجمات الحرمان من الخدمة "DDoS"، لكن التهديدات السيبرانية الحقيقية والمستمرة التي نفذتها وحدة القسام السيبرانية لصالح حماس تمنح الأولوية لعمليات التجسس وجمع المعلومات الاستخباراتية.

في تقريرها الصادر في نوفمبر/تشرين الثاني من العام الماضي 2022، تسلط مؤسسة المجلس الأطلسي، وهي مؤسسة بحثية أميركية مؤثرة في مجال الشؤون والعلاقات الدولية، الضوء على تطور إستراتيجية حركة حماس السيبرانية، وكيف أعادت تنظيم عملياتها الإلكترونية واستفادت من العمليات السيبرانية الهجومية بشكل جديد لتخترق دفاعات جيش الاحتلال، وتحصد أكبر قدر من المعلومات الاستخباراتية المهمة (3).

أطلق التقرير على الوحدة السيبرانية لحماس "هاكر القبعة الخضراء"، وهو مصطلح معروف في أوساط الأمن السيبراني يصف شخصا متخصصا حديثا نسبيا في عالم الاختراق الإلكتروني، قد يفتقد هذا الشخص إلى الخبرة، ولكنه ملتزم التزاما تاما بإحداث وصنع تأثير على المجال، ويحرص على التعلم المستمر من كل ما يحدث في أثناء رحلته، وهذا تحديدا ما أظهرته المقاومة على مدار السنوات الماضية، خاصة في جانب التجسس وجمع المعلومات الاستخباراتية.

تطور في القدرات

المثير للإعجاب هو مدى تطور قدرات الوحدة السيبرانية، رغم عدم امتلاكها أدوات متطورة قد تملكها مجموعات اختراق في أماكن أخرى، لدرجة أن بعض خبراء الأمن السيبراني يُفاجأ من امتلاك المقاومة قدرات سيبرانية من الأصل، خاصة بالنظر إلى الحصار الخانق المفروض على قطاع غزة، الذي يعاني أصلا من انقطاع في الكهرباء بصورة مزمنة، بالإضافة إلى سيطرة دولة الاحتلال على ترددات الاتصالات والبنية التحتية في القطاع. ومع ذلك، وفي مايو/أيار عام 2019، وبعد تهديدات وعمليات سيبرانية مختلفة ضد دولة الاحتلال، قرر الجيش أن ينفذ ضربة جوية ويقصف أحد المباني التي ذكر حينها أنها تخص مقر الوحدة السيبرانية لحركة حماس. وكانت هذه المرة الأولى التي يحدث فيها أن يتحرك جيش نظامي في عملية على الأرض ردا على تهديدات أو هجمات سيبرانية (4).

نحن الرعب الذي ينتظركم .. انتظروا اكبر هجوم الكتروني عرفته دولتكم #سايبر_طوفان_الاقصى
#cyber_toufan_aksa pic.twitter.com/W6YUr2KmLm

— ToufanAksaCyber (@toufanaksa) October 27, 2023

 

الجدير بالذكر أن وحدة القسام السيبرانية كانت أحد أهم عوامل نجاح هجوم "طوفان الأقصى"، بدورها المميز في مساندة العمليات العسكرية على الأرض، خاصة في جمع كثير من المعلومات الحساسة قبل الهجوم بمدة طويلة. أشار تقرير لصحيفة "نيويورك تايمز" الأميركية (5) إلى أن حماس امتلكت "معلومات دقيقة عن أسرار الجيش الإسرائيلي بصورة تثير الدهشة" عند جمعها للمعلومات الاستخباراتية، ويبدو أن مجهودات البحث والتخطيط التفصيلي، الذي شاركت فيه الوحدة السيبرانية، ساهم بمعرفة أماكن خوادم الاتصالات في عدة قواعد عسكرية بدقة، وهو ما ساعد الجنود على الأرض في استهداف تلك الخوادم وإيقافها عن العمل أثناء عملية "طوفان الأقصى". كما أشار التقرير إلى أن كتائب القسام امتلكت "فهما ومعرفة متطورة، على نحو مفاجئ، لكيفية إدارة الجيش الإسرائيلي، وأين تتمركز وحدات بعينها، وحتى الوقت الذي يستغرقه وصول التعزيزات".

عمليات التجسس الاستخباراتية

على مدار السنوات الماضية، تطورت هجمات وحدة السايبر تدريجيا من مجرد هجمات تعتمد على تكتيك هجومي واسع النطاق، يستهدف مجموعة كبيرة من الأهداف برسائل بريد إلكتروني خبيثة مثلا، إلى أساليب أكثر تفصيلا وتعقيدا تستهدف أشخاصا ومجموعات محددة من جنود جيش الاحتلال بهدف جمع أكبر قدر من المعلومات المهمة.

مثلا، في بدايات عام 2017، استخدمت المجموعة تقنيات الهندسة الاجتماعية لاستهداف أفراد داخل جيش الاحتلال الإسرائيلي ببرمجيات خبيثة عبر محادثتهم من حسابات مزيفة على منصة فيسبوك. استخدمت الوحدة ملفات وهمية لفتيات إسرائيليات لإقناع جنود جيش الاحتلال بتحميل تطبيق للمراسلة الفورية، وهو ما جعل هواتفهم أدوات للتجسس.

حسابات الفتيات الجميلات على #فيسبوك تطيح بجنود الاحتلال.. #هكر_حماس pic.twitter.com/sBfkBGg0ng

— قناة الجزيرة (@AJArabic) January 13, 2017

اعترف جيش الاحتلال رسميا بهذا الاختراق، وحذَّر جنوده على موقعه الرسمي من هذه العملية (6)، ورغم الادعاء بعدم الكشف عن أسرار عسكرية مهمة، فإن حماس استخدمت هذه الاختراقات لجمع معلومات سرية عن مناورات الجيش الإسرائيلي في قطاع غزة حينها.

وفي السنوات اللاحقة، بدأت المجموعة في طرح مجموعة متنوعة من التطبيقات على الهواتف الذكية بهدف تثبيت برمجيات من نوع "حصان طروادة" لاختراق أجهزة المستهدفين عن بُعد. في عام 2018، زرعت المجموعة برمجية تجسس على الهواتف الذكية عبر تطبيق يشبه تطبيق "ريد ألرت" (Red Alert) (7)، وهو التطبيق الذي يهدف إلى إرسال إشعارات للمستوطنين الإسرائيليين في حالة سقوط الصواريخ.

وكما ذكرنا في البداية، أخفت الوحدة أيضا برمجيات التجسس داخل تطبيق قد يبدو عاديا، يشارك نتائج مباريات كأس العالم 2018، لكنه منح المقاومة إمكانية جمع معلومات مهمة وحساسة عن مجموعة مختلفة من المنشآت والمعدات العسكرية التي تخص الجيش الإسرائيلي، بما فيها معلومات مهمة عن المركبات المدرعة في هذه المنشآت، كما ذكرت صحيفة "هآرتس" الإسرائيلية حينها (8). وربما هذه المعلومات التي منحت المقاتلين معرفة واضحة بنقاط ضعف تلك المدرعات وكيفية مهاجمتها كما يظهر في مقاطع الفيديو المنتشرة حاليا التي اشتهرت بـ"المثلث الأحمر".

مستوى جديد من التعقيد كشف تحقيق أن الوحدة السيبرانية لكتائب حماس حدّثت ترسانتها من برمجيات مجهزة بمزايا تَخفٍّ متقدمة يصعب اكتشافه. (ميدجيرني)

في أبريل/نيسان عام 2022، ُيُعتقد أن المقاومة نفذت أكثر عمليات التجسس السيبرانية تعقيدا ضد الاحتلال الإسرائيلي، وهو ما ذكرته شركة "Cybereason"، وهي شركة إسرائيلية متخصصة في استخبارات التهديدات السيبرانية، التي أشارت إلى أن هذا الهجوم يوضح "مستوى جديدا من التعقيد" في عمليات حماس السيبرانية (9).

اكتشفت الشركة الإسرائيلية حينها حملة تجسس متقنة استهدفت أفرادا إسرائيليين، من بينهم مجموعة أهداف بارزة رفيعة المستوى تعمل في مؤسسات حساسة للدفاع وإنفاذ القانون وخدمات الطوارئ داخل إسرائيل. مرة أخرى، استخدم المقاومون أساليب الهندسة الاجتماعية من خلال منصة فيسبوك، لكنها كانت أساليب متطورة بهدف الحصول على أبواب خلفية داخل أجهزة الضحايا التي تعمل بنظام ويندوز، والهواتف التي تعمل بنظام أندرويد. وكان الهدف الأساسي وراء هذا الهجوم هو استخراج معلومات حساسة من داخل أجهزة الضحايا.

بمجرد تحميل تلك البرمجيات الخبيثة على الأجهزة، يمكن لجنود الوحدة السيبرانية الوصول إلى مجموعة كبيرة من المعلومات عليها، مثل مستندات الجهاز والكاميرا والميكروفون، وبهذا يمكنهم الحصول على بيانات ضخمة حول مكان وجود الهدف وتفاعلاته مع محيطه وغيرها من المعلومات الحساسة والمهمة للغاية.

كما كشف التحقيق أن الوحدة السيبرانية لحماس حدّثت ترسانتها من تلك البرمجيات بفعالية عبر استخدام أدوات جديدة، وهي برمجيات مجهزة بمزايا تَخفٍّ متقدمة يصعب اكتشافها، وأشار أيضا إلى أنها استخدمت بنية تحتية جديدة ومخصصة منفصلة تماما عن البنية التحتية المعروفة التي تملكها وتستخدمها بالفعل في العمليات السابقة.

pic.twitter.com/872GbDjBpl

— ToufanAksaCyber (@toufanaksa) November 19, 2023

استمرت عمليات وحدات المقاومة السيبرانية بعد عملية طوفان الأقصى وخلال الحرب الإسرائيلية على قطاع غزة. ففي وقت سابق من نوفمبر/ تشرين الثاني الحالي، أعلنت مجموعة هاكرز تطلق على نفسها اسم "سايبر طوفان الأقصى" (Cyber Toufan Operations) مسؤوليتها عن اختراق عدد من المواقع الإلكترونية الإسرائيلية وسرقة عدة ملفات من شركة استضافة الويب سيغنتشر آي تي (Signature-IT) التي من بين عملائها شركات تجارية مثل آيس (Ace) وشِفا أونلاين (Shefa Online) وهوم سنتر (Home Center) وأوتو ديبوت (Auto Depot) وإيكيا (IKEA).

كما ظهر فيديو على قناة تلغرام للمجموعة ذكر فيه الهاكرز أنهم تمكنوا من اختراق وزارة الدفاع الإسرائيلية وحصلوا على ملايين البيانات عن جنود الاحتياط والجيش الإسرائيلي، خاصة عن فرقة شمال غزة العسكرية الإسرائيلية. ففي مقطع فيديو بثته المجموعة السيبرانية، ظهر أحد أفرادها ملثما وبدأ في استعراض أسماء الجنود الإسرائيليين في فرقة شمال غزة ورتبهم العسكرية وأرقام الخدمة وأماكن سكناهم، وذكر أن هناك جنودا مزدوجي الجنسية من عدة دول من بينها كندا وبلجيكا وأوكرانيا حصلت المقاومة الإسلامية على معلوماتهم وصورهم.

قد لا نعرف متى بدأ التخطيط لعملية "طوفان الأقصى"، لكن ما يمكن استنتاجه أن كتائب القسام استفادت من قدراتها السيبرانية في جمع المعلومات حول جيش الاحتلال، واستخدمت تلك المعلومات المهمة في معركتها المستمرة معه إلى اليوم.

_________________________________________________

المصادر:

1) GoldenCup: New Cyber Threat Targeting World Cup Fans 2) "حسناوات حماس" أبرز عملياتها.. تعرّف على وحدة القسام السيبرانية التي استهدفت منظومات أمنية إسرائيلية 3) The cyber strategy and operations of Hamas: Green flags and green hats 4) Israel Responds To Cyber Attack With Air Strike On Cyber Attackers In World First 5) The Secrets Hamas Knew About Israel’s Military 6) Hamas Uses Fake Facebook Profiles to Target Israeli Soldiers 7) Hamas attempted to plant spyware in ‘Red Alert’ rocket siren app 8) Hamas Cyber Ops Spied on Hundreds of Israeli Soldiers Using Fake World Cup, Dating Apps 9) Operation Bearded Barbie: APT-C-23 Campaign Targeting Israeli Officials

المصدر: الجزيرة