“نوت بيتيا”.. الفيروس الأشد فتكاً في تاريخ الإنترنت

موح أوبيهي

في أقل من 45 ثانية، أكلَت قطعة فيروس واحدة قادمة من روسيا أجهزة الحاسوب في أوكرانيا، حيث أصاب البرنامج الخبيث أربعة مستشفيات في العاصمة كييف ومطارين ومعظم الوكالات الفدرالية. وفي اليوم نفسه انهارت 6 من أكبر شبكات الكهرباء في البلد، وتوقف أكثر من 22 بنكاً عن العمل، كما تعطلت كل أجهزة الصراف الآلي وأنظمة الدفع ببطاقات الائتمان.

 

فيروس متحرك.. شلل تام وسريع

انتقل الفيروس بسرعة شديدة من القطاع البنكي إلى البيوت، فتسبب بفوضى عارمة. وقد أدى الشلل الكامل في البنوك إلى غياب السيولة النقدية وتحولت بطاقات الائتمان إلى مجرد قطع بلاستيكية لا قيمة لها في جيوب الزبائن، فأصاب الذعر آلاف الأوكرانيين العاجزين عن التسوق، وبدأ البعض يتحدث عن مجاعة قادمة، بينما تخوّف كبار السن والعجزة من البرد الشديد نتيجة عدم قدرتهم على تسديد فواتير الغاز والتدفئة.

وفي أقل من ساعتين، انتقل الفيروس إلى كوبنهاغن عاصمة الدانمارك، فتسبب بشلل تام لشركة “ميرسك سيلاند” إحدى أضخم الشركات العاملة في مجال الحاويات والشحن على مستوى العالم؛ فهي تمتلك ما يقرب من 800 سفينة بحرية، ومسؤولة عن 76 ميناءً عبر العالم.

من كوبنهاغن، قفز الفيروس إلى بلدان أوروبية عديدة وتسبب في خسائر مادية في الولايات المتحدة الأمريكية. ولم يستثن هذا الوحش الإلكتروني روسيا الاتحادية أيضا نفسها، حيث أصاب أجهزة شركة “روس نفت”، وهي من أكبر الشركات الروسية الرائدة في مجال استخراج وتكرير النفط.

 

حرب إلكترونية.. شراسة من غير انفجارات أو دماء

في 2014، عزل الأوكرانيون الرئيس فيكتور يانوكوفيتش القريب من روسيا، وحاولوا التودّد إلى الغرب على أمل الالتحاق بالاتحاد الأوروبي، وحاولت النخبة القريبة من الغرب في العاصمة “كييف” إدارة الظَّهر للجار اللدود روسيا وطيّ الإرث السوفياتي نهائيا. لكن الجغرافيا والتاريخ لهما منطقهما أيضا في العلاقات الدولية. فبعد أسابيع من عزل يانوكوفيتش اندلعت مظاهرات حاشدة مؤيدة لروسيا في المناطق الشرقية “دونيتسك وهانسك” المعروفة بـ”دونباس”، وتزايد زخم الاحتجاجات بعد أن سقطت شبه جزيرة القرم من الخريطة الأوكرانية بشكل أبدي إثر استفتاء شعبي اختار الانضمام إلى “الأم روسيا”.

أثارت الخطوة الروسية سخطا غربيا كبيرا، وفي الوقت نفسه نشب صراع مسلح بين متمردين مؤيدين لموسكو في منطقة “دونباس” -التي تقطنها أغلبية عرقية روسية- وقوات الحكومة الأوكرانية. وتدخلت روسيا في مراحل كثيرة لدعم الجماعات الانفصالية المؤيدة لها بالسلاح والمرتزقة، بينما دعمت الدول الغربية الحكومة في كييف بالمال والعتاد العسكري أيضا، لتتحول أوكرانيا مرة أخرى إلى أرض للصراع بين موسكو والغرب، وأسفر الاحتراب هناك عن مقتل أزيد من 13 ألف شخص.[1]

في ظل هذه الظروف، استخدمت روسيا عصابتين إلكترونيتين بين عامي 2015 و2016 لخوض حرب موازية على الإنترنت بهدف الفتك بالحواسيب وتخريب البيانات وتعطيل خدمات البُنى التحتية في أوكرانيا وفي بعض الدول الغربية أيضا.

وبشكل أساسي، استخدمت مجموعةَ تجسس إلكترونية معروفة بـ”الدب الأنيق” (Fancy Bear) لاختراق حملة “هيلاري كلينتون” المرشَّحة لرئاسة الولايات المتحدة ونشر رسائل من بريدها الإلكتروني. وكانت موسكو استخدمت هذه المجموعة لاختراق وزارات حكومة جورجيا خلال الحرب الروسية الجورجية في صيف 2008 أسفرت عن إعلان موسكو استقلال منطقتي “أوسيتيا الجنوبية” و”أبخازيا” عن “تبليسي”.[2]

لكن المجموعة الأخطر على الإطلاق كانت العصابة الإلكترونية المعروفة بـ”دودة الرمال” (Sandworm) التي صممت الفيروس الذي ضرب أوكرانيا في حزيران/يونيو 2017 وتسبب بشلل القطاع المصرفي وشبكات الكهرباء وشركات النقل البحري والمطارين وشبكة الإنترنت العامة، وأُطلق عليه منذئذ اسم “نوت بيتيا” (NotPetya) ليصبح بذلك الهجوم السيبراني الأكثر تدميرا في تاريخ الإنترنت.[3]

 

بيتيا أم ليس بيتيا؟

عندما ضرب “نوت بيتيا” أنظمة الحاسوب في أوكرانيا سنة 2017، اعتقد مصممو البرامج المضادة للفيروسات أنه أحد أنواع برمجيات الفِدية الذي اكتُشف لأول مرة في عام 2016 وأطلقوا عليه اسم “بيتيا” (Petya).

ببساطة شديدة، يصيب “بيتيا” الأجهزة العاملة بنظام التشغيل ويندوز، ويقوم بتشفير جميع البيانات المخزنة على جهاز الحاسوب، ويطلب من المستخدم دفع 300 دولار أمريكي على شكل عملية رقمية (غالبا بيتكوين) مقابل استعادة البيانات.

وقد انتشر هذا الهجوم الإلكتروني بواسطة رسائل وروابط لتحميل ملفات على البريد الإلكتروني. فبمجرد أن يضغط المستخدم على الرابط المرسل له، يتم تشفير بياناته على الفور، ليصبح صاحب الجهاز غير قادر على الوصول إليها من دون تسديد تلك الفدية.

وقد انتشر الفيروس في أكثر من 150 دولة حول العالم، وأوقع أكثر من 200 ألف ضحية، معظمهم في الدول الغربية الغنية التي اضطر المواطنون والشركات فيها إلى الدفع مقابل الإفراج عن بياناتهم.

وفي الأصل، أخذ الفيروس اسمه من لقطة من فيلم “العين الذهبية” (GoldenEye) التي يظهر فيها “جيمس بوند” وهو يحاول منع قمر صناعي سوفياتي يُدعى “بيتيا” من إلقاء قنبلة ذرية على الأرض؛ ومنه تم اختيار هذا الاسم في 2016 للتحذير من نأن هذا الفيروس لا يعرف الحدود الجغرافية، مثله مثل القنبلة الذرية على مستوى قوة الفتك.

وفي عام 2017، تفاجأ المبرمجون بشركة “كاسبرسكي لاب” الروسية المتخصصة في أمن الحواسيب بفيروس ظنوه في البداية “بيتيا” نفسه، وحين اكتشفوا أنه ليس كذلك بل فيروس أشد فتكا أطلقوا عليه اسم “نوت بيتيا” (Not Petya)؛ بمعنى أنه “ليس بيتيا” لتحذير الزبائن من أن تسديد الفِدى لن يجدي نفعا، وأن كل البيانات التي يصل إليها الفيروس الجديد ستتعرض للمحو والتخريب بطريقة عشوائية وعلى الفور. والسبب في الخلط الذي حدث بينهما أن فيروس “نوت بيتيا” شبيه إلى حد بعيد بفيروس “بيتيا”، لكنه مصمم للتخريب فقط وليس لدفع فدى.

 

فيروس فاتك.. قدرة غير مسبوقة

أخذ “نوت بيتيا” قدرته على الفتك من برنامج مسروق صمّمته وكالة الأمن القومي الأمريكية (NSA) للتجسس على مستخدمي الحواسيب العاملة بنظام التشغيل ويندوز. فقد أظهرت وثائق نشرها موقع ويكيليكس في 14 أبريل/نيسان 2017 تفاصيل أدوات اختراق تستخدمها المخابرات الأمريكية للتجسس على المستخدمين، من بينها برنامج “إيتيرنال بلو” (EternalBlue) الذي يستغل ثغرة في نظام ويندوز ليدخل من خلالها.

التقط القراصنة هذه البرمجية الحكومية المتاحة بالمجان واستخدموها في تصميم “نوت بيتيا”، وزوّدوها بتقنية أخرى قديمة نوعا ما تدعى “ميميكاتز” (Mimikatz) صممها الباحث في مجال الأمن السيبراني الفرنسي بنجامين ديلبي في عام 2011.

حاول بنجامين ديلبي تنبيه شركة مايكروسوفت إلى أن “ويندوز” الجديد يحتفظ بكلمات مرور المستخدمين في ذاكرة الجهاز حتى بعد الخروج نهائيا من جهاز الحاسوب، فقام بتصميم تقنية لتأكيد هذه الثغرة، لكنها سقطت بسرعة في أيدي المجرمين والقراصنة في “الإنترنت المظلم” الذي يُؤوي مواقع القرصنة وبيع الأسلحة والاتجار بالأعضاء البشرية وغيرها من الأنشطة الإجرامية.

استخدم مصممو “نوت بيتيا” هذه التقنية لسرقة كلمات مرور أي جهاز يمسّه الفيروس، وبمجرد الحصول عليها يقوم الفيروس بتحميلها إلى المواقع والتطبيقات الموجودة على الإنترنت في مدة وجيزة لا تتعدى 16 ثانية.

وتكمن خطورة “نوت بيتيا” بقدرته على القفز الآلي ونقل العدوى بسرعة مذهلة من جهاز إلى آخر. فعلى سبيل المثال، استغرق الهجوم على شركة “ميرسك سيلاند” الدانماركية أقل من ساعتين ليخرّب كل أجهزتها الإلكترونية في 130 دولة عبر العالم، مما تسبب بضياع كل البيانات الخاصة بالشحن واستقبال الحاويات، فأدى إلى توهان السفن الضخمة في الموانئ، وتعرُّض السلع الغذائية والمنتجات الخفيفة -مثل الفواكه والحلويات والخَضراوات- للتلف السريع في موانئ أمريكا وأوروبا، كما أدى إلى تبخّر بيانات الشركة بسرعة مهولة، لتتبخر معها ملايين الدولارات من أرباح الشركة.

ولمدة سبعة أيام كاملة، فشل مصممو البرامج المضادة للفيروسات في استعادة بيانات الشركة الدانماركية، فتحول مقرها إلى ما يشبه ورشة عالمية للبحث عن حلّ سريع قبل أن يؤدي تراكم الخسائر إلى نزيف يقود إلى الإفلاس. ولحسن حظ الشركة أن أحد الخوادم بقي خارج التغطية -منفصلا عن شبكة الإنترنت- في غانا بسبب انقطاع الكهرباء هناك.

وبعد أن تخلصت الشركة من كل الأجهزة المصابة بالفيروس (نحو 45 ألف حاسوب وملايين الأجهزة المرتبطة بها) بدأت الشركة تستعيد خدماتها على الإنترنت. ففي الأيام الأولى استعادت “ميرسك” القدرة على قراءة الملفات التي تعرضت للتلف، خاصة تلك المتعلقة بمحتويات السفن الضخمة التي ظلت دون هدف طيلة أسبوع. واستغرق الأمر أسبوعا آخر ليرجع العمل الطبيعي إلى ما كان عليه، لكن بعد أن تكبّدت الشركة خسائر مادية وصلت إلى قرابة مليار دولار.

 

فيروس سيبراني.. تدمير عابر للحدود

لم تكن “ميرسك” الشركة الوحيدة التي تعرضت لخسائر مالية ضخمة بسبب فيروس “نوت بيتيا”، فقد انتقلت العدوى إلى شركات أوروبية وأمريكية أخرى، إذ كان هدف مهندسي الفيروس الروس إصابة البُنى التحتية لأوكرانيا بالشلل التام أثناء الحرب الروسية الأوكرانية فقط، لكن الفيروس أثبت قدرته على تمزيق الخرائط وعبور الحدود بين الدول.

ويحذر خبراء الأمن السيبراني عادة من أمرين:

الأول: قدرة جماعات الاختراق السيبرانية على سرقة فيروسات تصممها دول كبيرة مثل الولايات المتحدة وروسيا والصين.

والثاني: استحالة التنبؤ بنطاق انتشار الفيروس على شبكة الإنترنت.

وقد ظهر هذا الأمر جليا في فيروس “نوت بيتيا” الذي أصاب أيضا إحدى شركات النفط الروسية المملوكة للدولة.

وفي المجمل، تسبب فيروس “نوت بيتيا” في خسائر مالية قُدرت بعشرة مليارات دولار، منها خسارة شركة “ميرك آند كو” المتخصصة في صناعة الدواء ومقرها “كينيلورث” بولاية “نيوجيرسي” الأمريكية لنحو 870 مليون دولار، وخسارة شركة “فيديكس” لخدمات توصيل البريد السريع ومقرها الرئيسي “ميمفيس” بولاية “تينيسي” الأمريكية لـ400 مليون دولار إلى جانب تعرّض بعض خدماتها للشلل مما استدعى شهورا لاستعادة بعض البيانات، وأيضا خسارة العملاق الفرنسي المتخصص في مواد البناء “سان غوبان” لنحو 400 مليون دولار، وأخيرا تعرُّض “مجموعة موندليز” الدولية لصناعة المواد الغذائية والشوكولاته لخسائر تعدت 188 مليون دولار، بالإضافة إلى شركات أخرى صغيرة لا حصر لها خسرت الملايين في هذا الهجوم الإلكتروني.

 

الحروب السيبرانية.. والحروب التقليدية

يعتبر “نوت بيتيا” الهجوم السيبراني الأكثر تدميرا في التاريخ، إذ تسبب بخسائر مالية مهولة، وكاد يُسقط أرواحا في أوكرانيا. فالمستشفيات التي تعرضت للهجوم في العاصمة “كييف” كانت محظوظة بأن انقطاع الكهرباء وتدمير البيانات لم يصادف وقت إجراء عمليات جراحية مثلا.

لكن الخبراء في المجال السيبراني لا يستبعدون إمكانية أن تؤدي الحروب الإلكترونية في شبكة الإنترنت إلى تصعيد سياسي وعسكري يسفر عن نشوب حروب تقليدية بين الدول، خاصة وأن بعض الضربات الإلكترونية فتاكة وقد تؤدي إلى سقوط أرواح.

وحاليا، تفكر دول مثل الولايات المتحدة وأستراليا وبريطانيا ودول أخرى باللجوء جِدّيا إلى الحروب التقليدية في حالات خاصة كتعرض أحد السدود للتدمير فيتسبب في مقتل أشخاص، أو إن أسفر هجوم إلكتروني عن إتلاف بيانات الملاحة الجوية؛ الأمر الذي قد يؤدي إلى تصادم الطائرات في السماء.

وبشكل عام، تتسامح الدول عبر العالم مع الهجمات الإلكترونية التي لا تخلّف قتلى. فبحسب “الإستراتيجية الجديدة للأمن القومي الأمريكي في المجال السيبراني” لا يعد تعطيل مواقع الويب الرسمية والتلاعب بالمعطيات أو سرقة البيانات السرية عملا من أعمال الحرب.

ولا يزال الجدل محتدما بشأن ردة فعل واشنطن حيال بعض السيناريوهات المحتملة كهجوم إلكتروني مفاجئ على “بورصة نيويورك” يؤدي إلى تخريب الأنظمة المالية بشكل كامل، إذ يعتبر بعض الخبراء الأمريكيين أن مثل هذا الهجوم يشكل -دون شك- عملا من أعمال الحرب التي تستدعي تدخل الجيش الأمريكي، بينما يرى آخرون أن الرد بحرْب تقليدية مسألة غير مبررة على الإطلاق في القانون الدولي.

 

ليست روسيا فقط

يبدو أن روسيا ليست الدولة الوحيدة التي تستخدم الهجمات الإلكترونية ضد أعدائها في الغرب، فأمريكا أيضا تستخدم البرامج التخريبية والتجسسية على الدوام ضد خصومها. وأبرز مثال على ذلك فيروس “ستاكس نت” (Stuxnet) الذي صممته سوية أمريكا وإسرائيل وتسبب بتعطيل قرابة ألف جهاز من أجهزة الطرد المركزي المستخدمة في تخصيب اليورانيوم في “محطة نتانز” الإيرانية سنة 2010.[4]

وقد حذر السفير الروسي لدى حلف شمال الأطلسي “ناتو” آنذاك من أن الفيروس يُنذر بوقوع كارثة نووية على شاكلة تشيرنوبل التي وقعت في عام 1986 في أوكرانيا يوم كانت جزءا من الاتحاد السوفياتي.

ومن تلك الهجمات الإلكترونية الأمريكية أيضا الهجوم الذي استهدف نظام الدفاع الجوي الصربي سنة 1998 لاختراقه بهدف تسهيل قصف أهداف صربية. وهو الأسلوب نفسه الذي استخدمته إسرائيل ضد الدفاعات الجوية السورية من أجل تدمير ما اعتبرته مفاعلا نوويا سوريا في منطقة شرقي دير الزور في ضربة جوية عام 2007.

وتعد إيران إحدى الدول الصاعدة في مجال الحرب الإلكترونية منذ أن تعرضت للهجوم الإسرائيلي الأمريكي في 2010. فقد أشارت تقارير دولية إلى اعتماد طهران على مجموعة تدعى “فوسفوراس” لاختراق جامعات غربية ومؤسسات حكومية وبنوك. وفي 2013 اشتكت بعض أكبر البنوك الأمريكية مثل “بنك أوف أمريكا” وبنك “سيتي غروب” وبنك “ولس بارغو”، من تعطّل مواقعهم الإلكترونية نتيجة هجمات إلكترونية قادمة من إيران.

وفي أكتوبر الماضي ، قالت شركة مايكروسوفت إن مجموعة “فوسفوراس” المعروفة أيضا باسم (35APT) نفّذت في غضون 30 يوما -بين أغسطس/آب وسبتمبر/أيلول 2019-  أكثر من 2700 هجمة إلكترونية طالت صحفيين أمريكيين ومسؤولين في الحكومة الأمريكية وحسابات مرتبطة بحملة أحد المرشحين لانتخابات الرئاسة الأمريكية المقررة في نوفمبر/تشرين الثاني 2020، في إشارة إلى حملة دونالد ترامب للرئاسة.[5]

المصادر:

[1] https://www.un.org/press/en/2019/ga12122.doc.htm
[2] https://www.theguardian.com/technology/2016/jul/29/cozy-bear-fancy-bear-russia-hack-dnc
[3] https://www.wired.com/story/sandworm-kremlin-most-dangerous-hackers/
[4] https://www.mcafee.com/enterprise/en-us/security-awareness/ransomware/what-is-stuxnet.html
[5] https://blogs.microsoft.com/on-the-issues/2019/10/04/recent-cyberattacks-require-us-all-to-be-vigilant/