«أيدٍ خفية على المفاتيح»: من داخل الحصار السيبراني على مراكز الأعصاب الصناعية في أميركا

يحذّر خبراء: اختراق قراصنة مرتبطين بإيران لأنظمة التحكم الصناعي الأميركية قد يكون مجرد بداية لعصر جديد من الحرب السيبرانية-الفيزيائية.

بدأ الأمر كهمس: تنبيهات طارئة، تعثّرات مفاجئة في الأنظمة، وبيانات غير مفسّرة على شاشات المشغّلين. وبحلول الوقت الذي أكدت فيه الوكالات الأميركية أن قراصنة مرتبطين بإيران كانوا يتغلغلون بنشاط في البنية التحتية الحيوية للبلاد - ويعبثون بالآلات غير المرئية التي تُبقي المياه جارية والأنوار مضاءة - أصبح التهديد السيبراني ملموسًا على نحو مقلق. والآن، ومع انقشاع غبار أسبوع من التحذيرات، يجد عالم الأمن نفسه أمام ما قد يكون أخطر توغّل سيبراني حتى الآن ضد العمود الفقري الصناعي لأميركا.

حقائق سريعة

استهدف قراصنة مرتبطون بإيران البنية التحتية الحيوية الأميركية، بما في ذلك قطاعا المياه والطاقة، عبر مهاجمة أنظمة التحكم الصناعي (ICS) وتقنيات التشغيل (OT).
تم اختراق وحدات التحكم المنطقية القابلة للبرمجة (PLCs) من Rockwell Automation وربما Siemens ومورّدين آخرين عبر أجهزة مكشوفة على الإنترنت.
استخدم المهاجمون أدوات هندسية شرعية، مثل Studio 5000 من Rockwell، للتلاعب بمنطق النظام وعرض بيانات زائفة للمشغّلين.
يحثّ الخبراء على إزالة وحدات PLC فورًا من الوصول عبر الإنترنت العام ويدعون إلى تقسيم شبكي أقوى وبُنى «انعدام الثقة».
لا توجد حتى الآن إفصاحات عامة كبيرة من الجهات المتضررة، لكن تم الإبلاغ بالفعل عن اضطرابات تشغيلية وخسائر مالية.

وفقًا لتحذير مشترك من CISA وFBI وجهات أخرى، صعّدت مجموعات موالية لإيران حملتها ضد البنية التحتية الأميركية. أهدافهم: وحدات التحكم المنطقية القابلة للبرمجة (PLCs) وواجهات الإنسان-الآلة (HMIs) التي تُدير بصمت كل شيء من محطات معالجة المياه إلى شبكات الكهرباء. الاختراق التقني بسيط على نحو مخيف - يعثر القراصنة على وحدات PLC مكشوفة على الإنترنت، ويسجّلون الدخول باستخدام أدوات هندسية شرعية، ثم يعبثون بالمنطق ذاته الذي يحكم العمليات الفيزيائية. بالنسبة للمشغّلين، يعني ذلك أن المعلومات على شاشاتهم قد تكون كذبة، مع عواقب واقعية تتراوح بين تلف المعدات وأزمات السلامة العامة.

لا يتفاجأ محترفو الأمن. حذّر دامون سمول من Xcape قائلًا: «هذه هي النتيجة الحتمية للتعامل مع البنية التحتية الحيوية كما لو كانت نقطة واي فاي عامة». ويشير الخبراء إلى أن وحدات PLC التابعة لـRockwell Automation، التي تهيمن على السوق الأميركية، ليست سوى قمة جبل الجليد. فأساليب الهجوم التي تستهدف بروتوكولات صناعية قياسية مثل EtherNet/IP وModbus وS7comm تضع تقريبًا كل مورّد رئيسي في دائرة الخطر. وقال سمول، في إشارة إلى الحرس الثوري الإيراني: «إذا كانت محطة معالجة المياه أو المصفاة لديك قابلة للبحث على الإنترنت، فأنت لا تدير مرفقًا؛ بل تستضيف صندوق رمل رقميًا للحرس الثوري».

يدعو قادة الصناعة إلى تغييرات عاجلة. والإجماع واضح: يجب سحب وحدات PLC وغيرها من الأجهزة الصناعية من الإنترنت العام وعزلها خلف شبكات مُجزّأة ومراقَبة. وحذّر دينيس كالديروني من Suzu Labs قائلًا: «العزل عن الإنترنت وحده لا يكفي»، مشيرًا إلى الحاجة إلى جدران نارية صارمة بين بيئات تقنية المعلومات (IT) وتقنيات التشغيل (OT)، وإلى ضبط وحدات التحكم ماديًا لمنع التغييرات عن بُعد. ومع ذلك، فإن قطع الاتصال بالإنترنت ليس علاجًا سحريًا - فالحواسيب المحمولة الملوّثة بالبرمجيات الخبيثة وممارسات الصيانة السيئة يمكن أن «تُدخل» التهديدات سيرًا على الأقدام متجاوزة البوابات الرقمية.

ويرى آخرون، مثل دنكان غريتود من Xage Security، أن الترقيع وVPN وحدهما لن يفيَا بالغرض. فالمستقبل، كما يقولون، يكمن في اعتماد بُنى «انعدام الثقة»، والتقسيم الدقيق (microsegmentation)، وهويات الأجهزة المشفّرة - إجراءات تتعامل مع كل جهاز وكل اتصال على أنه قد يكون معاديًا، وتتحقق من الثقة في كل خطوة. وكرّر ديفيد سيكوينو من OmniTrust: «المرونة الحقيقية تتطلب أن يحتفظ كل جهاز بهوية قابلة للتحقق ومشفّرة من مرحلة التصميم حتى إخراجه من الخدمة».

في الوقت الراهن، لا يتعلق التهديد بالتكنولوجيا بقدر ما يتعلق بعلم النفس. فاستعمال المهاجمين لأدوات شرعية ومعرفتهم العميقة بالعمليات الصناعية يجعل اكتشافهم صعبًا - وإيقافهم أصعب. وحذّر سمول: «إنهم يجرون تدريبات بالذخيرة الحية تمهيدًا لتصعيدات أكثر كارثية»، مؤكدًا حقبة جديدة يمكن فيها للهجمات السيبرانية أن تُحدث أذى في العالم الحقيقي يتجاوز بكثير خسارة البيانات.

ومع تلاشي الحدود بين الصراع الرقمي والفيزيائي، ثمة أمر واحد واضح: لم تعد البنية التحتية الحيوية الأميركية قادرة على تحمّل كونها دعوة مفتوحة. قد لا تُرى الأيدي الخفية على المفاتيح - لكنها موجودة بالفعل هنا.

WIKICROOK

وحدة التحكم المنطقية القابلة للبرمجة (PLC): وحدة التحكم المنطقية القابلة للبرمجة (PLC) هي حاسوب متخصص يؤتمت ويتحكم في العمليات الصناعية في المصانع والمرافق والبنى التحتية.
الإنسان: الإنسان هو فرد يتفاعل مع الأنظمة الرقمية، وغالبًا ما يوفّر الإشراف والتحقق واتخاذ القرار في عمليات الأمن السيبراني مثل HITL.
بنية انعدام الثقة: بنية انعدام الثقة هي نموذج أمني لا يُوثَق فيه بأي مستخدم أو جهاز افتراضيًا، ويتطلب تحققًا مستمرًا لجميع طلبات الوصول.
التقسيم الدقيق: يقسم التقسيم الدقيق الشبكة إلى أقسام صغيرة ومعزولة، ما يحدّ من مدى حركة المهاجمين إذا نجحوا في الاختراق ويعزز الأمن.
تقنيات التشغيل (OT): تشمل تقنيات التشغيل (OT) أنظمة الحاسوب التي تتحكم في المعدات والعمليات الصناعية، وغالبًا ما تجعلها أكثر عرضة للخطر من أنظمة تقنية المعلومات التقليدية.