كانت وحدة الاستخبارات العسكرية الروسية المعروفة باسم Sandworm، على مدى العقد الماضي، بمثابة قوة الهجوم السيبراني الأكثر عدوانية في الكرملين، مما أدى إلى انقطاع التيار الكهربائي في أوكرانيا وإطلاق تعليمات برمجية مدمرة ذاتية الانتشار في حوادث لا تزال من أكثر أحداث القرصنة تدميراً في التاريخ. ومع ذلك، في الأشهر الأخيرة، حاولت مجموعة من المتسللين المرتبطين بـ Sandworm إحداث نوع من الفوضى الرقمية التي تتجاوز، في بعض النواحي، حتى سابقتها: لقد أعلنوا مسؤوليتهم عن استهداف الأنظمة الرقمية مباشرة لسد الطاقة الكهرومائية في فرنسا و مرافق المياه في الولايات المتحدة وبولندا، وقلب المفاتيح وتغيير إعدادات البرامج في محاولة واضحة لتخريب البنية التحتية الحيوية في تلك البلدان.
منذ بداية هذا العام، نالت مجموعة من الناشطين في مجال القرصنة تعرف باسم الجيش السيبراني لروسيا، أو في بعض الأحيان الجيش السيبراني لروسيا من جديد، الفضل في ثلاث مناسبات على الأقل في عمليات القرصنة التي استهدفت مرافق المياه والطاقة الكهرومائية الأمريكية والأوروبية. في كل حالة، نشر المتسللون مقاطع فيديو على منصة التواصل الاجتماعي Telegram تظهر تسجيلات الشاشة لتلاعبهم الفوضوي بما يسمى بواجهات الإنسان والآلة، وهي البرامج التي تتحكم في المعدات المادية داخل تلك الشبكات المستهدفة. ومن بين الضحايا الواضحين لهذا الاختراق العديد من مرافق المياه الأمريكية في تكساس، ومحطة بولندية لمعالجة مياه الصرف الصحي، ومحطة فرنسية للطاقة الكهرومائية – على الرغم من أنه ليس من الواضح بالضبط مقدار التعطيل أو الضرر الذي قد يكون المتسللون قد أحدثوه ضد أي من هذه المرافق.
تقرير جديد نشرته اليوم شركة Mandiant للأمن السيبراني يربط بين مجموعة القراصنة تلك وSandworm، التي تم تحديدها لسنوات على أنها الوحدة 74455 التابعة لوكالة الاستخبارات العسكرية الروسية GRU. عثر مانديانت على دليل على أن Sandworm ساعد في إنشاء Cyber Army of Russian Reborn وتتبع حالات متعددة عندما تم تسريب البيانات المسروقة من الشبكات التي هاجمتها Sandworm لاحقًا من قبل مجموعة Cyber Army of Russian Reborn. ومع ذلك، لم يتمكن مانديانت من تحديد ما إذا كان الجيش السيبراني في روسيا الذي ولد من جديد هو مجرد واحد من العديد من شخصيات التغطية التي تبنتها Sandworm لإخفاء أنشطتها على مدار العقد الماضي أو بدلاً من ذلك مجموعة متميزة ساعدت Sandworm في إنشائها والتعاون معها ولكنها تعمل الآن بشكل مستقل.
وفي كلتا الحالتين، أصبحت عمليات القرصنة التي قام بها الجيش السيبراني لروسيا ريبورن الآن، في بعض النواحي، أكثر جرأة من Sandworm نفسها، كما يقول جون هولتكويست، الذي يقود جهود استخبارات التهديدات في Mandiant والذي تعقب قراصنة Sandworm منذ ما يقرب من عقد من الزمن. ويشير إلى أن Sandworm لم تستهدف أبدًا بشكل مباشر شبكة أمريكية بهجوم سيبراني تخريبي – فقط زرعت برامج ضارة على شبكات أمريكية استعدادًا لأحدها، أو، في حالة هجوم برنامج الفدية NotPetya عام 2017، أصابت الضحايا الأمريكيين بشكل غير مباشر برموز ذاتية الانتشار. وعلى النقيض من ذلك، لم يتردد “جيش روسيا السيبراني الذي ولد من جديد” في تجاوز هذا الخط.
يقول هولتكويست: “على الرغم من أن هذه المجموعة تعمل تحت هذا الشخص المرتبط بـ Sandworm، إلا أنها تبدو أكثر تهورًا من أي مشغل روسي رأيناه يستهدف الولايات المتحدة على الإطلاق”. “إنهم يتلاعبون بنشاط بأنظمة التكنولوجيا التشغيلية بطريقة عدوانية للغاية، وربما مدمرة وخطيرة.”
دبابة فائضة وديك فرنسي
لم يكن لدى Mandiant إمكانية الوصول إلى مرافق المياه وشبكات محطات الطاقة الكهرومائية المستهدفة، لذلك لم يكن قادرًا على تحديد كيفية وصول Cyber Army of Russian Reborn إلى تلك الشبكات. ومع ذلك، يُظهر أحد مقاطع الفيديو التي نشرتها المجموعة في منتصف يناير ما يبدو أنه تسجيل شاشة يصور تلاعب المتسللين بواجهات البرامج لأنظمة التحكم في مرافق المياه في مدينتي أبيرناثي وموليشو في تكساس. وجاء في رسالة تقدم الفيديو على تيليجرام: “سنبدأ غارتنا التالية عبر الولايات المتحدة الأمريكية”. “يوجد في هذا الفيديو بعض العناصر المهمة للبنية التحتية، وهي أنظمة إمدادات المياه😋”
يُظهر الفيديو بعد ذلك المتسللين وهم ينقرون بشكل محموم حول الواجهة المستهدفة، ويغيرون القيم والإعدادات لأنظمة التحكم في كلا المرفقين. على الرغم من أنه ليس من الواضح ما هي التأثيرات التي قد يكون لها هذا التلاعب، حسبما ذكرت صحيفة تكساس بلاينفيو هيرالد ذكرت في أوائل فبراير أن المسؤولين المحليين قد اعترفوا بالهجمات الإلكترونية وأكدوا وجود مستوى معين من التعطيل. وبحسب ما ورد، قال رامون سانشيز، مدير مدينة موليشو، في اجتماع عام إن الهجوم على مرافق المدينة أدى إلى فيضان أحد خزانات المياه. كما قال المسؤولون في مدينتي أبيرناثي وهيل سنتر القريبتين – وهو هدف لم يُذكر في فيديو المتسللين – إنهم تعرضوا للهجوم. وبحسب ما ورد قامت مرافق البلدات الثلاث، بالإضافة إلى مدينة أخرى في لوكني، بتعطيل برامجها لمنع استغلالها، لكن المسؤولين قالوا إن الخدمة لعملاء مرافق المياه لم تنقطع أبدًا. (تواصلت WIRED مع مسؤولين من Muleshoe وAbernathy لكنها لم تتلق أي رد على الفور.)
يُظهر مقطع فيديو آخر نشره قراصنة Cyber Army of Russian Reborn في يناير ما يبدو أنه تسجيل شاشة لمحاولة تخريب مماثلة لمرفق مياه الصرف الصحي في Wydminy، وهي قرية في بولندا، وهي دولة كانت حكومتها مؤيدًا قويًا لأوكرانيا في البلاد. وسط الغزو الروسي. “مرحبًا بالجميع، سنلعب اليوم مع محطات معالجة مياه الصرف الصحي البولندية. استمتع بالمشاهدة!” يقول صوت روسي آلي في بداية الفيديو. يُظهر الفيديو بعد ذلك المتسللين وهم يقلبون المفاتيح ويغيرون القيم في البرنامج، مع ضبطهم على الموسيقى التصويرية لـ Super Mario Bros.
وفي مقطع فيديو ثالث، نُشر في مارس/آذار، سجل المتسللون أنفسهم بالمثل وهم يعبثون بنظام التحكم فيما وصفوه بسد كورلون سور يون الكهرومائي في فرنسا. تم نشر هذا الفيديو مباشرة بعد أن أدلى الرئيس الفرنسي إيمانويل ماكرون بتصريحات علنية تشير إلى أنه سيرسل أفرادًا عسكريين فرنسيين إلى أوكرانيا للمساعدة في حربها ضد روسيا. يبدأ الفيديو بإظهار ماكرون على شكل ديك يحمل العلم الفرنسي. يقول الفيديو: “لقد سمعنا مؤخرًا صياح الديك الفرنسي”. “اليوم سنلقي نظرة على سد كورلون ونستمتع قليلاً. مشاهدة ممتعة يا أصدقاء. المجد لروسيا!».
وفي منشورهم على Telegram، يزعم المتسللون أنهم خفضوا منسوب المياه في السد الفرنسي وأوقفوا تدفق الكهرباء المنتج، على الرغم من أن WIRED لم تتمكن من تأكيد هذه الادعاءات. لم تستجب منشأة Wydminy ولا مالك سد Courlon، Energies France، لطلب WIRED للتعليق.
في مقاطع الفيديو، يعرض المتسللون بعض المعرفة حول كيفية عمل مرافق المياه، بالإضافة إلى بعض الجهل والتقلب العشوائي للمفاتيح، كما يقول جوس سيرينو، مؤسس شركة الأمن السيبراني I&C Secure والموظف السابق في مرفق المياه وفي شركة البنية التحتية للأمن السيبراني Dragos. ويشير سيرينو إلى أن المتسللين قاموا، على سبيل المثال، بتغيير “مستوى التوقف” لخزانات المياه في مرافق تكساس، الأمر الذي كان من الممكن أن يؤدي إلى الفائض الذي ذكره المسؤولون. لكنه يشير إلى أنهم أجروا أيضًا تغييرات أخرى تبدو اعتباطية، خاصة بالنسبة لمحطة مياه الصرف الصحي في وايدميني، والتي لم يكن لها أي تأثير.
