نشر موقع “دارك ريدنج” مقالا أعدته كيلي جاكسون هيغنز وصفت فيه نتائج بحث منظمة متخصصة بالأمن الإلكتروني كشفت فيه أن مزودي تكنولوجيا المعلومات في السعودية تعرضوا لهجمات إلكترونية في العام الماضي حيث تم الهجوم على كبار المزودين لتكنولوجيا المعلومات في المملكة كنقطة انطلاق للهجوم على الأهداف الكبرى في المنطقة.
وقال الباحثون في منظمة “سيمانتيك” إن المهاجمين يعملون على ما يبدو منذ تموز (يوليو) 2018 ويمثلون مجموعة لم يتم تحديد هويتها والتي عمدتها الشركة باسم “تورتويزشل”. واستطاعت المجموعة اختراق 11 منظمة معظمها في السعودية وجزءا كبيرا من مزودي تكنولوجيا المعلومات حيث استخدموا الأدوات الجاهزة وبرمجيات خبيثة. وفي منظمتين تم تعريضهما للخطر حصل المهاجمون على الحساب الرئيسي مما أعطاهم القدرة على الوصول إلى كل الشبكات التابعة لهما.
ويقول الباحثون إن تورتويزشل لا تتبع على ما يبدو أي جماعة في الشرق الأوسط، إلا أن واحدة من المنظمات التي تعرضت للهجوم تم اختراقها عبر “باكدور سكايكت” ويمكن تحميله وتشغيله من خلال أدوات إضافية ولوحات التحكم. وقامت الجهات التي تقف وراءه بتطويره في برنامجي ديلفي ونيت. وتم ربط المجموعة بحساب له ارتباط بمجموعة على علاقة بالدولة الإيرانية اسمها “أويل ريغ” أو “إي بي تي 34”. وحتى منظمة سيمانتيك لم تعثر على علاقة بين تورتيوزشل وأويل ريغ.
ويقول المحلل البارز في مجال التهديد الأمني بسمانتيك جون ديماغجيو “لا يوجد تداخل في الشيفرة أو بنية مشتركة” و “لهذا وضعنا هذا النشاط في سلة خاصة”.
ولا يتم ربط الدول التي تعرضت لتهديدات إلا في حالة حددتها الولايات المتحدة. وفي الوقت الذي تخلت الدول فيه التي تحاول القرصنة تجنب البرمجيات الخبيثة واستخدام طرق جاهزة للبقاء تحت الرادار إلا أن “تورتيوزشل” يحاول الجمع بين الأبواب الخلفية والأدوات القانونية مثل “باورشل” للتعمية على نشاطها.
ويقول ديماغجيو “نظريتي هي أن الدول تقوم بشكل رئيسي باستخدام ما لديها من ادوات في الوضع لأنه سيساعدهم على تجنب الكشف، والسبب الوحيد هو انشاء اداة تحتاجها في ذلك المناخ”، ولم تحدد سيمانتيك الصناعات أو القطاعات التي كانت من ضحايا “تورتيوزشل”. وفي واحد من الحالات تعرضت شبكتين للخطر وتم إعطاب عددا من الماكينات “وهذا انجاز مهم لهجوم مستهدف” كما يقول ديماغجيو.
ولأن المهاجمين كافحوا للوصول إلى الألة المستهدفة فإنهم عطلوا عددا من الآلات الأخرى. وتقول سمانتيك إن توجه الهجوم لم يكن معروفا عند هذه النقطة إلا أن الضحايا أو الأهداف ضربت من خلال قاعدة بيانات مخترقة. فبحسب تقرير “سيمانتيك” فالإشارات الأولى التي ظهرت على واحدة من الضحايا هي وجود برمجية خبيثة على الشبكة” مما يعني أن المهاجمين اخترقوا قاعدة بيانات واستخدموا من خلالها برمجية خبيثة لضرب بقية الشبكة. ومن خلال الهجوم تتم سرقة التفاصيل على الآلة بما فيها قواعد الإنترنت والتطبيقات ونظام المعلومات وروابط الشبكة.
ويقول جون بامبنيك مدير الأمن الإلكتروني في مؤسسة “ثريتسوب” إنه عثر على ثلاث هاشتاغات استخدمت “سكايكت” وشارك فيها “سيمانتيك” وتشبه قواعد يارا المرتبطة بمجموعة تشارمينغ كيتن وهي مجموعة مرتبط بالدولة الإيرانية. وتقوم هذه المجموعة باستهداف ضحايا يعملون في الأبحاث الأكاديمية ومنظمات حقوق الإنسان وصناعة الإعلام في الولايات المتحدة وإسرائيل وبريطانيا. وليس من الواضح ما هو التداخل خاصة أن هذه المجموعات عادة ما تستخدم أدوات الآخرين أو تشاركهم بها، مما يصعب نسبة الهجوم لهذا الطرف أو ذلك. ولا يستبعد بامبكينك مواصلة إيران هجماتها الإلكترونية والتجسس الإلكتروني خاصة أنها تعاني من عقوبات اقتصادية من الولايات المتحدة. ولهذا فعمليات التجسس الإلكتروني تظل غير مكلفة لها. وفي الوقت نفسه ظلت صناعة النفط والغاز السعودية هدفا لإيران بدء من الهجوم على البيانات في السعودية عام 2012 وهجمات شامون وتريتون.
