اسقاط شبكة تجسس للCIA في صنعاء .. إقرأ عن التجربة الأمنية في اليمن!
تاريخ النشر: 12th, June 2024 GMT
بالاضافة إلى عدد لا بأس به من الشخصيات السياسية والاكاديمية وعلماء دين، فضلا عن التفجيرات التي تبنتها القاعدة وضحاياها بالعشرات الغالبية من الضحايا مدنيين.
هذه النسبة كانت ولا تزال غير مسبوقة بالمقارنة بالأعوام التي سبقت. كصحفيين وباحثين اعتبرنا ذلك كجزء من تبعات انهيار الدولة في العام 2011 (ضمن الربيع العربي) وانقسام المؤسسة العسكرية والأمنية وصراع داخلي بين الفرقاء ،
والأخطر أن تنظيم القاعدة خرج إلى الواجهة وسيطر عسكريا على مناطق واسعة وسط وجنوب شرق اليمن.
لقد بدا لنا أن الخروج من هذه النفق يرتبط بتعافي الدولة ومن ثم تحولها إلى دولة متمكنة أمنيا وهو حلم بالغ التعقيد حين ذاك، نظرا للكثير من الأسباب يطول سردها وأود تجاوز ذلك إلى ما يحدث لاحقا، عندما سيطرت الحركة الثورية التي قادها أنصارالله على مركز وعاصمة الدولة صنعاء في سبتمبر 2014 بعد أشهر محدودة أي مارس 2015 أعلن عن تدخل عسكرية تقوده الرياض بدعم من واشنطن لاسقاط التغيير.
هل يمكن تخيل، كيف يمكن أن يكون الوضع الأمني في هذه الحالة؟
كان على الحركة الثورية لزاما ان تتغلب بالضرورة على هذا التحدي المعقد لأن مزيد من الانهيار الأمني وسط الحرب سيؤدي إلى سقوط الحركة الثورية بالفوضى (كان ذلك أحد ابرز أهداف التحالف وجزء من استراتيجية الأمنية والعسكرية) لكن هل بإمكان الحركة الثورية ومكوناتها التي يغلب عليها الطابع القبلي والديني وبعض القوى السياسية وسط هذه الحلقة الواسعة من الصراع أن تتمكن من ذلك!
صحيح أنه كان هناك انضمامات أمنية وعسكرية من الدولة العميقة ، انما لا يمكن البناء والاعتماد عليها وخصوصا في الجانب الأمني.
في الوقت نفسه ليس من هناك متسع من الوقت، فقط تركب الفوضى كل شيء في ليلة ونهارها.
هل يمكن التأمل إلى هذه المقاربة: هشاشة وانهيار أمني سابق، ثورة تغيير وتفكك للاجهزة الأمنية، تدخل عسكري خارجي، حركة ثورية خبرتها شبه محدودة في تكوين شبكة أمان لدولة تتعرض لحرب.
وضعت هذه المعادلة للنقاش مع زملاء كمحاكاة لما يكن ان يجري في الواقع ، فلم يكن هناك سوى الاتكال على جهاز الأمن الوقائي للحركة ، رغم كون العملية تختلف كليا عن إدارة أمن دولة في ظروف حرب وحصار.
اضيف إلى ذلك خبرات جديدة ومتطوعون ضباط قدماء يمكن الوثوق بهم ، الاتكال على الله، لقد حدث ذلك بالفعل. السقف المطلوب، حماية الدولة من الانهيار، حماية المؤسسات، ردع العصابات في حال تكونت، حراسة المواطنين.
من المنظور الأمني والوطني والقومي، هذا السقف جزء محدود من مهام وزارة الداخلية، وبالتالي سيبقى الباب مفتوح لتشكيل خلايا تجسس وخلايا تخريب وخلايا اغتيالات وتصفيات وخلايا رصد ومعلومات ، فضلا عن الاختراقات اللامحدودة ، وبالفعل هذا أيضا ما حدث.
ان أشياء كثيرة بدا تخطيها أمرا مستحيلا في المعركة الأمنية والاستخباراتية، وأحيانا كثيرة بدا النظر إلى المقاربة بين ما تملكة الحركة الثورية من امكانية وخبرة وتأريخ أمني واستخباراتي وما يملكه خصومها مسئلة مخيفة.
على سبيل المثال على الحركة مجابهة، الجهاز الاستخباري للدولة العميقة المنحاز للتحالف بما يمكله من معلومات ونفوذ وسواتر، عليها أيضا مواجهة أجهزة الاستخبارات التابعة لدول التحالف، السعودية، الامارات، مصر، وقبل ذلك والاهم CIA و FBI، وكالة المخابرات المركزية الأمريكية بما له من تاريخ ونفوذ وشبكات في اليمن ومحيطها.
في الاشهر الاولى من الحرب وبينما تحتدم المواجهات العسكرية في عدد لا محدود من الجبهات بين قوات الحركة الثورية ومجموعات التحالف ، وبينما تتعرض العاصمة صنعاء ومعظم المحافظات للقصف الجوي شبه اليومي ، كان الأمن يتجه إلى الاستقرار، انحسرت الاغتيالات، المسيرات التي تخرج بصورة مستمرة لدعم الثورة والتنديد بالحرب تمضي بسلام دون تفجيرات القاعدة ، هذا ايقاع حياتي أمني معاكس لطبيعة ما يمكن أن يحدث في هذا الظرف ! هل توقف خصوم الثورة عن استخدام الحرب الأمنية !؟
ثمة سقطة وقع فيها أحد ضباط المخابرات السعودية الذين كانوا يحللون عسكريا وسياسيا وأمنيا للفضائيات حول الحرب على اليمن، عندما سأل السؤال نفسه الذي وضعته قبل السطور الأخيرة، أين الحرب الأمنية، لماذا لا نشهد تفجيرات في العاصمة صنعاء .. كان هذه اسئلة استغرابية على الهواء وضعها ضابط المخابرات السعودي.
الجواب نعم ، كانت أيضا الحرب الامنية مستعرة ولم تتوقف للحظة لكن جهاز الامن ثم الأمن المخابرات الذي كونته الحركة الثورية من الصفر في ظروف معقدة وزمن قياسي يتغلب في كل مرة.
لاحقا وخلال الزمن الممتد من 2015 وحتى الآن منتصف 2024 نحن نقترب من العقد، توالت الاخبار المتعلقة باسقاط جهاز الأمن والمخابرات في صنعاء خلايا تجسس تعمل لصالح أطراف خارجية ، ومؤخرا الكشف عن إسقاط شبكة تجسس تعمل مع CIA الامريكي والموساد الاسرائيلي من ثمانينات القرن الماضي.
لم أكتب عن هذا الحدث الأهم لأنني أعتقد أن الأهم من ذلك أن نجاح الحركة الثورية اليمنية في الجانب الأمني وتجاوز كل تلك التعقيدات في فترة زمنية قياسية ، واحدة من أنجح التجارب .
*كاتب صحفي يمني
المصدر: ٢٦ سبتمبر نت
إقرأ أيضاً:
بهذه الحيلة .. مجموعة قرصنة كورية شمالية تخترق نظام npm وتنشر برمجيات تجسس جديدة
كشفت تقارير أمنية حديثة أن مجموعة التهديدات المستمرة المتقدمة (APT) المعروفة بوقوفها خلف حملة "المقابلة المعدية" (Contagious Interview)، توسع من نشاطها داخل نظام مكتبات npm مفتوح المصدر، عبر نشر حزم خبيثة تستهدف مطوري البرمجيات وتحمل برمجية التجسس BeaverTail وأداة جديدة لتحميل برامج الوصول عن بُعد (RAT loader).
ووفقًا لتقرير صادر عن الباحث الأمني كيريل بويتشينكو من شركة Socket، فإن العينات الجديدة تستخدم تشفيرًا بصيغة السلاسل السداسية (hexadecimal string encoding) بهدف التهرب من أدوات الفحص الآلي والمراجعات اليدوية، في تكتيك يبرز تطور أساليب التمويه لدى القراصنة.
تهدف الحملة إلى التسلل إلى أنظمة المطورين من خلال التنكر على هيئة فرص عمل أو مقابلات توظيف، ثم سرقة البيانات الحساسة، والاستيلاء على الأصول المالية، والحفاظ على وجود طويل الأمد داخل الأنظمة المصابة.
وقد تبين أن إحدى الحزم الخبيثة المسماة dev-debugger-vite تستخدم عنوانًا للتحكم والسيطرة (C2) سبق وتم رصده من قبل شركة SecurityScorecard ضمن حملة أطلق عليها اسم Phantom Circuit نسبت إلى مجموعة لازاروس، وهي مجموعة قرصنة مدعومة من كوريا الشمالية في ديسمبر 2024.
الحزم الخبيثة المكتشفة حتى الآنفيما تم تحميل الحزم الخبيثة أكثر من 5,600 مرة قبل أن تزال من منصة npm.
من الملاحظ أن بعض هذه الحزم مثل icloud-cod، تستضيف شيفرتها على منصّة Bitbucket بدلًا من GitHub، وهي خطوة غير معتادة، وتشير إلى محاولة القراصنة تنويع مصادر التحميل.
كما أن الحزمة الأخيرة تحتوي على مجلد يُدعى eiwork_hire، في تأكيد لاستراتيجية استخدام موضوع التوظيف كطُعم للاختراق.
برمجيات RAT جديدة ومنهجية متطورةرغم تعدد التغييرات في الشيفرة، إلا أن الوظيفة الأساسية للبرمجيات داخل هذه الحزم تتمثل في تحميل برمجيات التحكم عن بعد (RAT) من خوادم خارجية.
وقد رصد استخدام BeaverTail أيضًا في تحميل باب خلفي جديد غير موثق سابقًا يعرف باسم Tropidoor، وذلك ضمن حملة تصيّد تستهدف المطورين في كوريا الجنوبية.
وبحسب شركة AhnLab الكورية الجنوبية، فإن هذه الهجمات تتم من خلال رسائل بريد إلكتروني احتيالية تدعي الانتماء لشركات توظيف مثل AutoSquare، وتطلب من المستلم تحميل مشروع من Bitbucket ومراجعته، ليكتشف لاحقًا أن المشروع يحتوي على حزمة npm تضم ملف tailwind.config.js (الذي يحمل BeaverTail) وملف DLL خبيث يُسمى car.dll.
يستخدم Tropidoor كأداة خبيثة تعمل في ذاكرة النظام، وتتواصل مع خوادم خارجية لتنفيذ تعليمات خبيثة، منها سرقة الملفات، جمع معلومات عن الأقراص والمجلدات، تشغيل أو إنهاء العمليات، بالاضافة إلى حذف أو مسح الملفات باستخدام بيانات فارغة أو عشوائية
ومن اللافت أن Tropidoor يستخدم أوامر نظام ويندوز مباشرة، مثل: schtasks, ping, reg، وهي سمة رُصدت سابقًا في برمجيات أخرى لمجموعة لازاروس، مثل LightlessCan وBLINDINGCAN.
تحذيرات أمنيةقالت شركة AhnLab:"ينبغي للمستخدمين توخّي الحذر ليس فقط من مرفقات البريد الإلكتروني، بل أيضًا من الملفات التنفيذية القادمة من مصادر غير موثوقة".
وفي ختام التقرير، أكد الباحث بويتشينكو أن مجموعة "المقابلة المعدية" تُظهر إصرارًا مستمرًا على تطوير وتوسيع أدواتها، عبر استخدام أسماء مستخدمين جديدة، ونشر البرمجيات الخبيثة في GitHub وBitbucket، وإعادة توظيف أدوات مثل BeaverTail وInvisibleFerret إلى جانب نسخ محسّنة من برمجيات RAT.