قراصنة مرتبطون بالمسؤولية العسكرية الروسية عن تخريب مرافق المياه الأمريكية
كانت وحدة الاستخبارات العسكرية الروسية المعروفة باسم Sandworm، على مدى العقد الماضي، بمثابة قوة الهجوم السيبراني الأكثر عدوانية في الكرملين، مما أدى إلى انقطاع التيار الكهربائي في أوكرانيا وإطلاق تعليمات برمجية مدمرة ذاتية الانتشار في حوادث لا تزال من أكثر أحداث القرصنة تدميراً في تاريخ. ومع ذلك، في الأشهر الأخيرة، حاولت مجموعة من المتسللين المرتبطين بـ Sandworm إحداث نوع من الفوضى الرقمية التي تتجاوز، في بعض النواحي، حتى سابقتها: لقد أعلنوا مسؤوليتهم عن استهداف الأنظمة الرقمية مباشرة لسد الطاقة الكهرومائية في فرنسا و مرافق المياه في الولايات المتحدة وبولندا، وقلب المفاتيح وتغيير إعدادات البرامج في محاولة واضحة لتخريب البنية التحتية الحيوية في تلك البلدان.
منذ بداية هذا العام، نالت مجموعة من الناشطين في مجال القرصنة تعرف باسم الجيش السيبراني لروسيا، أو في بعض الأحيان الجيش السيبراني لروسيا من جديد، الفضل في ثلاث مناسبات على الأقل في عمليات القرصنة التي استهدفت مرافق المياه والطاقة الكهرومائية الأمريكية والأوروبية. في كل حالة، نشر المتسللون مقاطع فيديو على منصة التواصل الاجتماعي Telegram تظهر تسجيلات الشاشة لتلاعبهم الفوضوي بما يسمى بواجهات الإنسان والآلة، وهي البرامج التي تتحكم في المعدات المادية داخل تلك الشبكات المستهدفة. ومن بين الضحايا الواضحين لهذا الاختراق العديد من مرافق المياه الأمريكية في تكساس، ومحطة بولندية لمعالجة مياه الصرف الصحي، ومحطة فرنسية للطاقة الكهرومائية – على الرغم من أنه ليس من الواضح بالضبط مقدار التعطيل أو الضرر الذي ربما أحدثه المتسللون ضد أي من هذه المرافق. .
تقرير جديد نشرته اليوم شركة Mandiant للأمن السيبراني يربط بين مجموعة القراصنة تلك وSandworm، التي تم تحديدها لسنوات على أنها الوحدة 74455 التابعة لوكالة الاستخبارات العسكرية الروسية GRU. عثر مانديانت على دليل على أن Sandworm ساعد في إنشاء Cyber Army of Russian Reborn وتتبع حالات متعددة عندما تم تسريب البيانات المسروقة من الشبكات التي هاجمتها Sandworm لاحقًا من قبل مجموعة Cyber Army of Russian Reborn. ومع ذلك، لم يتمكن مانديانت من تحديد ما إذا كان الجيش السيبراني في روسيا الذي ولد من جديد هو مجرد واحد من العديد من شخصيات التغطية التي تبنتها Sandworm لإخفاء أنشطتها على مدار العقد الماضي أو بدلاً من ذلك مجموعة متميزة ساعدت Sandworm في إنشائها والتعاون معها ولكنها تعمل الآن بشكل مستقل.
في كلتا الحالتين، أصبحت قرصنة Cyber Army of Russian Reborn الآن، في بعض النواحي، أكثر وقاحة من Sandworm نفسها، كما يقول جون هولتكويست، الذي يقود جهود Mandiant في مجال استخبارات التهديدات وتتبع قراصنة Sandworm بحثًا عن معلومات. ما يقرب من عقد من الزمان. ويشير إلى أن Sandworm لم تستهدف مطلقًا شبكة أمريكية بشكل مباشر بهجوم سيبراني تخريبي – فقط زرعت برامج ضارة على شبكات أمريكية استعدادًا لواحدة، أو في حالة هجوم برنامج الفدية NotPetya عام 2017، أصابت الضحايا الأمريكيين بشكل غير مباشر بكود ينتشر ذاتيًا. وعلى النقيض من ذلك، لم يتردد جيش روسيا السيبراني الذي ولد من جديد في عبور هذا الخط.
يقول هولتكويست: “على الرغم من أن هذه المجموعة تعمل تحت هذه الشخصية المرتبطة بـ Sandworm، إلا أنها تبدو أكثر تهورًا من أي مشغل روسي رأيناه يستهدف الولايات المتحدة على الإطلاق”. “إنهم يتلاعبون بنشاط بأنظمة التكنولوجيا التشغيلية بطريقة شديدة العدوانية، وربما تكون مدمرة وخطيرة.”
دبابة فائضة وديك فرنسي
لم يكن لدى Mandiant إمكانية الوصول إلى مرافق المياه وشبكات محطات الطاقة الكهرومائية المستهدفة، لذلك لم يكن قادرًا على تحديد كيفية وصول Cyber Army of Russian Reborn إلى تلك الشبكات. ومع ذلك، يُظهر أحد مقاطع الفيديو التي نشرتها المجموعة في منتصف شهر يناير ما يبدو أنه تسجيل شاشة يصور تلاعب المتسللين بواجهات البرامج الخاصة بأنظمة التحكم في مرافق المياه في مدينتي أبيرناثي وموليشو في تكساس. وجاء في رسالة تقدم الفيديو على تيليجرام: “لقد بدأنا غارتنا التالية عبر الولايات المتحدة الأمريكية”. “يوجد في هذا الفيديو بعض العناصر الحيوية للبنية التحتية، وهما أنظمة إمدادات المياه”
يُظهر الفيديو بعد ذلك المتسللين وهم ينقرون بشكل محموم حول الواجهة المستهدفة، ويغيرون القيم والإعدادات لنظامي التحكم في كلا المرفقين. على الرغم من أنه ليس من الواضح ما هي التأثيرات التي قد يكون لها هذا التلاعب، حسبما ذكرت صحيفة تكساس بلاينفيو هيرالد ذكرت في أوائل فبراير أن المسؤولين المحليين قد اعترفوا بالهجمات الإلكترونية وأكدوا وجود مستوى معين من التعطيل. وبحسب ما ورد قال مدير مدينة موليشو، رامون سانشيز، في اجتماع عام إن الهجوم على مرافق المدينة أدى إلى فيضان أحد خزانات المياه. وقال مسؤولون في مدينتي أبيرناثي وهيل سنتر القريبتين – وهو هدف لم يذكر في فيديو المتسللين – إنهم تعرضوا للضرب. وبحسب ما ورد قامت مرافق البلدات الثلاث، بالإضافة إلى مدينة أخرى في لوكني، بتعطيل برامجها لمنع استغلالها، لكن المسؤولين قالوا إن الخدمة لعملاء مرافق المياه لم تنقطع أبدًا. (تواصلت WIRED مع مسؤولين من Muleshoe وAbernathy لكنها لم تتلق أي رد على الفور.)
يُظهر مقطع فيديو آخر نشره قراصنة Cyber Army of Russian Reborn في يناير ما يبدو أنه تسجيل شاشة لمحاولة تخريب مماثلة لمرفق مياه الصرف الصحي في Wydminy، وهي قرية في بولندا، وهي دولة كانت حكومتها مؤيدًا قويًا لأوكرانيا في البلاد. وسط الغزو الروسي. “مرحبًا بالجميع، سنلعب اليوم مع محطات معالجة مياه الصرف الصحي البولندية. استمتع بالمشاهدة!‘‘ يقول صوت روسي آلي في بداية الفيديو. يُظهر الفيديو بعد ذلك المتسللين وهم يقلبون المفاتيح ويغيرون القيم في البرنامج، مع ضبطهم على الموسيقى التصويرية لـ Super Mario Bros.
وفي مقطع فيديو ثالث، نُشر في مارس/آذار، سجل المتسللون أنفسهم بالمثل وهم يعبثون بنظام التحكم فيما وصفوه بسد كورلون سور يون الكهرومائي في فرنسا. تم نشر هذا الفيديو مباشرة بعد أن أدلى الرئيس الفرنسي إيمانويل ماكرون بتصريحات علنية تشير إلى أنه سيرسل أفرادًا عسكريين فرنسيين إلى أوكرانيا للمساعدة في حربها ضد روسيا. يبدأ الفيديو بإظهار ماكرون على شكل ديك يحمل العلم الفرنسي. يقول الفيديو: “سمعنا مؤخرًا صياح الديك الفرنسي”. “اليوم سنلقي نظرة على سد كورلون ونستمتع قليلاً. مشاهدة ممتعة يا أصدقاء. المجد لروسيا!».
وفي منشورهم على Telegram، يزعم المتسللون أنهم خفضوا منسوب المياه في السد الفرنسي وأوقفوا تدفق الكهرباء المنتج، على الرغم من أن WIRED لم تتمكن من تأكيد هذه الادعاءات. ولم تستجب منشأة Wydminy ولا مالكة سد كورلون، شركة Energies France، لطلب WIRED للتعليق.
في مقاطع الفيديو، يعرض المتسللون بعض المعرفة حول كيفية عمل مرافق المياه، بالإضافة إلى بعض الجهل والتقلب العشوائي للمفاتيح، كما يقول جوس سيرينو، مؤسس شركة الأمن السيبراني I&C Secure والموظف السابق في مرفق المياه وفي شركة البنية التحتية للأمن السيبراني Dragos. ويشير سيرينو إلى أن المتسللين قاموا، على سبيل المثال، بتغيير “مستوى التوقف” لخزانات المياه في مرافق تكساس، الأمر الذي كان من الممكن أن يؤدي إلى الفائض الذي ذكره المسؤولون. لكنه يشير إلى أنهم أجروا أيضًا تغييرات أخرى تبدو اعتباطية، خاصة بالنسبة لمحطة مياه الصرف الصحي في وايدميني، والتي لم يكن لها أي تأثير.