سنغافورة - جيريمي واجستاف (رويترز) - الباحثون في المجال الأمني يطلقون على الجماعة التي يشتبه أنها مسؤولة عن الهجوم الالكتروني على مكتب إدارة شؤون العاملين التابع للحكومة الأمريكية أسماء عديدة منها الفهد الوردي وقطيطات الكونج فو والمجموعة 72 وأشهر هذه الأسماء ديب باندا.
غير أن جاريد مايرز وزملاءه في شركة آر.إس.ايه للأمن الالكتروني يسمون هذه الجماعة شل كرو. كما أن فريق مايرز من الفرق القليلة التي شهدت نشاط هذه الجماعة أثناء هجوم بل وصدته في نهاية الأمر.
وتصور رواية مايرز عن معركة استمرت شهرا بطوله مع الجماعة التحديات التي تواجهها الحكومات والشركات في الدفاع في مواجهة متسللين يعتقد الباحثون أنهم مرتبطون الحكومة الصينية. وتنفي بكين هذا الاتهام.
وقال مايرز في مقابلة "جماعة شل كرو موهوبة وفي غاية الكفاءة."
والجماعة أيا كان اسمها واحدة من عدة جماعات من المتسللين اتهمتها شركات الأمن الالكتروني الغربية بالتسلل إلى شبكات في الولايات المتحدة ودول أخرى وسرقة وثائق حكومية دفاعية وصناعية.
وعرض الهجوم على شبكة إدارة شؤون العاملين الذي تم الكشف عنه هذا الشهر بيانات أربعة ملايين موظف اتحادي سابق وحالي للخطر وأثار شكوكا أمريكية أن المتسللين الصينيين يكونون قواعد بيانات ضخمة يمكن استخدامها لتجنيد جواسيس.
ونفت الصين أي صلة لها بالهجمات ولا يعرف الكثير عمن وراءها.
لكن خبراء الأمن الالكتروني بدأوا يتعلمون الكثير عن وسائلهم.
[IMG]http://motherboard-images.vice.com/content-images/article/13535/1404829754519173.jpg?crop=0.896888888888889xw:1xh;*,*&resize=1200:*&output-format=jpeg&output-quality=90[/IMG]
وربط الباحثون ثغرة الدخول على شبكة إدارة شؤون العاملين بهجوم سابق على شركة أنثيم الأمريكية للتأمين الطبي اتهم البعض جماعة ديب باندا بارتكابه.
ويقول مايرز من شركة آر.إس.ايه إنه ليس لدى فريقه أي دليل على أن جماعة شل كرو وراء الهجوم على إدارة شؤون العاملين لكنه يعتقد أن شل كرو وديب باندا جماعة واحدة.
كما أن هذه الجماعة ليست جديدة في التجسس الالكتروني.
وتقول شركة كراود سترايك للأمن الالكتروني التي أطلقت اسم ديب باندا على الجماعة لما ترى من ارتباطها بالصين إنها تتبعت أنشطة الجماعة حتى عام 2011 عندما شنت هجمات على منشات الدفاع والطاقة والصناعات الكيماوية في الولايات المتحدة واليابان.
شل كرو أثناء الهجوم
في فبراير شباط عام 2014 استدعت شركة أمريكية تعمل في تصميم وصناعة المنتجات التكنولوجية شركة آر.إس.ايه التابعة لمجموعة إي.إم.سي لإصلاح مشكلة ما. وأدركت آر.إس.ايه أن المشكلة أكبر فقد كان متسللون داخل شبكة الشركة يسرقون بيانات حساسة.
ويتذكر مايرز أنه قال لمسؤولي الشركة "في الواقع لديكم مشكلة الان."
وعرف فريق مايرز أن المتسللين كانوا يزاولون نشاطهم في شبكة الشركة منذ أكثر من ستة أشهر. لكن الهجوم يرجع إلى فترة سابقة على ذلك. فعلى مدى شهور ظلت جماعة شل كرو تفحص دفاعات الشركة وتستخدم كود برمجيات يستغل نقاط ضعف معروفة في أنظمة الكومبيوتر لمحاولة فتح ثغرة في أجهزة الخادم.
غير أنه ما أن وجدت الجماعة سبيلا للدخول حتى انتقلت بسرعة إدراكا منها أن هذه هي النقطة التي يرجح اكتشافها عندها.
التصيد
في العاشر من يوليو تموز عام 2013 جهزت الجماعة حسابا لمستخدم مزيف على بوابة هندسية. وتم تحميل مجموعة من البرامج الخبيثة على الموقع وبعد 40 دقيقة أرسل الحساب المزيف رسائل بالبريد الالكتروني إلى موظفي الشركة مصممة لخداع شخص بالضغط على رابط يقوم بدوره بتنزيل البرمجيات الخبيثة وفتح الباب.
ويقول مايرز إن التنسيق الزمني كان عاليا للغاية.
وبمجرد انخداع أحد العاملين بالبريد الالكتروني دخلت جماعة شل كرو إلى الشبكة وخلال ساعات كانت تتجول فيها. وبعد يومين أعادت الشركة ضبط كلمات السر. لكن الأوان قد فات فجماعة شل كرو كانت قد حملت برمجيات لفتح أبواب خلفية ووسائل أخرى للدخول إلى الشبكة والخروج منها.
وعلى مدى الخمسين يوما التالية كانت الجماعة تتحرك بحرية فرسمت خريطة للشبكة وأرسلت كل ما توصلت إليه إلى قاعدتها. وقال مايرز إن السبب في ذلك أن المتسللين يعملون بالتنسيق مع طرف آخر يعرف المطلوب سرقته.
وفي أوائل سبتمبر ايلول عام 2013 عادوا بأهداف محددة. وعلى مدى أسابيع ظلوا يستخرجون بغيتهم من كمبيوترات الشركة ونسخوا بيانات هائلة. وكانوا مستمرين في نشاطهم عندما اكتشفهم فريق آر.إس.ايه بعد ما يقرب من خمسة أشهر.
وبذل فريق مايرز جهدا كبيرا في اقتفاء أثر تحركات الجماعة لمعرفة ما سرقته. ولم يتمكن من التحرك ضدها إلا بعد التأكد من قدرته على طردها إلى غير رجعة.
واستغرق الأمر شهرين قبل اغلاق الباب في وجه جماعة شل كرو.
غير أن الجماعة عادت خلال أيام لتحاول الدخول مرة أخرى وشنت مئات الهجمات عبر أبواب خلفية وبرمجيات خبيثة.
ويقول مايرز إنها مازالت تحاول الدخول إلى اليوم رغم أن كل المحاولات باءت بالفشل.
وأضاف "إذا كانوا مستمرين في محاولة الدخول فهذا يجعلك تدرك أنك نجحت في منعهم."
مواقع النشر