وحدة الأمن السيبراني

هجمات الفدية: استهداف أكبر مشغّل لخطوط النفط في الولايات المتحدة

من شأن انقطاع تدفقات النفط على خلفية أي هجومٍ سيبرانيٍ أن يُؤثر بالسلب في قطاع الطاقة، ويُكبد المنتجين والشركات خسائر ماديةً فادحةً، ويُشوه سمعة النفط بسبب تراجع الإمدادات، ويرفع أسعار المشتقات النفطية. وفي هذا الإطار، تبرز أهمية الهجوم السيبراني الذي تعرضت له الولايات المتحدة في 7 مايو 2021، وهو الهجوم الذي استهدف أحد أكبر خطوط أنابيب البنزين والسولار التي تَمد الساحل الشرقي بالوقود من خلال شبكةٍ يبلغ طولها 5500 ميل (أي ما يقرب من 8900 كيلومتر)، مما أسفر عن إغلاقه وتوقفه عن العمل، بعد أن تأثرت أنظمة تكنولوجيا المعلومات التابعة لشركة “كولونيل بايبلاين” (Colonial Pipeline) المالكة له سلبًا. خلفيات وملابسات…

د. رغدة البهي
رئيس وحدة الأمن السيبراني

من شأن انقطاع تدفقات النفط على خلفية أي هجومٍ سيبرانيٍ أن يُؤثر بالسلب في قطاع الطاقة، ويُكبد المنتجين والشركات خسائر ماديةً فادحةً، ويُشوه سمعة النفط بسبب تراجع الإمدادات، ويرفع أسعار المشتقات النفطية. وفي هذا الإطار، تبرز أهمية الهجوم السيبراني الذي تعرضت له الولايات المتحدة في 7 مايو 2021، وهو الهجوم الذي استهدف أحد أكبر خطوط أنابيب البنزين والسولار التي تَمد الساحل الشرقي بالوقود من خلال شبكةٍ يبلغ طولها 5500 ميل (أي ما يقرب من 8900 كيلومتر)، مما أسفر عن إغلاقه وتوقفه عن العمل، بعد أن تأثرت أنظمة تكنولوجيا المعلومات التابعة لشركة “كولونيل بايبلاين” (Colonial Pipeline) المالكة له سلبًا.

خلفيات وملابسات

تبرز أهمية هذا الهجوم لقدرته على التأثير في عقود النفط الآجلة، ناهيك بتعطيل شريانٍ أساسيٍ لإمدادات مكررات النفط؛ حيث يُمكنه نقل أكثر من 100 مليون جالون يوميًا (أو ما يقرب من 45% من الوقود المستهلك على الساحل الشرقي) و2.5 مليون برميل يوميًا من البترول المكرر والمنتجات النفطية من ساحل الخليج إلى ليندن في نيو جيرسي، كما ينقل أيضًا البنزين والديزل ووقود الطائرات لموزعي الوقود والمطارات من هيوستن إلى نيويورك.

وعلى إثر ذلك، وظّفت الشركة أنظمةً تقنيةً غير متصلةٍ بالإنترنت لاحتواء الهجوم، ما أوقف عملياتها على خطوطها كافًّة. كما استعانت شركة “كولونيل بايبلاين” بشركة “فير أي” (FireEye) الرائدة في مجال الأمن السيبراني، وقد سبق لها أن استجابت لعدة هجماتٍ سيبرانيةٍ سابقةٍ. كما أبلغت الشركة جهات إنفاذ القانون والوكالات الفيدرالية الأخرى. وبالتوازي لذلك، دفع الهجوم السيبراني المتعاملين وشركات الشحن للبحث عن بدائل لنقل البنزين، منها البحث عن ناقلاتٍ لتخزينه مؤقتًا تحسبًا لاستمرار وقف الإمدادات. 

وعلى خلفية الهجوم أيضًا، راقبت وزارة الطاقة الأمريكية التداعيات المرتقبة على إمدادات الطاقة، كما نسقت مع مختلف الشركاء الجهود اللازمة لمجابهة الهجوم، كما اتجهت أيضًا إلى العمل من كثب مع مجالس التنسيق في قطاع الطاقة ومراكز التحليل لتبادل المعلومات ومراقبة التداعيات المحتملة. وفي مؤتمرٍ صحفيٍ بالبيت الأبيض في 10 مايو 2021، أكدت نائبة مستشار الأمن القومي للتكنولوجيا الإلكترونية والناشئة “آن نويبرغر” أهمية الاستجابة الحكومية الشاملة لهذا الهجوم، ولفتت إلى ضرورة التركيز على الأمن السيبراني في مختلف المنشآت العامة والخاصة على حدٍّ سواء.

طبيعة الهجوم

وفقًا لبعض التحليلات، تَمكنت “دارك سايد” من الولوج إلى شبكة “كولونيال بايبلاين” في 9 مايو 2021، كما تمكنت أيضًا من الاستيلاء على 100 جيجابايت من بيانات الشركة، مطالبةً إيّاها إما بدفع فديةٍ وإما تسريب بياناتها على الإنترنت. ومن الجدير بالذكر أن بعض التحليلات تصف “دارك سايد” بالعصابة الإجرامية، في حين يصفها البعض الآخر بجماعة قرصنة. وبشكلٍ عامٍ، في ذلك النوع من هجمات الفدية، عادةً ما يتلقى الضحايا حزمة معلوماتٍ تُفيدهم بتشفير أجهزتهم وخوادمهم. كما يتلقون أيضًا رابطًا يُسمى “صفحة تسريب شخصية”، حيث تُنشر البيانات بالفعل إذا لم تدفع الضحية المبلغ المطلوب قبل انقضاء المهلة المحددة. كما تُهدد الضحية بحذف بياناتها الأصلية من شبكتها.

طوّرت “دارك سايد” برمجياتها المستخدمة في تشفير البيانات، وقد تمكنت بالفعل من إصدار برامج جديدةٍ في شهر مارس الماضي، لتتمكن من تشفير البيانات على نحوٍ أسرعٍ. وعلى إثره، دعت الصحفيين إلى إجراء لقاءاتٍ حيّةٍ مع عددٍ من عناصرها، وذلك في أعقاب بيانٍ صحفيٍ لها. كما تملك “دارك سايد” موقعًا على الشبكة المظلمة، تُشير فيه إلى الشركات التي نجحت في اختراقها من ناحيةٍ، والبيانات التي سرقتها من ناحيةٍ ثانيةٍ، والمنظمات التي لن تُهاجمها من ناحيةٍ ثالثةٍ.

إذ تستعين “دارك سايد” بما يُمكن تسميته “وسطاء الوصول”، وهم مجموعةٌ من المتسللين ممن يُعهد إليهم بمهمة جمع أكبر كمٍ ممكنٍ من معلومات تسجيل الدخول للحسابات التي يُمكن العثور عليها باستخدام برامج سطح المكتب للعمل عن بعد مثل “تيم فيوير” و”مايكروسوفت ريموت ديسكتوب”. وعوضًا عن تحذير المستخدمين أو مزودي الخدمة، تُباع بياناتهم وكلمات مرورهم لجماعات القرصنة والمجرمين السيبرانيين لاستخدامها في تنفيذ جرائمهم.

وفي هذا السياق، اعترفت “دارك سايد” -في بيانٍ عامٍ لها- بالهجوم السيبراني على خط أنابيب الوقود الأمريكي، وقالت إن هدفها هو كسب المال وليس خلق مشاكل للمجتمع، ووصفت نفسها -على موقعها الإلكتروني على الشبكة المظلمة- بأنها “غير سياسية”؛ فهي لا تشارك في الجغرافيا السياسية، وليست بحاجة للارتباط بحكومةٍ محددةٍ. وأكدت عدم علمها باستهداف شركة “كولونيال بايبلاين” بواسطة أحد الشركاء، قائلةً: “من اليوم، نُقدم الاعتدال، ونتحقق من كلّ شركةٍ يُريد شركاؤنا تشفيرها لتجنب العواقب الاجتماعية في المستقبل”.

وتبعًا لمكتب التحقيقات الفيدرالي، تُعد “دارك سايد” عصابة فدية جديدة نسبيًا، تتخذ من روسيا مقرًا لها، وتتجنب مهاجمة الشركات في دول الكومنولث المستقلة، وتمتاز بغزارة انتاجها، ولا تُهاجم عادةً البنية التحتية الوطنية الحيوية، وتدير برنامجًا يستخدمه الشركاء لمهاجمة أهدافهم مقابل نسبةٍ مئويةٍ من كلّ فديةٍ ناجحةٍ. وقد أعلنت سلفًا أنها ستبدأ في التبرع ببعض الأموال للجمعيات الخيرية. وعليه، فإن عمل “دارك سايد” هو أقرب ما يكون إلى الأعمال التجارية التي تطور البرامج المستخدمة لتشفير البيانات وتسرقها مقابل مكاسبٍ ماديةٍ. ولا شك أن وباء كورونا من ناحيةٍ، وتزايد الولوج إلى مختلف أنظمة التحكم عن بعدٍ من ناحيةٍ ثانيةٍ، ساهما في حدوث الهجوم، ومن شأنهما أن يسفرا أيضًا عن وقوع ضحايا جددٍ كل يومٍ.

تداعيات واسعة

أسفر الهجوم السيبراني عن جملةٍ من التداعيات التي يُمكن الوقوف عليها تفصيلًا فيما يلي:

1- فرض الطوارئ: تسبب الهجوم السيبراني في إعلان حالة الطوارئ من قبل الحكومة الأمريكية كي تتمكن من نقل الوقود عن طريق البر. ففي 10 مايو 2021، أعلن البيت الأبيض فرض حالة الطوارئ في 17 ولاية أمريكية. كما أكد العمل من كثب مع شركة “كولونيال بايبلاين” لمساعدتها على التعافي من الهجوم، وذلك في إطار سعي الحكومة الأمريكية إلى تجنب مزيدٍ من الانقطاعات في إمدادات الوقود من خلال مساعدة الشركة على إعادة تشغيل أنظمتها في أسرع وقتٍ ممكنٍ.

2- استنفار سياسي: أكد الرئيس الأمريكي “جو بايدن” في 10 مايو 2021 استعداد إدارته لاتخاذ خطواتٍ إضافيةٍ للرد على الهجوم السيبراني اعتمادًا على مدى سرعة الشركة في إعادة خط الأنابيب إلى كامل طاقته التشغيلية، متعهدًا ببذل جهودٍ عالميةٍ لمجابهة هجمات الفدية من قبل مختلف القراصنة والفاعلين من غير الدول. كما أكد -في كلمةٍ له- اطلاعه على تطورات الهجوم وتداعياته بشكلٍ شخصيٍ. كما لفت إلى غياب الأدلة التي تثبت ضلوع روسيا في القرصنة المعلوماتية. 

3- استعادة السيطرة: تمكنت شركة “كولونيال بايبلاين” من إعادة تشغيل أجزاءٍ من خط الوقود تدريجيًا لتستعيد قدراتها التشغيلية فيما لا يزيد عن أسبوعٍ منذ بدء الهجوم. وقد بدأ الأمر باستعادة السيطرة على الخط الرابع الذي يمتد من غرينسبورو بنورث كارولينا إلى وودباين بميريلاند، ليعمل هذا الخط من خلال التحكم اليدوي لفترةٍ محدودةٍ من الوقت. وهو ما يعني أن الشركة استعادت السيطرة على الخطوط الجانبية الأصغر بين المحطات ونقاط التسليم ابتداءً، وصولًا إلى التشغيل الكامل انتهاءً. وفي غضون ذلك، ساهمت شركة (PPL) في استيعاب عددٍ من البراميل الإضافية، وتسليم نحو 720 ألف برميل من الوقود من لويزيانا إلى العاصمة واشنطن من خلال شبكة خطوطها الخاصة.

4- الآثار الاقتصادية: تسببت الأزمة في بقاء كثيرٍ من الوقود في مصافي التكرير في تكساس. وتشكك كثيرون في قدرة الناقلات البرية على نقل النفط إلى نيويورك بفعل اتساع الفجوة بينها وخط الأنابيب. ولذا، كانت بعض الولايات (وفي مقدمتها: أتلانتا، ونورث كارولينا، وساوث كارولينا، وجورجيا، وجنوب فيرجينيا، وغيرها) من أوائل الولايات المتضررة لعظم اعتمادها على “كولونيال بايبلاين” للحصول على الوقود. وقد كان مُتوقعًا أن يمتد تأثير “الدومينو” إلى نيويورك في وقتٍ يتراجع فيه المخزون الأمريكي، وتنخفض فيه مؤشرات الأسهم الأمريكية، وتتوقف فيه نصف إمدادات الساحل الشرقي الأمريكي من الوقود، وتتأثر فيه معنويات المستثمرين في “وول ستريت” ببيعٍ واسعٍ لأسهم التكنولوجيا بقيادة “آبل” و”ألفابت” و”تسلا”. وعلى جانبٍ آخرٍ، ارتفعت أسهم بعض شركات الطاقة الأمريكية بنسبة 1.5٪؛ وفي مقدمتها “إكسون موبيل” و”شيفرون”، بجانب أسهم شركة “فاير آي” بعد أن اُختيرت للتحقيق في الهجوم السيبراني.

5- ارتفاع أسعار النفط: بعد الإعلان عن الإغلاق لأول مرةٍ، ارتفعت العقود الآجلة للبنزين في بورصة نيويورك التجارية بنسبة 0.6٪، وارتفعت أيضًا العقود الآجلة للديزل بنسبة 1.1٪. وفي المقابل، تراجعت الأسعار النقدية لساحل الخليج للبنزين والديزل وسط توقعاتٍ بتراكم الإمدادات النفطية؛ فقد تسبب الهجوم السيبراني في ارتفاع أسعار النفط بشكلٍ حادٍ، ما صاحبه توجيه دعوات لسائقي السيارات بعدم تخزين الوقود مع شح الإمدادات. وفي اتجاهٍ مضادٍ، خزّن بعض السائقين في الجنوب الشرقي الوقود مع نفاذه بالفعل في محطات الوقود من ناحيةٍ، وارتفاع سعره لأعلى مستوى له منذ 2014 من ناحيةٍ ثانيةٍ. فتبعًا لاتحاد السيارات الأمريكي، ارتفعت أسعار البنزين ستة سنتات للجالون الواحد. 

دلالات بارزة

يُمكن إجمال أبرز دلالات الهجوم السيبراني على “كولونيال بايبلاين” في النقاط التالية:

1- توقيت حاسم: تزامن الهجوم في وقتٍ يستعد فيه قطاع الطاقة للاستجابة للطلب المتزايد على الوقود لتلبية رغبة المواطنين في السفر في فصل الصيف من ناحيةٍ، وتتراجع فيه عمليات الإغلاق في معظم الولايات لا سيما ذات الكثافة السكانية المرتفعة من ناحيةٍ ثانيةٍ، وحصول عددٍ أكبرٍ من الأمريكيين على لقاحات فيروس كورونا ما دفعهم للذهاب إلى عملهم والتفكير في السفر بشكلٍ طبيعيٍ من ناحيةٍ ثالثةٍ. وفي ضوء تلك الخلفيات، اتجهت معامل التكرير الأمريكية إلى زيادة عملياتها إلى مستويات ما قبل جائحة كورونا التي تسببت -جنبًا إلى جنب مع عواملٍ أخرى- في انهيار الطلب على البترول في شهر مارس الماضي. 

2- حساسية شبكات الأنابيب: يُعد الهجوم السيبراني على خط الوقود هو الأكبر من نوعه لكونه العمود الفقري لنقل الوقود من ساحل الخليج إلى نيويورك. وقد تسبب استهدافه في هواجسٍ عدةٍ جرّاء تراجع القدرة على تلبية الطلب المتنامي على الوقود. إذ تلعب شبكات الأنابيب دورًا أساسيًا في توصيل البنزين وزيت الديزل ووقود الطائرات إلى الساحل الشرقي. وعليه، يسلط إغلاق خط الوقود الحيوي الذي خدم هذا الساحل منذ أوائل الستينيات الضوء على ضعف البنية التحتية التي تدار إلكترونيًا. إذ يجب أن يُشكل الهجوم تحذيرًا لمرافق توليد الطاقة الكهربائية والمياه وشركات الطاقة والنقل لكارثية النتائج التي قد تترتب على استهدافها.

3- استعداء روسيا: ربطت وسائل الإعلام الأمريكية “دارك سايد” بروسيا في اتهاماتٍ مرسلةٍ عمادها تجنب تشفير أي أنظمةٍ تستخدم اللغة الروسية. وهو ما دفع المتحدث الرسمي باسم الرئاسة الروسية “دميتري بيسكوف” للقول إن “التعاون الدولي يُمكن أن يُساعد في مكافحة الجرائم السيبرانية، ولكن ترفض الولايات المتحدة التعاون معنا بأي شكلٍ من الأشكال في مواجهة التهديدات السيبرانية”. وأكد أن روسيا ليس لها علاقة بهجمات القراصنة، وأن أي اتهاماتٍ من هذا القبيل غير مقبولةٍ، وأن التعاون على الصعيدين الدولي والثنائي يُمكن أن يُساعد في معركةٍ مشتركةٍ ضد الجرائم السيبرانية. وفي المقابل، دأبت الولايات المتحدة على التحذير من قيام روسيا بزرع شفراتٍ خبيثةٍ في شبكات الكهرباء والتسلل إلى بعض القطاعات المهمة، واتهمت واشنطن رسميًا متسللين روس باختراق شبكة “سولار ويندز” واختراق خوادم البريد الإلكتروني لشركة “مايكروسوفت” العملاقة. وهو ما يُنذر في مُجمله بتصاعد حدة الصراع الروسي-الأمريكي في الفضاء السيبراني إلى مستوياتٍ غير مسبوقةٍ.

4- تصاعد خطورة هجمات الفدية: وصفت (Ransomware Task Force) هجمات الفدية بأنها خطرٌ على الأمن القومي، وطالبت الحكومات باتخاذ إجراءاتٍ عاجلةٍ للحيلولة دون دفع الفدية سرًا، كما طالبت بتعزيز أليات الأمن السيبراني. إذ يلفت الهجوم النظر صوب المخاطر المتزايدة التي تُشكلها برامج الفدية على البنية التحتية الوطنية، وليس فقط على الشركات. كما يُدلل على حدوث نقلةٍ نوعيةٍ تشهدها صناعة الأمن السيبراني بظهور نظامٍ إجراميٍ لتكنولوجيا المعلومات تُقدّر أرباحه بملايين الدولارات. ففي الأشهر الأخيرة، استهدفت برامج الفدية قسم شرطة مقاطعة كولومبيا والمستشفيات التي تُعالج مرضى فيروس كورونا. كما سبق استهداف منشأةٍ لضغط الغاز الطبيعي في العام الماضي، ما تسبب في إغلاقها لمدة يومين. ولا شك أن العملات المشفرة المستخدمة لدفع الفدية تزيد من صعوبة تعقب الجناة، ما يؤدي لكثرة هذا النوع من الهجمات عدديًا. وهو ما يُفسر تزايد مبالغ الفدية المدفوعة في الولايات المتحدة لتتجاوز 300 ألف دولار في المتوسط. كما بلغ متوسط توقف الشركات المستهدفة عن العمل 21 يومًا تقريبًا. 

5- جهود مرتقبة: من شأن الهجوم على خط الأنابيب أن يُصبح محور تركيز المحققين الفيدراليين والبيت الأبيض بعد أن تصدّر أولويات الإدارة الأمريكية، وأثر بالسلب في الأمن القومي الأمريكي وصولًا لفرض حالة الطوارئ كما سبق القول. ولذا، أصدر الرئيس الأمريكي في 12 مايو 2021 أمرًا تنفيذيًا لتعزيز أمن الأنظمة الفيدرالية والخاصة، والحيلولة دون اندلاع هجماتٍ مماثلةٍ مستقبلًا في ظل ضعف البنية التحتية الدفاعية لبعض المؤسسات والوكالات الحكومية والشركات الخاصة. وفي الوقت الراهن، يتفاوض البيت الأبيض مع أعضاء جمهوريين في مجلس الشيوخ على مشروع قانونٍ للبنية التحتية كجزءٍ من جهدٍ أوسعٍ لدفع الاهتمام بالأمن السيبراني عبر الحكومة الفيدرالية.

6- مخاوف مستقبلية: خلقت هجمات “سولار ويندز” وهجمات “مايكروسوفت” أبوابًا خلفية قد تُفضي إلى هجماتٍ محتملةٍ على البنية التحتية المادية بخلاف سرقة البيانات، وسط مخاوف من إمكانية استخدام الثغرات الأمنية لاستهداف البنية التحتية في المستقبل. ومع دفع جهود الأتمتة والميكنة والعمليات الرقمية، تتولد مخاطرٌ سيبرانيةٌ جديدةٌ تُقوّض انتشار أنظمة الذكاء الاصطناعي مستقبلًا، وتنذر بمزيد من الهجمات السيبرانية على البنية التحتية.باختصار، إن من شأن الهجمات السيبرانية التي تستهدف البنية التحتية أن تتسبب في خسائر مادية ومعنوية قد تفوق تلك التي قد تنجم عن الإرهاب التقليدي. ويرجع تزايد هجمات الفدية عدديًا إلى أرباحها المادية المرتفعة الناجمة إما عن الفدية وإما عن بيع المعلومات على الشبكة المظلمة. وبدون تدابير أمنيةٍ مُحكمةٍ تحمي الشبكات الافتراضية وتُقوض استغلال نقاط الضعف المحتملة، سيستغل المتسللون أي فرصةٍ للحصول على موطئ قدمٍ داخل الشبكات المستهدفة، فتتكرر الهجمات على محطات الطاقة وشبكات المياه وأنابيب الوقود. فلا يسهل تجنب هجمات الفدية على اختلاف تداعياتها الكارثية، ليظل الحل الأمثل هو تعزيز الأمن السيبراني كي يسهم في التعافي السريع حال وقوع هجماتٍ مماثلةٍ، دون أن يعني ذلك بالضرورة القدرة على منعها ابتداءً.

د. رغدة البهي
رئيس وحدة الأمن السيبراني