التجسس في حقول النفط: داخل الحملة السيبرانية الغامضة التي تستهدف شريان حياة ليبيا

مخطط سيبراني متطور يستغل الفوضى السياسية وبرمجيات خبيثة متاحة للعامة للتجسس على قطاع النفط الحيوي في ليبيا.

بدأ الأمر بسطر موضوع يبعث على القشعريرة: “تسريب لقطات كاميرات المراقبة – اغتيال سيف القذافي.gz”. بالنسبة لموظفين ليبيين في مصفاة نفط وطنية، بدا البريد الإلكتروني عاجلاً وموثوقاً. لكن خلف الطُعم كانت هناك عملية تجسس سيبراني مُحكمة الصنع - عملية ستتسلل بهدوء إلى بنى تحتية حرجة في وقت كانت فيه أسواق الطاقة العالمية متوترة أصلاً.

حقائق سريعة

اخترق المهاجمون مصفاة نفط ليبية ومزوّد اتصالات ومؤسسة حكومية من نوفمبر 2025 إلى فبراير 2026.
استغلت رسائل التصيّد الموجّه أحداثاً سياسية بارزة، بما في ذلك اغتيال سيف القذافي.
استخدمت الحملة AsyncRAT، وهو حصان طروادة قوي للوصول عن بُعد، للحفاظ على وصول خفي ومستمر.
تشير الأدلة إلى أن الهدف كان جمع معلومات استخباراتية استراتيجية - لا التخريب الفوري.
تسلّط العملية الضوء على اتجاه متصاعد: تهديدات سيبرانية تستغل عدم الاستقرار الجيوسياسي لأغراض التجسس.

داخل الهجوم: كيف استغل القراصنة الفوضى

بين أواخر 2025 وبدايات 2026، اجتاحت سلسلة من الهجمات السيبرانية الموجّهة منظمات ليبية رئيسية. كان تركيز المهاجمين واضحاً: اختراق جهات محورية لإنتاج النفط في ليبيا، وهو قطاع بالغ الأهمية ليس للبلاد فحسب بل لسلسلة إمداد الطاقة العالمية. ومع بلوغ الإنتاج ذروته عند 1.37 مليون برميل يومياً، لم يكن نفط ليبيا يوماً أكثر حيوية - ولا أكثر هشاشة.

بدأت العملية برسائل تصيّد موجّه مُخصّصة، أشارت بذكاء إلى أحداث جارية لاستدراج الضحايا. وكان أحد أكثر الطعوم فاعلية: مستند يزعم عرض لقطات مسرّبة لاغتيال سيف القذافي - وهو حدث حقيقي وحديث. حملت هذه الرسائل ملفات خبيثة من نوع Visual Basic Script (VBS) بأسماء مثل “video_saif_gadafi_2026.vbs”، جرى تنزيلها من مواقع مشاركة ملفات عامة. وبمجرد تشغيلها، أطلقت هذه السكربتات سلسلة عدوى خفية.

قام مُنزِّل VBS بجلب مُسقِط PowerShell متنكر على هيئة صورة. أنشأ هذا المُسقِط مهمة مجدولة في ويندوز - باسم “devil” - لتشغيل الحمولة النهائية بشكل دائم: AsyncRAT. هذه الأداة مفتوحة المصدر للوصول عن بُعد هي بمثابة سكين الجيش السويسري لدى القراصنة، قادرة على تسجيل ضغطات المفاتيح، وسرقة بيانات الاعتماد، والتقاط الشاشات، وتنفيذ الأوامر. مرونتها وتوفرها العلني يجعلانها مفضلة لدى مجرمي الإنترنت وكذلك المجموعات المرتبطة بالدول.

عثر المحققون على أدلة تشير إلى أن المهاجمين حافظوا على الوصول لأشهر، مع تسجيل نشاط على دفعات متعددة. ويشير هذا الإصرار إلى دافع منهجي قائم على الاستخبارات. واللافت أن عينات من البرمجيات الخبيثة - غالباً ما سُمّيت بموضوعات ليبية - رُفعت إلى VirusTotal منذ أبريل 2025، ما يدل على تخطيط طويل الأمد واستهداف واسع.

ارتدادات عالمية وأسئلة بلا إجابات

في حين يُستخدم AsyncRAT من الجميع، من قراصنة منفردين إلى عملاء دول، فإن تعقيد الحملة وتوقيتها يوحيان بإمكانية تورط جهة دولة - مع بقاء الإسناد الحاسم بعيد المنال. ومع تهديد توترات منطقة الخليج لتدفقات النفط العالمية، تصبح المعلومات الاستخباراتية حول منتجين بديلين مثل ليبيا أكثر قيمة. ويحذر خبراء الأمن من أن التجسس السيبراني بات اليوم تكتيكاً في الخطوط الأمامية للمناورة الجيوسياسية، ولا قطاع بمنأى عنه.

في الوقت الراهن، تُعد الحملة الليبية تذكيراً صارخاً: في أوقات الاضطراب السياسي، يتحرك المهاجمون السيبرانيون بسرعة لاستغلال الفوضى، مستهدفين أكثر صناعات العالم حيوية بينما ينظر العالم إلى مكان آخر.

WIKICROOK

Spear: التصيّد الموجّه هو هجوم سيبراني مُستهدف يستخدم رسائل بريد إلكتروني مُخصّصة لخداع أفراد أو منظمات بعينها للكشف عن معلومات حساسة.
حصان طروادة للوصول عن بُعد (RAT): حصان طروادة للوصول عن بُعد (RAT) هو برمجية خبيثة تتيح للمهاجمين التحكم سراً في حاسوب الضحية من أي مكان، بما يمكّن من السرقة والتجسس.
الاستمرارية: تتضمن الاستمرارية تقنيات تستخدمها البرمجيات الخبيثة للبقاء بعد إعادة التشغيل والاختباء داخل الأنظمة، غالباً عبر محاكاة عمليات أو تحديثات شرعية.
المُسقِط: المُسقِط هو نوع من البرمجيات الخبيثة يثبت سراً برامج خبيثة إضافية على جهاز مُصاب، ما يساعد المهاجمين على تجاوز إجراءات الأمان.
سرقة بيانات الاعتماد: تحدث سرقة بيانات الاعتماد عندما يسرق القراصنة أسماء المستخدمين وكلمات المرور، غالباً عبر التصيّد أو خروقات البيانات، للوصول غير القانوني إلى الحسابات عبر الإنترنت.