كابوس إسرائيل.. كيف تطورت هجمات كتائب القسام السيبرانية؟

#سواليف

جملة قصيرة، كانت عنوانا لملفات تحوي بيانات تفصيلية لأكثر من ألفي جندي في القوات الجوية الإسرائيلية، سرّبتها حركة المقاومة الإسلامية (حماس) بحسب ما أوردت صحيفة هآرتس الإسرائيلية، في شهر يوليو/تموز الحالي.

هذا التسريب وصفته هآرتس بأنه “كابوس سيبراني”، إذ تم إعداد تلك الملفات المُفصَّلة عن الجنود الإسرائيليين ضمن عمليات سيبرانية لجمع المعلومات الاستخبارية، كما أشارت إليه الصحيفة.

يصل طول الملفات إلى أكثر من 200 صفحة، وهي التي كانت متاحة على منصات القرصنة منذ شهر ديسمبر/كانون الأول الماضي على الأقل، وأعيد الآن نشرها ومشاركتها مع مجموعة من الصحفيين الاستقصائيين الدوليين. تضمّن كل ملف معلومات مفصلة عن كلّ من أولئك الجنود، تشمل اسمه الكامل، وقاعدة عمله أو وحدته، ورقم هويته، ورقم هاتفه المحمول، وعنوان بريده الإلكتروني، بجانب حساباته على وسائل التواصل الاجتماعي، وأسماء أفراد عائلته، وأحيانا كلمات المرور، وأرقام لوحات السيارات، وأرقام بطاقات الائتمان، وبيانات الحسابات المصرفية.

مقالات ذات صلة فظائع مرعبة.. مطالبات بلجنة تحقيق دولية في جرائم “سديه تمان” / تفاصيل جديدة 2024/07/30

هذه الهجمة السيبرانية، وتلك الملفات التي صيغت ونُشرت بهذا التفصيل الدقيق، لم تأت من فراغ، بل جاءت نتيجة لمسار التطور في الحرب السيبرانية الذي بدأ واستمر منذ مدة طويلة. ففي مايو/أيار من عام 2021، كشفت حركة حماس في تجمع تأبيني لأحد قياداتها، واسمه جمعة الطلحة، الذي استشهد في حرب سيف القدس عام 2021، لتعلن في ذلك التجمع عن جهاز تم تأسيسه باسم سلاح السايبر ويتبع لكتائب القسام، الجناح العسكري لحركة حماس.

وكان الطلحة هو من أشرف على تأسيس وهيكلة جهاز الحرب الإلكترونية (سلاح السايبر) الذي أُطلق عام 2014، بعد معركة “العصف المأكول”، كما ذكرت حركة حماس أن الطلحة قاد بنفسه هجمات سيبرانية استهدفت منشآت حيوية وعسكرية إسرائيلية، سواء لجمع البيانات أو للإضرار بالبُنى التحتية لدولة الاحتلال.

ملفات مُفصَّلة

تلك الملفات المُفصَّلة أعدّت ونشرت بعد السابع من أكتوبر/تشرين الأول في سياق الحرب وظروفها وفي إطار الحرب المعلوماتية والنفسية الأوسع، لكن المعلومات الأصلية -التي جُمعت- أقدم من ذلك. إذ تكونت الملفات من مجموعة المعلومات التي سُرّبت أو جرى استخراجها من عملية أو عمليات اختراق سيبراني سابقة، يُرجَّح أنها أصابت خوادم موقع إلكتروني لا يتبع الجيش الإسرائيلي، مع معلومات أخرى جُمعت من شبكات التواصل الاجتماعي وقواعد البيانات العامة ومن تسريبات سابقة.

ومع الترجيحات التي تشير إلى أن فصائل المقاومة وعلى رأسها حركة حماس هي التي تقف وراء تلك الهجمات دون نفي رسمي أو تأكيد من الحركة، فإن جمع الملفات والبيانات قد تم عبر برمجية آلية تُعرف باسم “بروفايلر”، وهي تتيح جمع ومقارنة ودمج المعلومات الاستخبارية من المصادر المفتوحة لإعداد ملف “بروفايل” مُفصّل عن الأهداف الاستخبارية. وبهذا أمكنهم تجميع معلومات شخصية دقيقة عن آلاف الأفراد الذين يخدمون أو خدموا في شتَّى قواعد القوات الجوية الإسرائيلية.

أما النتيجة، تشكيل قواعد بيانات بإمكانها رسم صورة كاملة للخصم إذا جُمعت معًا بصورة صحيحة، وبتوليفة مناسبة، وفقًا لدانا تورين رئيسة إدارة العمليات في الهيئة الإسرائيلية للأمن السيبراني.

يُصنِّف الخبراء هذه العملية على أنها “اختراق ثم تسريب” (hack and leak)، وهي عملية من خطوتين لاختراق الضحية المحتملة، ثم نشر البيانات المُستخلَصة بهدف التأثير في معنويات ونفسية العدو.

تكمن خطورة مثل هذه التسريبات في تسهيلها لعمليات اختراق قادمة لهؤلاء الجنود، فمثلا تتيح هذه الملفات إمكانية تنفيذ هجمات احتيال موجهة (spear-phishing) نحو جنود محددين، وفقًا لأهمية الدور الذي يضطلع به الجندي في الجيش الإسرائيلي، وهو ما ورد في بعض هذه الملفات، وهنا يسهل استهداف ضباط من رتب أعلى تحديدًا. وفي مثال واحد على الأقل، أكد الموقع الإلكتروني للقوات الجوية الإسرائيلية هوية أحد الضباط الذين أعدت عنهم حماس ملفات مُفصَّلة، وربط بينه وبين العمليات العدوانية على قطاع غزة. الأمر الذي قد يجعله هدفًا لعملية رصد استخباري، أو قد يعرضه للملاحقة القانونية في دول أخرى، كما أشارت إليه صحيفة هآرتس.

كذلك يتيح الملف التعريفي الشامل لكل جندي إمكانية تنفيذ هجمات “الهندسة الاجتماعية” (social engineering)، بمعنى مطابقة كل هدف بما يناسبه من محتوى مخصص؛ مما يزيد احتمال نجاح الهجمة المستهدفة. تُعرِّف جامعة كارنيغي ميلون الهندسة الاجتماعية بأنها: “تكتيك يُستخدم للتلاعب بالضحية أو التأثير فيها أو خداعها بغرض التحكم في نظام تشغيل الحاسب أو سرقة المعلومات الشخصية والمالية. يشمل التكتيك استخدام التلاعب النفسي لخداع المستخدم ليرتكب أخطاء أمنية أو يكشف عن معلوماته الحساسة”. ويمكننا اعتبارها مجموعة من الإستراتيجيات والخطط المرتبطة غالبا بإدراك السلوك البشري وكيفية عمل العالم الرقمي.

فمثلا، إن عُرف عن جنديّ محدد أنه يحب كرة القدم، فيمكن أن تُرسَل إليه رسالة ظاهرها بريء عن أحد تطبيقات متابعة نتائج المباريات، لكنّ بها رابطًا يحمل برمجية خبيثة لتحميل برنامج تجسس على الجهاز.
عمليات تجسس سيبراني

تُركَّز فصائل المقاومة الفلسطينية على جمع المعلومات الاستخبارية عبر عمليات التجسس السيبراني على دولة الاحتلال منذ مدة. وما نعلمه وفق ما يتوارد من معلومات، هو أن فصائل المقاومة أجرت في السابق عدّة تطبيقات بهدف جمع المعلومات أو حتى اختراق الجنود الإسرائيليين، لانتزاع معلومات منهم، أو لجمع معلومات استخبارية من أجهزتهم المحمولة مباشرة.

مثلا في عام 2018، أخفت الوحدة السيبرانية لحماس برمجيات التجسس داخل تطبيق قد يبدو عاديا، يشارك نتائج مباريات كأس العالم 2018، لكنه منح المقاومة إمكانية جمع معلومات مهمة وحساسة عن مجموعة مختلفة من المنشآت والمعدات العسكرية التابعة للجيش الإسرائيلي، بما فيها معلومات مهمة عن المركبات المدرعة في هذه المنشآت، كما ذكرت صحيفة هآرتس الإسرائيلية وقتها.

وفي أبريل/نيسان عام 2022، يُعتقد أن المقاومة نفذت أكثر عمليات التجسس السيبرانية تعقيدا ضد الاحتلال الإسرائيلي، وهو ما ذكرته شركة سايبريسون (Cybereason)، وهي شركة إسرائيلية متخصصة في استخبارات التهديدات السيبرانية، التي أشارت إلى أن هذا الهجوم يوضح “مستوى جديدا من التعقيد” في عمليات حماس السيبرانية.

اكتشفت الشركة الإسرائيلية حينها حملة تجسس متقنة استهدفت أفرادا إسرائيليين، من بينهم مجموعة أهداف بارزة رفيعة المستوى تعمل في مؤسسات حساسة للدفاع وإنفاذ القانون وخدمات الطوارئ داخل إسرائيل. مرة أخرى، استخدم المقاومون أساليب الهندسة الاجتماعية من خلال منصة فيسبوك، لكنها كانت تحمل أساليب متطورة بهدف الحصول على أبواب خلفية داخل أجهزة الضحايا التي تعمل بنظام ويندوز، والهواتف التي تعمل بنظام أندرويد. وكان الهدف الأساسي وراء هذا الهجوم هو استخراج معلومات حساسة من داخل أجهزة الضحايا.

بمجرد تحميل تلك البرمجيات الخبيثة على الأجهزة، يمكن لجنود الوحدة السيبرانية الوصول إلى مجموعة كبيرة من المعلومات عليها، مثل مستندات الجهاز والكاميرا والميكروفون، وبهذا يمكنهم الحصول على بيانات ضخمة حول مكان وجود الهدف وتفاعلاته مع محيطه وغيرها من المعلومات الحساسة والمهمة للغاية.

كما كشف التحقيق أن الوحدة السيبرانية لحماس حدّثت ترسانتها من تلك البرمجيات بفعالية عبر استخدام أدوات جديدة، وهي برمجيات مجهزة بمزايا تَخفٍّ متقدمة يصعب اكتشافها، وأشار أيضا إلى أنها استخدمت بنية تحتية جديدة ومخصصة منفصلة تماما عن البنية التحتية المعروفة التي تملكها وتستخدمها بالفعل في العمليات السابقة.

أما ما يتصل بما كان يوم السابع من أكتوبر وما تلاه، فقد أشار تقرير في موقع “ذي كونفرسيشن” إلى حملة تجسس سيبرانية نفذتها إحدى الوحدات التابعة لحماس ضد إسرائيل، بحثًا عن معلومات سرية وحساسة حول المنشآت العسكرية الإسرائيلية، وكانت المعلومات التي جمعتها مفيدة وتم توظيفها في عملية “طوفان الأقصى”، إذ أشار أكثر من تقرير مختص بمعرفة مقاتلي المقاومة لتفاصيل المناطق والمنشآت التي توغلوا إليها وسيطروا عليها في عملية عسكرية وصفت بالمعقدّة.

كذلك أشار تقرير لصحيفة “نيويورك تايمز” الأميركية إلى أن حماس امتلكت “معلومات دقيقة عن أسرار الجيش الإسرائيلي بصورة تثير الدهشة” عند جمعها للمعلومات الاستخباراتية، ويبدو أن مجهودات البحث والتخطيط التفصيلي، الذي شاركت فيه الوحدة السيبرانية، ساهم بمعرفة أماكن خوادم الاتصالات في عدة قواعد عسكرية بدقة، وهو ما ساعد الجنود على الأرض في استهداف تلك الخوادم وإيقافها عن العمل أثناء عملية “طوفان الأقصى”. كما أشار التقرير إلى أن كتائب القسام امتلكت “فهما ومعرفة متطورة، على نحو مفاجئ، لكيفية إدارة الجيش الإسرائيلي، وأين تتمركز وحدات بعينها، والوقت الذي يستغرقه وصول التعزيزات”.

واستمرت عمليات وحدات المقاومة السيبرانية بعد عملية طوفان الأقصى وخلال الحرب الإسرائيلية على قطاع غزة. وبجانب جمع المعلومات الاستخبارية، نفذت المقاومة عمليات سيبرانية هجومية متنوعة، ومنها الهجوم ببرمجية من نوع “وايبر” (Wiper) التي تصيب الحاسوب وتمسح بياناته بالكامل، وهي برمجية تهدف فقط إلى تدمير كل شيء في طريقها.

بعد أحداث السابع من أكتوبر، اخترقت مجموعة سيبرانية تابعة لحركة حماس شركات إسرائيلية واستخدمت هذه البرمجية لتدمير بنية تلك الشركات التحتية، ووضعت المجموعة اسم رئيس الوزراء الإسرائيلي كوصف لهذه البرمجية الخبيثة وأطلقت عليها “بي بي وايبر” (BiBi Wiper)، كما أشارت إحدى شركات الأمن السيبراني الإسرائيلية.

وفي وقت سابق من نوفمبر/تشرين الثاني العام الماضي، أعلنت مجموعة هاكرز تطلق على نفسها اسم “سايبر طوفان الأقصى” (Cyber Toufan Operations) مسؤوليتها عن اختراق عدد من المواقع الإلكترونية الإسرائيلية وسرقة عدة ملفات من شركة استضافة الويب “سيغنتشر آي تي” (Signature-IT) التي من بين عملائها شركات تجارية مثل آيس (Ace) وشِفا أونلاين (Shefa Online) وهوم سنتر (Home Center) وأوتو ديبوت (Auto Depot) وإيكيا (IKEA).

كما ظهر فيديو على قناة تلغرام للمجموعة ذكر فيه الهاكرز أنهم تمكنوا من اختراق وزارة الدفاع الإسرائيلية وحصلوا على ملايين البيانات عن جنود الاحتياط والجيش الإسرائيلي، خاصة عن فرقة شمال غزة العسكرية الإسرائيلية.
هاكر القبعة الخضراء

في تقريرها الصادر في نوفمبر/تشرين الثاني من عام 2022، سلطت مؤسسة المجلس الأطلسي، وهي مؤسسة بحثية أميركية في مجال الشؤون والعلاقات الدولية، الضوء على تطور إستراتيجية حماس السيبرانية، وكيف أعادت تنظيم عملياتها الإلكترونية واستفادت من العمليات السيبرانية الهجومية بشكل جديد لتخترق دفاعات جيش الاحتلال، وتحصد أكبر قدر من المعلومات الاستخبارية المهمة.

أطلق التقرير على الوحدة السيبرانية لحماس “هاكر القبعة الخضراء”، وهو مصطلح معروف في أوساط الأمن السيبراني يصف شخصا متخصصا حديثا نسبيا في عالم الاختراق الإلكتروني، وقد يفتقد هذا الشخص إلى الخبرة، ولكنه ملتزم التزاما تاما بإحداث وصنع تأثير في المجال، ويحرص على التعلم المستمر من كل ما يحدث في أثناء رحلته، وهذا تحديدا ما أظهرته المقاومة على مدار السنوات الماضية، خاصة في جانب التجسس وجمع المعلومات الاستخبارية.

المثير للإعجاب هو مدى تطور قدرات الوحدة السيبرانية، رغم عدم امتلاكها أدوات متطورة قد تملكها مجموعات اختراق في أماكن أخرى، لدرجة أن بعض خبراء الأمن السيبراني يُفاجأ بامتلاك المقاومة قدرات سيبرانية أصلًا، بالنظر إلى الحصار الخانق المفروض على قطاع غزة، الذي يعاني أصلا من انقطاع في الكهرباء بصورة مزمنة، إضافة إلى سيطرة دولة الاحتلال على ترددات الاتصالات والبنية التحتية في القطاع.
النضوج والتطور

اعتمدت العناصر السيبرانية التابعة لحماس عادةً على أساليب تكتيكية بسيطة وفعالة في نفس الوقت لشن هجماتها. إذ يستخدمون عمليات “الاحتيال الإلكتروني” و”البرمجيات الخبيثة”، واستغلال “الأبواب الخلفية” الأساسية، وأدوات الدخول عن بُعد المتاحة والمتوفرة على نحو شائع، وأدوات حجب البرمجيات الخبيثة التي يمكن شراؤها من منتديات الإنترنت السرية كما أشار لذلك تقرير نشرته شركة غوغل، في فبراير/شباط الماضي، يستند إلى تحليلات من “مجموعة تحليل التهديدات” التابعة للشركة بالتعاون مع فرق أخرى للأمن السيبراني.

وفي بدايات عام 2017، استخدمت الوحدة السيبرانية لحماس تقنيات الهندسة الاجتماعية لاستهداف أفراد داخل جيش الاحتلال الإسرائيلي ببرمجيات خبيثة عبر محادثتهم من حسابات مزيفة على منصة فيسبوك. استخدمت الوحدة ملفات وهمية لفتيات إسرائيليات لإقناع جنود جيش الاحتلال بتحميل تطبيق للمراسلة الفورية، وهو ما جعل هواتفهم أدوات للتجسس.

كما تُستخدم برمجيات التجسس على الهواتف المحمولة، ومنها برمجيات تجسس مخصصة ومفتوحة المصدر على نظام أندرويد تُرسَل إلى الضحية عبر عمليات الاحتيال الإلكتروني، ولكن ما لاحظه فريق تحليل التهديدات في غوغل أنه مؤخرًا بدأت جهة واحدة على الأقل -تابعة لحماس- تُظهر مؤشرات على امتلاكها إمكانات متطورة أكثر، يطلق عليها فريق غوغل اسم مجموعة “بلاك أتوم” (BLACKATOM)، تضمنت تلك الإمكانات تقنيات الهندسة الاجتماعية المعقدة والمصممة خصيصًا لأهداف عالية القيمة، مثل مهندسي البرمجيات، بجانب تطوير البرمجيات الخبيثة المخصصة لأنظمة التشغيل المختلفة ويندوز وماك ولينكس.

وفي شهر سبتمبر/أيلول عام 2023، استهدفت مجموعة “بلاك أتوم” مهندسي برمجيات إسرائيليين عبر حيل متقنة في الهندسة الاجتماعية، أدت في محصلتها إلى تثبيت برمجيات خبيثة وسرقة ملفات الكوكيز من الحواسيب.

وقد تظاهر منفذو الهجوم بصفة موظفين في شركات حقيقية، وتواصلوا عبر منصة “لينكدإن” لدعوة المستهدَفين إلى التقديم لفرص للعمل الحر في مجال تطوير البرمجيات. شملت قائمة الأهداف مهندسي برمجيات في الجيش الإسرائيلي وفي صناعة الطيران والدفاع في دولة الاحتلال.

بعد التواصل المبدئي، يرسل منفذ الهجوم إلى المستهدَفين ملف استدراج يتضمن تعليمات للمشاركة في اختبار لتقييم مهارات المتقدم في البرمجة. وجهت التعليمات في الملف الأفراد المستهدفين إلى تحميل مشروع ببرنامج “فيجوال ستوديو” من صفحة على منصة “جيت هاب” (Github)، أو صفحة على خدمة “غوغل درايف”، يتحكم فيها المهاجم. المطلوب من المهندس هو إضافة بعض المميزات البرمجية إلى هذا المشروع لإثبات مهاراته وقدراته في البرمجة، ثم إرسال الملف مرة أخرى لتقييمه.

كان المشروع يبدو تطبيقًا عاديًّا لإدارة عمليات الموارد البشرية، لكنه تضمّن خاصية لتنزيل برمجية خبيثة مضغوطة، ثم استخراجها وتنفيذ عمل البرمجية داخل نظام تشغيل جهاز الشخص المستهدف.

أشار فريق غوغل لتحليل التهديدات إلى أن هذه الهجمة السيبرانية أظهرت “استهدافًا تفصيليًّا دقيقًا أكثر مما ظهر سابقًا من المجموعات السيبرانية التابعة لحركة حماس”.

في النهاية، استنتج الفريق أن مثل تلك التطورات ظهرت لدى مجموعات سيبرانية أخرى في مراحل نضجها وتطورها، لذا يُرجح أننا نشهد الآن مراحل نضج وتطور المجموعات السيبرانية التابعة لحركة حماس. ليؤكد فريق غوغل أنه “في الوقت الذي لا يتضح فيه مستقبل العمليات السيبرانية لحماس، فإن المؤشرات الأخيرة على تطور قدراتها السيبرانية جديرة بالاهتمام وتستحق الرصد مستقبلًا”.

المصدر: سواليف