قراصنة روس يستهدفون شبكة الحكومة الألمانية ـ من هؤلاء؟

   

أعلنت دوائر ألمانية أن فريق القرصنة الروسي المعروف باسم "سنيك" يقف وراء الهجوم الكبير على شبكة الإنترنيت الألمانية. وقالت الدوائر الرسمية إن الهجوم تركز على شبكة بيانات الحكومة الألمانية. وأثبتت التحقيقات الأخيرة أنه من الراجح أن المسؤول عن عملية التجسس الإلكترونية ليست مجموعة APT28 التي افتُرض أنها قد تقف وراء هجوم التجسس الذي عُرف الأربعاء (28 شباط/فبراير2018) على وزارة الخارجية والدفاع الألمانيتين في عام 2017.

وهذه المجموعة التي توصف أيضا كمجموعة Fancy Bear، باتت معروفة على أبعد تقدير لجمهور واسع منذ هجوم القرصنة على لجنة الحزب الديمقراطي في الولايات المتحدة الأمريكية قبل الانتخابات الرئاسية في 2016. إنها واحدة من مجموعتين عملتا بصفة منفصلة على ما يبدو على قرصنة شبكة الحزب الديمقراطي. وكلاهما تربطهما علاقات مع أجهزة استخبارات روسية.

ما هي APT28

APT أحرف مقتضبة من الكلمة الإنجليزية Advanced Persistent Threat يعني تهديد قائم مستمر. وبهذا المفهوم يتم وصف هجمات معقدة على أهداف مهمة وحساسة.

وتعود أنشطة مجموعة APT28 "على الأقل إلى عام 2004"، كما يفيد جهاز حماية الدستور الألماني. ومصادر أخرى تذكر عام 2007. وتعرف شركات الأمن الإلكتروني الأمريكية CrowdStrike  و FireEye هذه المجموعة من تحريات مختلفة بتكليف من زبائنهم، بينها شركات كبرى في مجال صناعة الفضاء والدفاع والطاقة وكذلك بعض الحكومات. وكلاهما تفترضان أن تكون لمجموعة APT28 اتصالات مع جهاز الاستخبارات العسكرية الروسي.

دميتري غالبيروفتش، رئيس فني لدى شركة CrowdStrike وصف في يونيو 2016 المجموعتين "بعض أفضل الخصوم" بين مجموعات القراصنة الحكومية الإجرامية أو الإرهابية التي تواجهها شركته يوميا. وخلاصته هي أن "كلا الخصمين يلتزمان في أعمال تجسس سياسي واقتصادي قوي لصالح حكومة الفيدرالية الروسية".

من جورجيا إلى ألمانيا

وليس معروفا كم هو حجم المجموعة ومن هم الأشخاص الذين يعملون لديها وأية جنسيات يحملون. وهناك عدة إشارات إلى روسيا. فمن جهة هناك أهداف للهجمات. مجموعة APT28 تركز على التجسس في السياسة الخارجية والأمنية في مناطق تبدو مهمة بالنسبة إلى موسكو. وشركة FireEye تصف في تقرير هجمات لمجموعة APT28 على وزارة الداخلية ووزارة الدفاع للجمهورية السوفياتية السابقة جورجيا. وبعض الأهداف الأخرى كانت حكومات في أوروبا الشرقية والغربية، بينها ألمانيا. وعلى هذا النحو يُفترض أن تقف APT28 وراء الهجوم الإلكتروني على البرلمان الألماني في 2015. وفي ربيع 2017 حصلت، حسب جهاز حماية الدستور الألماني هجمات على مؤسسة كونراد أدناور المقربة من الحزب المسيحي الديمقراطي ومؤسسة فريردش إبيرت المقربة من الحزب الاشتراكي الديمقراطي. كما أن حلف الناتو ومنظمة الأمن والتعاون في أوروبا لم ينجوا من هذه الهجمات.

وفي الحقيقة هي بلدان على مستوى العالم التي كانت هدفا لهجمات APT28: من أرمينيا وأوزبكستان حتى اليابان والمكسيك ومن إيران إلى المجر.

الآثار الروسية

وتوصلت شركات الأمن الإلكتروني الأمريكية إلى الاستنتاج بأن المجموعة عملت باستمرار على تحديث وسائلها، على ما يبدو لمسح الآثار بشكل أفضل. وتتلقى APT28 الدعم من فريق خبراء في الكومبيوتر، حسب التقدير المدون في تقرير شركة FireEye. وهذا يكشف عن مساعدة من جانب الحكومة وكذلك مالية. كما أن جزءا كبيرا من العمل "تم إنجازه في محيط باللغة الروسية خلال وقت عمل روسي". وهذا يفترض أن الحكومة الروسية هي الداعم لمجموعة APT28.

الإنجاز يتم على هذا النحو

يبدو أن APT28 تملك في حوزتها شريحة واسعة من الوسائل للتوغل في الشبكات المحصنة لحكومات. فهي تملك برامج محملة بفيروسات لأنظمة تشغيل مختلفة بينها Linux و Android و Windows.

وتصف شركة FireEye في تقريرها محاولة للقراصنة في منتصف 2013 لولوج برامج وزارة الداخلية الجورجية. وفي الخلف حاول برنامج تجسس ربط اتصال مع خادم رسائل قصيرة داخلي للوزارة، وتمكن القراصنة بهذه الطريقة من سرقة بيانات.

رومان غونشارينكو/ م.أ.م