نشرت صحيفة The Independent البريطانية تقريراً حول هجوم إلكتروني، وقع في أغسطس/آب 2017، استهدف شركة بتروكيماويات تملك مصنعاً في المملكة السعودية. ويعتقد الباحثون أنَّ الهجوم السيبراني لم يكن يهدف إلى تدمير البيانات الخاصة بالشركة أو حتى إغلاق المصنع؛ بل كان الهدف منه تخريب استثمارات الشركة وإحداث انفجار.
وكان الاختراق بمثابة تصعيدٍ خطير في الحرب السيبرانية الدولية؛ إذ أظهر الأعداء مجهولو الهوية الدافع والقدرة على إلحاق أضرار مادية خطيرة. وينتاب المسؤولون الحكوميون الأميركيون، وحلفاؤهم، والباحثون في مجال الأمن الإلكتروني، قلقاً من أنَّ هؤلاء المجرمون يمكنهم تكرار تلك العمليات في بلدانٍ أخرى وفق The Independent، وتعتمد آلاف المنشآت الصناعية في جميع أنحاء العالم على أنظمة الحاسوب ذاتها التي صمَّمَتها الولايات المتحدة.
ولا يملك المحققون، في هجوم أغسطس/آب الماضي، ما يمكنهم قوله؛ فلا يزالوان غير متأكدين من هوية الشركة أو مقرها، ولم يحددوا الجُناة بعد.
لكنَّ المخترقين كانوا مُتطوِّرين ويملكون الكثير من الوقت والموارد، ما يدل على احتمالية أن يكونوا مدعومين من إحدى الحكومات، وفقاً لما ذكره عشرات الأشخاص، من بينهم خبراء الأمن الإلكتروني الذين اطلعوا على واقعة الهجوم، وطلبوا عدم الكشف عن هوياتهم نظراً لسرية التحقيق المستمر.
لِمَ لَمْ يحدث الانفجار؟
ويقول المُحقِّقون إنَّ الشيء الوحيد الذي حال دون وقوع انفجارٍ كان خطأ في شفرة الحاسوب الخاص بالمخترقين.
كان هذا الهجوم هو الأكثر إثارةً للقلق، ضمن سلسلةٍ من الهجمات السيبرانية على مصانع البتروكيماويات في المملكة السعودية. وفي يناير/كانون الثاني من العام الماضي 2017، انطفأت أجهزة الحاسوب في شركة التصنيع الوطنية، وهي واحدةٌ ضمن عددٍ قليلٍ من شركات البتروكيماويات السعودية المملوكة للقطاع الخاص. وتعطَّلت أجهزة الحاسوب على بُعد 15 ميلاً من شركة "صدارة" للكيميائيات، وهي مشروعٌ مشترك بين شركة النفط والغاز السعودية العملاقة "أرامكو" وشركة "داو كيميكال".
وفي غضون دقائق من الهجوم على شركة التصنيع، دُمِّرت الأقراص الصلبة داخل أجهزة الحاسوب الخاصة بالشركة، وحُذِفَت البيانات التي تحملها تماماً، ووُضِعَ مكانها صورة آلان الكردي، الطفل السوري الصغير الذي غرق قُبالة سواحل تركيا، في أثناء محاولة عائلته الفرار من الحرب الأهلية آنذاك.
ويعتقد مسؤولو شركة التصنيع والباحثون من شركة سيمانتك الأمنية، أنَّ الهدف من هجمات يناير/كانون الثاني هو إلحاق ضرر دائم بشركات البتروكيماويات، والزج برسالةٍ سياسية. يُذكَر أنَّ عملية الإصلاح استغرقت شهوراً.
ويقول خبراء الطاقة، إنَّ هجوم أغسطس/آب، كان من الممكن اعتباره محاولةً لتعقيد خطط ولي العهد الأمير محمد بن سلمان لتشجيع الاستثمارات الخاصة الأجنبية والمحلية، بهدف تنويع مصادر الاقتصاد السعودي وإيجاد فرص عمل لشباب البلد متزايد العدد.
الهجوم استهدف جوهر الاقتصاد السعودي
ومن جانبها، تقول إيمي مايرز جافي، وهي خبيرة في شؤون الطاقة في الشرق الأوسط في مجلس العلاقات الخارجية وفق صحيفة The Independent : "لا يمكن اعتباره هجوماً على القطاع الخاص فقط، والذي يتم الترويج له للمساعدة في تعزيز نمو الاقتصاد السعودي، لكنَّ الهجوم يُركِّز أيضاً على قطاع البتروكيماويات، الذي يُعد جزءاً جوهرياً من الاقتصاد السعودي".
يُذكر أنَّ السعودية خفضت صادرات النفط في السنوات الأخيرة لدعم أسعار النفط العالمية، وهي استراتيجيةٌ تتمحور حول جهودها الرامية إلى جعل الاكتتاب العام المُحتَمَل لأسهم شركة أرامكو التابعة للحكومة أكثر جذباً للمستثمرين الدوليين. وقد حاولت المملكة تعويض العائدات المفقودة من خلال التوسع في صناعة البتروكيماويات والتكرير.
وقد سبق الإبلاغ عن بعض التفاصيل التقنية ذات الأهمية، في هجوم أغسطس/آب، لكنَّها المرة الأولى التي يُبلَغ فيها عن الهجمات السابقة على شركات التصنيع وغيرها من شركات البتروكيماويات السعودية.
ولا يزال المُحلِّلون الأمنيون في شركة "مانديانت"، وهي شركةٌ تابعة للشركة الأمنية "فاير آي"، يحققون فيما حدث في هجوم أغسطس/آب، بمساعدة شركاتٍ عدة في الولايات المتحدة، التي تُجري تحقيقاتها في الهجمات السيبرانية على أنظمة التحكم الصناعية.
الهجوم كان يُقصد به في الغالب وقوع انفجارٍ يودي بحياة الأشخاص
ويقوم فريقٌ من شركة "شنايدر إليكتريك"، الشركة التي وضعت الأنظمة الصناعية (أجهزة ترايكونكس للتحكم في السلامة) التي استُهدفت، بالبحث في الهجوم. وهناك أيضاً وكالة الأمن القومي، ومكتب التحقيقات الفيدرالي، ووزارة الأمن الداخلي للولايات المتحدة، وكذلك وكالة مشاريع الأبحاث الدفاعية المتقدمة التابعة للبنتاغون، والتي تدعم البحث في الأدوات الجنائية المُصمَّمة للمساعدة في التحقيقات المُتعلِّقة بالقرصنة.
ويعتقد جميع المُحلِّلين أنَّ الهجوم كان يُقصد به في الغالب وقوع انفجارٍ يودي بحياة الأشخاص. ففي السنوات القليلة الماضية، تسبَّبت الانفجارات في مصانع البتروكيماويات في الصين والمكسيك، على الرغم من عدم تتبُّع القراصنة لها، في مقتل العديد من الموظفين، وإصابة المئات، والإجلاء القسري لسكان المناطق المحيطة.
ولعل أكثر ما يُقلق المُحقِّقين ومُحلِّلي الاستخبارات هو أنَّ المخترقين تعرَّضوا لأجهزة تحكُّم تراكونكس الخاصة بشركة شنايدر، والتي تحافظ على تشغيل المعدات بأمانٍ عن طريق القيام بمهامٍ، مثل ضبط الجهد الكهربي، والضغط، ودرجات الحرارة. وتُستَخدَم وحدات التحكُّم هذه في حوالي 18 ألف موقع حول العالم، بما فيهم المرافق النووية ومرافق معالجة المياه، ومصافي النفط والغاز، والمصانع الكيميائية.
ويقول جيمس لويس، الخبير في الأمن الحاسوبي في مركز الدراسات الاستراتيجية والدولية، ومقره واشنطن: "إذا كان قد طوَّر المخترقون تقنيةً تعمل ضد معدات شنايدر في المملكة العربية السعودية، فبإمكانهم بالفعل نشر التقنية ذاتها في الولايات المتحدة".
وكان يُعتقد أن نظام تريكونكس يعمل تحت الحماية القُصوى. وبعبارةٍ أخرى، لا يمكن تفكيك أو قرصنة أجهزة الأمان إلا من خلال الاتصال الجسدي فقط.
كيف استطاع القراصنة الدخول إليها؟
إذن كيف استطاع القراصنة الدخول إليها؟ وجد المُحقِّقون ملفاً رقمياً غريباً في جهاز حاسوب في محطة عملٍ هندسية، الذي بدا وكأنَّه جزءاً مشروعاً في وحدات شنايدر، ولكنَّه كان مُصمَّماً في الأصل لتخريب النظام. ولن يُعرِب المُحقِّقون عن كيفية وصول هذا الملف إلى الأجهزة، لكنَّهم لا يعتقدون أنَّ العمل حدث من الداخل؛ فتُعد هذه هي المرة الأولى التي تُعطَّل فيها الأجهزة عن بُعد، حسب The Independent.
وكان الشيء الوحيد الذي حال دون حدوث أضرار جسمية هو وجود خلل في شفرة الحاسوب الخاص بالمخترقين، الذي تسبَّب في إغلاق نُظم الإنتاج في المصنع بشكلٍ فجائي.
المخترقون أصلحوا خطأهم
ويعتقد مُحلِّلون أنَّ المخترقين ربما قاموا بالفعل بإصلاح خطأهم الآن، وأنَّ الأمر لا يعدو كونه مسألة وقت قبل أن ينشروا نفس الأسلوب للعمل ضد نظام تحكُّم صناعي آخر. ويمكن لجماعة أخرى أيضاً استخدام تلك الأدوات لشن هجومها الخاص.
وكان هجوم أغسطس/آب يُعد خطوةً خطيرة ضمن سلسلة من الهجمات التي وقعت مؤخراً في المملكة السعودية؛ فبدءاً من 17 نوفمبر/تشرين الثاني عام 2016، انطفأت شاشات الحاسوب في عددٍ من الأجهزة التابعة للحكومة السعودية، وحُذِفَت البيانات الموجودة على الأقراص الصلبة المُلحقة بها، وفقاً لباحثين من شركة "سيمانتك"، التي حقَّقت في الهجمات.
وبعد أسبوعين، ضرب المخترقون أنفسهم أهدافاً أخرى في السعودية بالفيروس الحاسوبي ذاته. وفي يناير/كانون الثاني عام 2017، هجموا مرةً ثانية، مُستهدفين شركة تصنيع وغيرها من شركات البتروكيماويات، ونشروا فيروس حاسوبي يُعرف باسم "شمعون"، بعد العثور على الكلمة مُدرَجة في الشفرة.
وظهر فيروس شمعون لأول مرة قبل 5 سنواتٍ في شركة أرامكو السعودية، مُتسبِّباً في تدمير عشرات الآلاف من أجهزة الحاسوب واستبدال البيانات المُلحقة بها بصورةٍ جزئية لعلمٍ أميركي مُحترق. ما دفع ليون بانيتا، وزير الدفاع الأميركي في ذلك الحين، إلى القول بأنَّ الهجوم يمكن أن يكون نذيراً.
وقال بانيتا في عام 2012: "يمكن لدولةٍ مُعتدية أو جماعةٍ مُتطرِّفة استخدام هذه الأنواع من الأدوات السيبرانية للسيطرة على المفاتيح بالغة الأهمية".
ونَسَبَ مسؤولون حكوميون وخبراء في الأمن الإلكتروني في المملكة السعودية والولايات المتحدة هجوم شمعون 2012 إلى مخترقينَ إيرانيين.
كان شيئاً أخطر من شمعون
وفي هذا الصدد، يقول فيكرام ثاكور، وهو باحث كبير في سيمانتيك، مُشيراً إلى هجوم يناير/كانون الثاني عام 2017: "كان من الممكن اعتبار أن مخترقاً آخر هو من تبنَّى هذه الشفرة. لكنَّ تحليلنا أظهر ارتفاع احتمالية أن يكون هو نفس الجاني".
لكنَّ الاختراق الذي حدث في أغسطس/آب الماضي، لم يكن فيروس شمعون، بل كان شيئاً أخطر.
ويعتقد مُحلِّلون أنَّ الدولة القومية مسؤولة عمَّا حدث، في ظل عدم وجود دافع واضح للربح، رغم أنَّ الهجوم يتطلَّب موارد مالية ضخمة. كما لم تظهر شفرة الحاسوب المُستخدمة في الاختراق في أي عملياتٍ سابقة؛ فكل أداة اختراقٍ صُمِّمَت حسب الطلب.
لم يكن يتوجَّب على المهاجمين معرفة كيفية الوصول إلى هذا النظام فحسب، بل كان عليهم فهم تصميمها بشكلٍ جيد بما يكفي لمعرفة تخطيط المرفق، أي الأنابيب ستُستخدم للانطلاق، وأي الصمامات ستُحوَّل لإطلاق الانفجار.
ويعتقد المُحقِّقون في الأمر أنَّ شخصاً ما كان عليه شراء النسخة نفسها من نظام أمان ترايكونكس لمعرفة كيفية عمله. ويمكن شراء مكونات النظام بمبلغ 40 ألف دولار من موقع إيباي، على حد قولهم.
وقد أظهر الاختراق أيضاً التحدي الواضح بشكلٍ لا يقبل الشك في الهجوم على بلدٍ واحد.
ويقول خبراء الأمن الإلكتروني إنَّ إيران، والصين، وروسيا، والولايات المتحدة، وإسرائيل يملكون التطور التقني الكافي لشن مثل هذه الهجمات، لكنَّ معظم هذه الدول ليس لديها أي دافعٍ للقيام بذلك؛ إذ تعمل الصين وروسيا بشكل متزايد على عقد صفقات في مجال الطاقة مع السعودية، وتحرَّكت إسرائيل والولايات المتحدة للتعاون مع المملكة ضد إيران.
تملك إيران برنامجاً سيبرانياً عسكرياً متقدماً
ويترك هذا الشكوك حول إيران، التي يقول عنها الخبراء إنَّها تملك برنامجاً سيبرانياً عسكرياً متقدماً، برغم نفي الحكومة الإيرانية أي تورط لها في الهجمات السيبرانية على السعودية.
زادت حدِّة التوترات بين إيران والمملكة السعودية على نحوٍ مُطرد في السنوات الأخيرة، وانحرف الصراع ليشمل الفضاء السيبراني.
كما ألقى مسؤولون أميركيون ومحللون أمنيون اللوم على قراصنة إيرانيين في سلسلة من الهجمات على البنوك الأميركية في عام 2012، والمزيد من عمليات التجسس الأخيرة على صناعة الطائرات. فضلاً عن اتهامهم بشن اختراقٍ على شركة أرامكو في عام 2012، ويُشتبه في تورطهم أيضاً في حوادث اختراق فيروس شمعون الأخيرة.
يُذكر أنَّ هجوم أغسطس/آب، كان أكثر تطوراً بدرجة كبيرة من أي هجومٍ سابق من إيران، على حد قول ثاكور من شركة سيمانتك، لكنَّ هناك احتمالية بأن تكون إيران قد طورت قدراتها في مجال الحروب السيبرانية، أو استعانت بدولٍ أخرى، مثل روسيا، أو كوريا الشمالية.
ومن جانبهم، يقول مسؤولو شركة الصنيع الوطنية السعودية، إنَّهم استأجروا خبراء من شركة سيمانتك وشركة آي بي إم لدراسة الهجوم الحاسوبي الذي تعرَّضت له. وقالوا أيضاً إنَّهم قاموا "بفحص معايير الأمان الخاصة بشكل تامٍ"، وبدأوا في استخدام أدواتٍ جديدة لمنع الهجمات السيبرانية.
وقالت الشركة في بيانٍ لها: "باعتبارنا شركةً عالمية، فإننا نعتقد أنَّ الأمن السيبراني هو مصدر قلق في كل مكانٍ في العالم".
