يقود الغزو الروسي غير المبرر لأوكرانيا مجموعات القرصنة في جميع أنحاء العالم إلى زيادة أنشطتها - في بعض الحالات لدعم جانب، أو ربما لمجرد الاستفادة من الفوضى.
منذ غزو أوكرانيا في وقت سابق من هذا الأسبوع، أصبحت مجموعة المتسللين المجهولين Anonymous hacker collective وعصابة Conti ransomware وممثل تهديد في بيلاروسيا Belarus من بين أولئك الذين يبدو أنهم أصبحوا أكثر نشاطًا- أو على الأقل أعربوا عن نواياهم. في غضون ذلك، أصدرت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) Cybersecurity and Infrastructure Security Agency تحذيراً يوم الخميس بشأن التهديد المتزايد من جهة فاعلة إيرانية متطورة مستمرة للتهديد المستمر (APT) Advanced Persistent Threat.
قال Sam Curry, CSO في Cybereason، خلال الحرب الباردة، "خاضت القوى العظمى العديد من الحروب الصغيرة بالوكالة". "اليوم ، يمكننا أن نتوقع نشوب حرب بالوكالة عبر الإنترنت".
منذ غزو أوكرانيا في وقت سابق من هذا الأسبوع، أصبحت مجموعة المتسللين المجهولين Anonymous hacker collective وعصابة Conti ransomware وممثل تهديد في بيلاروسيا Belarus من بين أولئك الذين يبدو أنهم أصبحوا أكثر نشاطًا- أو على الأقل أعربوا عن نواياهم. في غضون ذلك، أصدرت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) Cybersecurity and Infrastructure Security Agency تحذيراً يوم الخميس بشأن التهديد المتزايد من جهة فاعلة إيرانية متطورة مستمرة للتهديد المستمر (APT) Advanced Persistent Threat.
قال Sam Curry, CSO في Cybereason، خلال الحرب الباردة، "خاضت القوى العظمى العديد من الحروب الصغيرة بالوكالة". "اليوم ، يمكننا أن نتوقع نشوب حرب بالوكالة عبر الإنترنت".
Anonymous
أعلنت Anonymous نفسها متحالفة مع "الحلفاء الغربيين Western allies" وقالت إنها لن تستهدف سوى العمليات في روسيا. نشرت المجموعة عددًا من المطالبات على Twitter.
وكتبت المجموعة على موقع تويتر "جماعة Anonymous تشارك رسميًا في حرب إلكترونية ضد الحكومة الروسية".
يوم الخميس، ادعت Anonymous على Twitter أنها أسقطت العديد من المواقع المرتبطة بالحكومة الروسية. ومن بين تلك المواقع موقع إخباري حكومي، RT News، الذي أكد أنه تعرض لهجوم رفض الخدمة الموزع (DDoS) Distributed Denial-of-Service .
ووصف Anonymous الموقع الإخباري بأنه "دعاية"، وقال إن هجوم DDoS نُفذ "ردًا على غزو الكرملين الوحشي لأوكرانيا".
ثم غردت Anonymous يوم الجمعة بأنها "انتهكت بنجاح قاعدة بيانات موقع وزارة الدفاع الروسية وسربتها"، وادعت أنها نشرت "جميع البيانات الخاصة لوزارة الدفاع الروسية". (تم حذف التغريدة لاحقًا لأنها "انتهكت قوانين تويتر"، كما يقول الموقع).
كانت المجموعة قد غردت في وقت سابق مقطع فيديو، يظهر شخصية ملثمة تحمل توقيع Guy Fawkes، قائلة إنه "إذا استمرت التوترات في التفاقم في أوكرانيا، فيمكننا أخذ أنظمة التحكم الصناعية كرهائن".
قال Casey Ellis، مؤسس ورئيس قسم التكنولوجيا في Bugcrowd، إن مشاركة Anonymous ليست مفاجأة لأن المجموعة "معروفة بامتلاكها موقفًا مبدئيًا بشأن الموضوعات ومن ثم التصرف أو الانتقام عبر الإنترنت".
مجموعة قراصنة ثانية كشفت عن نواياها لدعم أوكرانيا، وهي Ghost Security، والمعروفة أيضًا باسم GhostSec، والتي يُعتقد أنها فرع من Anonymous.
أعلنت Anonymous نفسها متحالفة مع "الحلفاء الغربيين Western allies" وقالت إنها لن تستهدف سوى العمليات في روسيا. نشرت المجموعة عددًا من المطالبات على Twitter.
وكتبت المجموعة على موقع تويتر "جماعة Anonymous تشارك رسميًا في حرب إلكترونية ضد الحكومة الروسية".
يوم الخميس، ادعت Anonymous على Twitter أنها أسقطت العديد من المواقع المرتبطة بالحكومة الروسية. ومن بين تلك المواقع موقع إخباري حكومي، RT News، الذي أكد أنه تعرض لهجوم رفض الخدمة الموزع (DDoS) Distributed Denial-of-Service .
ووصف Anonymous الموقع الإخباري بأنه "دعاية"، وقال إن هجوم DDoS نُفذ "ردًا على غزو الكرملين الوحشي لأوكرانيا".
ثم غردت Anonymous يوم الجمعة بأنها "انتهكت بنجاح قاعدة بيانات موقع وزارة الدفاع الروسية وسربتها"، وادعت أنها نشرت "جميع البيانات الخاصة لوزارة الدفاع الروسية". (تم حذف التغريدة لاحقًا لأنها "انتهكت قوانين تويتر"، كما يقول الموقع).
كانت المجموعة قد غردت في وقت سابق مقطع فيديو، يظهر شخصية ملثمة تحمل توقيع Guy Fawkes، قائلة إنه "إذا استمرت التوترات في التفاقم في أوكرانيا، فيمكننا أخذ أنظمة التحكم الصناعية كرهائن".
قال Casey Ellis، مؤسس ورئيس قسم التكنولوجيا في Bugcrowd، إن مشاركة Anonymous ليست مفاجأة لأن المجموعة "معروفة بامتلاكها موقفًا مبدئيًا بشأن الموضوعات ومن ثم التصرف أو الانتقام عبر الإنترنت".
مجموعة قراصنة ثانية كشفت عن نواياها لدعم أوكرانيا، وهي Ghost Security، والمعروفة أيضًا باسم GhostSec، والتي يُعتقد أنها فرع من Anonymous.
Conti
ومن غير المفاجئ أيضًا أن Conti- التي يُعتقد أنها مجموعة ترعاها الدولة وتعمل خارج روسيا ومسؤولة عن مئات من هجمات الفدية في السنوات الأخيرة- قد دعمت الجانب الروسي.
وفقًا للتقارير، نشرت شركة كونتي Conti رسالة على موقعها على شبكة الإنترنت المظلمة، قائلة إن "فريق كونتي يعلن رسميًا عن الدعم الكامل للحكومة الروسية".
وجاء في الرسالة، وفقًا للتقارير: "إذا قرر أي شخص تنظيم هجوم إلكتروني أو أي أنشطة حربية ضد روسيا، فسنستخدم جميع مواردنا الممكنة لرد الضربة على البنى التحتية الحيوية للعدو".
قال كريس مورغان Chris Morgan، كبير محللي استخبارات التهديدات الإلكترونية senior cyber threat intelligence analyst في شركة Digital Shadows، إن البيان "يمثل أول مجموعة كبرى لمجرمي الإنترنت تدعم علنًا المجهود الحربي الروسي".
كما يأتي بعد العديد من التحذيرات من المسؤولين الأمريكيين، الذين أكدوا أن "خطر نشاط برامج الفدية قد يتصاعد مع تأثير العقوبات على روسيا"، كما قال مورجان.
حددت Digital Shadows شركة Conti باعتبارها ثاني أكثر مجموعات برامج الفدية نشاطًا في عام 2021، من حيث عدد الضحايا، ونسبت العديد من الهجمات ضد البنية التحتية الوطنية الحيوية إلى المجموعة- بما في ذلك هجوم الفدية المدمر ضد الخدمة الصحية في أيرلندا في مايو 2021.
قال Ellis إن بيان موقف كونتي "جدير بالملاحظة في ضوء الإجراءات الصارمة التي شنتها روسيا مؤخرًا على جرائم الإنترنت وبرامج الفدية". "إنه يشير إلي أنهم إما يتصرفون بشكل مستقل كما يبدو أن المجموعات الأخرى، أو ربما يعملون بمباركة الكرملين".
مجموعات أخرى
في هذه الأثناء، في أوكرانيا، ألقى فريق الاستجابة للطوارئ الحاسوبية (CERT) Computer Emergency Response Team باللوم على "UNC1151"، وهي مجموعة قرصنة تضم "أعضاؤها ضباط وزارة الدفاع في جمهورية بيلاروسيا"، لارتكاب موجة من هجمات التصيد الاحتيالي Phishing attacks.
استهدفت الهجمات العسكريين الأوكرانيين، وكذلك "الأفراد المرتبطين بهم"، بحسب ما قاله مركز الاستجابة للطوارئ في منشور فيسبوك Facebook.
أعلنت مجموعتان أخريان على الأقل من المتسللين عن دعمهما لروسيا: The Red Bandits (مجموعة تصف نفسها بأنها "مجموعة جرائم إلكترونية من روسيا"، والتي نشرت ادعاءات بشأن هجمات إلكترونية ضد أوكرانيا هذا الأسبوع) و CoomingProject (مجموعة برامج الفدية الموصوفة بأنها " نشط بشكل متقطع").
المياه الموحلة MuddyWater
في خضم الهجمات الروسية على أوكرانيا يوم الخميس، نشرت CISA تحذيرًا بشأن MuddyWater، وهي شركة APT إيرانية ترعاها الدولة. وقد لوحظت المجموعة "تجري تجسسًا إلكترونيًا وعمليات إلكترونية خبيثة أخرى تستهدف مجموعة من مؤسسات القطاعين الحكومي والخاص عبر القطاعات- بما في ذلك الاتصالات والدفاع والحكومة المحلية والنفط والغاز الطبيعي- في آسيا وإفريقيا وأوروبا و أمريكا الشمالية"، كمت كتب CISA في منشور.
قال Drew Schmitt، محلل استخبارات التهديدات الرئيسي في GuidePoint Security، إن توقيت الكشف "مثير للاهتمام مع اندلاع الهجمات الإلكترونية والصراع في أوكرانيا بشكل متوازٍ".
وقال Schmitt إن الكشف يشير إلى احتمال "أن يكون هذا هو قيام إيران بتكثيف عملياتها على أساس وجهة نظر مشتتة للعالم"، رغم أن هذا ليس نهائيًا.
بشكل عام، يُظهر التطور أنه مع قيام المزيد من الدول بتطوير القدرات السيبرانية، فإن المزيد قادم للعب، وفقًا لـ John Bambenek، صائد التهديدات الرئيسي في Netenrich. وقال Bambenek: "لا توجد ساحة تدريب أفضل للفاعلين في الدولة القومية من اللعب في منطقة حرب نشطة".
اغتنام الفرصة Seizing the opportunity
قال ريتشارد فليمان Richard Fleeman، نائب الرئيس لعمليات اختبار الاختراق في Coalfire، إنه بدون شك، ستستخدم بعض الجماعات- والجهات الفاعلة في الدولة القومية- غزو أوكرانيا كفرصة لتصعيد هجماتهم الإلكترونية المستمرة "وسط الفوضى العالمية".
وقال فليمان، بالنظر إلى المستقبل، "أعتقد أننا سنرى التصعيد المستمر". "هذه المجموعات تزدهر على المشاعر ومن المرجح أن تستمر في بناء الزخم بناءً على أهدافها".
وافق Curry، قائلاً إن المزيد من المجموعات "سوف تتراكم، وفي حالة الارتباك ستجري الجهات الفاعلة الأخرى عمليات مع إنكار معقول".
وقال: "دعونا نأمل جميعًا في أن يسود العقل، ولكن دعونا نجهز سياساتنا واستعداداتنا مع توقع أن السلام ربما يكون أبعد مما يرغب فيه أي شخص".
قال Ellis إن أحد الشواغل المتعلقة بالتطور هو الصعوبة النسبية للإسناد في الهجمات الإلكترونية- فضلاً عن احتمال الإسناد غير الصحيح أو "حتى عملية العلم الكاذب المتعمدة التي تصعد الصراع دوليًا".
في خضم الهجمات الروسية على أوكرانيا يوم الخميس، نشرت CISA تحذيرًا بشأن MuddyWater، وهي شركة APT إيرانية ترعاها الدولة. وقد لوحظت المجموعة "تجري تجسسًا إلكترونيًا وعمليات إلكترونية خبيثة أخرى تستهدف مجموعة من مؤسسات القطاعين الحكومي والخاص عبر القطاعات- بما في ذلك الاتصالات والدفاع والحكومة المحلية والنفط والغاز الطبيعي- في آسيا وإفريقيا وأوروبا و أمريكا الشمالية"، كمت كتب CISA في منشور.
قال Drew Schmitt، محلل استخبارات التهديدات الرئيسي في GuidePoint Security، إن توقيت الكشف "مثير للاهتمام مع اندلاع الهجمات الإلكترونية والصراع في أوكرانيا بشكل متوازٍ".
وقال Schmitt إن الكشف يشير إلى احتمال "أن يكون هذا هو قيام إيران بتكثيف عملياتها على أساس وجهة نظر مشتتة للعالم"، رغم أن هذا ليس نهائيًا.
بشكل عام، يُظهر التطور أنه مع قيام المزيد من الدول بتطوير القدرات السيبرانية، فإن المزيد قادم للعب، وفقًا لـ John Bambenek، صائد التهديدات الرئيسي في Netenrich. وقال Bambenek: "لا توجد ساحة تدريب أفضل للفاعلين في الدولة القومية من اللعب في منطقة حرب نشطة".
اغتنام الفرصة Seizing the opportunity
قال ريتشارد فليمان Richard Fleeman، نائب الرئيس لعمليات اختبار الاختراق في Coalfire، إنه بدون شك، ستستخدم بعض الجماعات- والجهات الفاعلة في الدولة القومية- غزو أوكرانيا كفرصة لتصعيد هجماتهم الإلكترونية المستمرة "وسط الفوضى العالمية".
وقال فليمان، بالنظر إلى المستقبل، "أعتقد أننا سنرى التصعيد المستمر". "هذه المجموعات تزدهر على المشاعر ومن المرجح أن تستمر في بناء الزخم بناءً على أهدافها".
وافق Curry، قائلاً إن المزيد من المجموعات "سوف تتراكم، وفي حالة الارتباك ستجري الجهات الفاعلة الأخرى عمليات مع إنكار معقول".
وقال: "دعونا نأمل جميعًا في أن يسود العقل، ولكن دعونا نجهز سياساتنا واستعداداتنا مع توقع أن السلام ربما يكون أبعد مما يرغب فيه أي شخص".
قال Ellis إن أحد الشواغل المتعلقة بالتطور هو الصعوبة النسبية للإسناد في الهجمات الإلكترونية- فضلاً عن احتمال الإسناد غير الصحيح أو "حتى عملية العلم الكاذب المتعمدة التي تصعد الصراع دوليًا".
حالة غير مسبوقة Unprecedented situation
قال Morgan إنه بينما يجب أن تدرك جميع قطاعات الصناعة التداعيات المحتملة من زيادة نشاط مجموعة القراصنة، قد تكون قطاعات معينة في الغرب أكثر عرضة للاستهداف.
وقال إن قطاع الخدمات المالية وقطاع الطاقة سيكونان "في خطر خاص، إذا استهدفت مجموعات التهديد المتحالفة مع روسيا المنظمات التي تعتبرها معادلة لتلك المتأثرة بالعقوبات الغربية".
من نواح كثيرة، هذه منطقة مجهولة، نظرًا لأن العالم لم يكن لديه حرب مثل هذه تحدث في وقت كانت فيه القدرات الإلكترونية متطورة وواسعة الانتشار. قال Danny Lopez، الرئيس التنفيذي لشركة Glasswall، إنه موقف "غير مسبوق"- لكنه "ليس غير متوقع".
قال Lopez: "انضمت الإنترنت إلى الأرض والبحر والجو لتصبح رابع مسرح للنزاع". وسواء كانت المجموعات التي ترعاها الدولة أو وكلائها"، وقال: "أعتقد أن الإنترنت هو جبهة الحرب الجديدة".
