🇨🇳 الصــين

خبير في الأمن السيبراني: قراصنة وراء الهجوم السيبراني على مركز مراقبة زلازل ووهان يهدفون إلى سرقة البيانات الجيولوجية

في تقرير حصري نشرته جلوبال تايمز في 26 يوليو، تم الكشف عن أن مركز مراقبة زلازل ووهان التابع لمكتب إدارة الطوارئ ببلدية ووهان وجد أن بعض أجهزة شبكة جمع بيانات الإنذار المبكر الزلزالية في المحطات الأمامية قد تم زرعها ببرامج خلفية. بدأت سلطات الأمن العام المحلية تحقيقًا، وتشير الأدلة الأولية إلى أن الهجوم الإلكتروني بدأ من قِبل مجموعة قراصنة مخالفين للقانون من خلفيات حكومية من خارج البلاد.

ما هو الغرض من هذا الهجوم السيبراني وما هو التطور الجديد الذي أحدثه؟ ما نوع المعلومات التي تم الإفصاح عنها من قِبل المنظمة التي تعرضت للهجوم أثناء انتقالها من وضع الكشف “السلبي” إلى “النشط”؟. في مقابلة حصرية مع جلوبال تايمز،قال تشو هونغ يي، المؤسس المشارك لشركة 360 لتكنولوجيا الأمن، إن كل من جامعة شمال غرب الصين للفنون التطبيقية، التي عانت من هجوم إلكتروني من خارج البلاد في يونيو 2022، ومكتب إدارة الطوارئ في بلدية ووهان، واجها بشدّة الهجمات الإلكترونية على المستوى الوطني، مما خلق فرصًا مهمة لاكتشاف ومنع الهجمات الإلكترونية واسعة النطاق على المستوى الوطني. 

-هل قام فريق التحقيق المشترك المؤلف من المركز الوطني للاستجابة لحالات الطوارئ لفيروسات الكمبيوتر (CVERC) وشركة أمن الإنترنت 360 باكتشافات جديدة؛ فيما يتعلق بالهجوم الإلكتروني على مركز ووهان لمراقبة الزلازل؟

في الوقت الحالي، وصل خبراء من المركز الوطني للاستجابة لحالات الطوارئ لفيروسات الكمبيوتر (CVERC) وشركة 360 لتكنولوجيا الأمن إلى ووهان؛ لإجراء أعمال جمع التحقيق، وتشير الأدلة الأولية إلى أن الغرض من الهجوم الإلكتروني على مركز رصد الزلازل في ووهان كان سرقة البيانات الجيولوجية، ترتبط المعلومات الجيولوجية ارتباطًا وثيقًا بتضاريس ساحة المعركة، وبمجرد سرقتها وارتباطها بالأنشطة العسكرية، سيكون لها عواقب وخيمة.

-لقد لاحظنا أيضًا أن كلًا من جامعة شمال غرب الصين للفنون التطبيقية ومركز مراقبة زلازل ووهان قد أصدروا بشكل استباقي بيانات عامة تفيد بأنهم تعرضوا لهجمات إلكترونية بدأت من الخارج، وأبلغوا الحوادث إلى مكتب الأمن العام. كيف تُعلّق على هذا النهج “الاستباقي” الذي اتبعته المنظمات المهاجمة في الكشف عن المعلومات؟

لا شك في أن هذا السلوك يستحق تقديرًا عاليًا، في مواجهة الهجمات من التهديدات المستمرة المتقدمة (APT) على المستوى الوطني، يتطلب الأمر تعاون أطراف متعددة؛ بما في ذلك الحكومة وشركات أمن الإنترنت والمنظمات، لتشكيل قوة جماعية قوية للرد المشترك. ومع ذلك، في الواقع، تخشى العديد من الوحدات المعنية من تحمل المسؤولية، مما يؤدي إلى مقاومة كبيرة في تحقيقات التهديدات المستمرة المتقدمة. ينتج عن هذا تحليل غير كامل وغير كافٍ لتحقيقات التهديدات المستمرة المتقدمة، وهو أمر ضار للغاية باستجابة الدولة لتلك النوعية من الهجمات. 

لذلك، تجرأ كل من جامعة شمال غرب الصين للفنون التطبيقية ومكتب إدارة الطوارئ في بلدية ووهان على مواجهة الهجمات الإلكترونية على المستوى الوطني، والتي أوجدت فرصًا مهمة لنا لاكتشاف ومنع الهجمات الإلكترونية واسعة النطاق على المستوى الوطني. هذا له أهمية كبيرة ويستحق التقدير، لضمان السلام والأمن في الفضاء السيبراني الخاص بنا والعالمي أيضًا. 

-عندما تخشى الوحدات المعنية من تحمل المسؤولية، ما هي العقبات التي جلبوها؟

أولاً، هناك قضية “الوصول الصعب”، يمكن لشركة 360 استخدام بيانات أمنية شاملة لتحديد موقع ضحايا معينين لهجمات التهديدات المستمرة المتقدمة، ولكن غالبًا ما يتم رفض الوصول إلينا بسبب “عدم وجود تصريح رسمي”. ثانيًا، هناك نقص في التعاون، حيث يرفض الضحايا تقديم السجلات الأمنية وبيانات الشبكة اللازمة للتحقيق، متذرعين بأسباب مختلفة. ثالثًا، هناك إنكار للهجوم، حيث يرفض الضحايا الاعتراف بحقيقة تعرضهم لهجمات من التهديدات المستمرة المتقدمة، وقد يحذفون سجلات السجل ذات الصلة، مما يؤدي إلى فقدان الأدلة الحاسمة لتحليل الهجوم. 

-ما هي خصائص الهجمات الإلكترونية التي أطلقتها منظمات هجمات التهديدات المستمرة المتقدمة، على المستوى الوطني ضد البنية التحتية الحيوية للصين في الوقت الحاضر؟

غالبًا ما تستهدف منظمات هجمات التهديدات المستمرة المتقدمة، على المستوى الوطني الحكومة الصينية والشركات الرائدة في بعض الصناعات والجامعات والمؤسسات الطبية ووحدات البحث وما إلى ذلك، لشن هجمات إلكترونية تهدف إلى سرقة البيانات والذكاء وإحداث أضرار؛ التحدي الأكبر بالنسبة لهم هو أن يكونوا “غير مرئيين”.

تمتلك هجمات التهديدات المستمرة المتقدمة،ست خصائص رئيسية؛ أولاً، المهاجمون عادة ما يكونون منظمات قرصنة محترفة أو جيوش إلكترونية ترعاها الدولة، ويمتلكون قدرات وموارد على المستوى الوطني. ثانيًا، يستغلون عادةً الثغرات الأمنية غير المعروفة، مما يجعل من الصعب الدفاع عنها. ثالثًا، الهجمات هي عمليات مستمرة، تستخدم عقدًا متعددة على الشبكة كنقاط انطلاق لاختراق أعمق، وتشكل سلسلة طويلة من الهجمات. رابعًا، تنطوي على تسلل طويل المدى، مع بقاء المهاجمين مختبئين لما يزيد عن عقد من الزمان، مما يُظهر مستويات عالية من التخفي.

خامسًا، يتم تسليح أدوات الهجوم، كما يتضح من تحقيق الشركة 360 للهجمات الإلكترونية على جامعة شمال غرب الصين للفنون التطبيقية، حيث استخدمت وكالة الأمن القومي الأمريكية 41 سلاحًا متخصصًا للهجوم الإلكتروني. سادسًا، تُظهر الهجمات خصائص الأتمتة والتنظيم والذكاء، مع تقنيات هجوم مختلفة مترابطة ومترابطة.

-يتطور الفضاء الإلكتروني إلى ساحة المعركة الرئيسية للعبة الدولية، لا سيما في الصراع بين روسيا وأوكرانيا، حيث انتقلت الحرب الإلكترونية من الظل إلى المقدمة. تعرضت كل من روسيا وأوكرانيا لهجمات إلكترونية مستمرة ومنهجية. ما هي خصائص الحرب السيبرانية؟

الوضع الدولي حاليًا معقد ومضطرب، مصحوبًا بتكثيف لعبة القوى العظمى. تتسارع عسكرة الفضاء السيبراني أيضًا، وتستخدم الدول الحرب الإلكترونية بشكل متزايد “كسلاح” لمهاجمة دول أخرى، تعتبر التهديدات الأمنية في الفضاء الإلكتروني أكثر فتكًا وتدميرًا. في سنوات تعقب الحرب الإلكترونية والبحث فيها، وجدنا أنه على عكس أنماط الحرب الأخرى، فإن الحرب الإلكترونية لا تميز بين زمن الحرب ووقت السلم. يمكن شن الهجمات في أي وقت، وقد أصبحت الخيار المفضل للحرب نظرًا لتكلفتها المنخفضة وفعاليتها وكثافتها التي يمكن التحكم فيها وصعوبة تحديد المهاجم للهجمات المضادة.

-هل قدرة الدفاع عن النفس لدى الحكومة الصينية ووحدات المؤسسات كافية للرد على خصائص الحرب السيبرانية؟

المدن والمؤسسات والحكومات، باعتبارها المشاهد الأساسية للرقمنة، تواجه تحديات مزدوجة من المصادر الداخلية والخارجية على حد سواء، مع المخاطر التي تتخلل جميع السيناريوهات الرقمية. نظرًا لصعوبة اكتشاف هجمات التهديدات المتقدمة المستمرة فإن تدابير الأمن السيبراني التقليدية التي تركز على تراكم المنتجات وإهمال العمليات ونقص الخبرة غير قادرة على اعتراض هذه الهجمات بشكل فعال. وقد أدى ذلك إلى حقيقة “عدم وجود شبكة لا يمكن اختراقها” و”العدو موجود بالفعل داخلها”، ولكن لا يمكن رؤيتها أو منعها أو إدارتها.

-مواجهة هجمات قوية ولكن باستخدام أساليب غير فعالة، كيف يجب أن نبني بكفاءة نظام دفاع أمني عملي ونكتسب بسرعة قدرات أمنية؟

أولاً، نحتاج إلى إنشاء بنية أساسية آمنة للبيانات الضخمة وإنشاء قاعدة بيانات شاملة للحوادث الأمنية عبر الشبكة لمساعدة المستخدمين على الدفاع ضد التهديدات والهجمات. يُعدّ تأمين البيانات الضخمة والذكاء والمعرفة الأساس والمفتاح لتحديد آثار الهجمات الإلكترونية والتقاطها. تحتاج الحكومة والمؤسسات إلى إنشاء قاعدة بيانات ديناميكية للحوادث الأمنية عبر الشبكة “لرؤية” التهديدات التي تتعرض لها الصناعة من منظور أوسع وفهم الوضع الأمني ​​العام؛ من بين هذه، تعتبر بيانات نقطة النهاية مهمة بشكل خاص حيث أن 80 بالمائة من هجمات التهديدات المستمرة المتقدمة تستهدف بيئة نقطة النهاية. نقاط النهاية هي العيون التي يمكنها رؤية التهديدات.

بعد ذلك، من الضروري نشر الدفاع مسبقًا، واكتشاف القرائن الأمنية بسرعة وفي الوقت المناسب، وتحقيق الاكتشاف المبكر، والتخلص المبكر، ومنع الخسائر المبكرة.

ثالثًا، هناك حاجة لتقنية الذكاء الاصطناعي لتحسين مستوى الأتمتة والذكاء. من أجل زيادة تحسين الكفاءة، نحتاج إلى تطبيق تقنية الذكاء الاصطناعي لتحسين مستوى التحليل الآلي والفحص والارتباط بين الأحداث الأمنية الضخمة. سيمكننا ذلك من اكتشاف أدلة الهجمات الإلكترونية بسرعة واتخاذ استجابات تلقائية، وبالتالي تعزيز كفاءة الدفاع الأمني.

رابعًا، نحتاج إلى خبراء يتمتعون بخبرة واسعة في معركة حقيقية للأمن السيبراني. نحن بحاجة إلى تشكيل فريق خبراء متعدد المستويات يتألف من محترفين في اكتشاف الثغرات الأمنية، واكتشاف التهديدات، وتحليل المعلومات الاستخباراتية. يجب أن يتمتع هذا الفريق بسنوات من الخبرة في الاكتشاف والتحليل والاستجابة والتخلص المستمر، ويجب أن يكون قادرًا على المشاركة في عمليات متواصلة على مدار الساعة طوال أيام الأسبوع ضد الجيوش الإلكترونية ومجموعات القرصنة من مختلف البلدان.

خامسًا، لتحقيق تحليل البيانات الضخمة، والقيادة والتحكم، والتشغيل التعاوني من قبل الخبراء، هناك حاجة إلى منصة عمليات أمنية قوية لدعم دورة الحياة الكاملة للعمليات الأمنية، من خلال الجمع بين الاستجابة الآلية وحكم الخبراء، حيث ينشئ القدرة على الاستجابة السريعة والتخلص، ويبني منصة استجابة وتخلص، ويدمج نتائج تحليل الأمان، كما ينسق مع أجهزة الأمان، التي تتيح التحكم في الوقت المناسب في المواقف واستعادة الأنظمة التالفة بعد وقوع الحوادث الأمنية، وبالتالي تحقيق استجابة سريعة.

-أصبح الفضاء الإلكتروني ساحة المعركة الرئيسية للمنافسة والصراعات الجيوسياسية بين القوى الكبرى، وتطور الأمن السيبراني من قضية ميدانية محددة إلى مصدر قلق عالمي كبير، ذلك من ناحية، ومن ناحية أخرى، ثمّة بعض المفاهيم التي عفا عليها الزمن في الحكومة وكيانات الشركات في الصين، على سبيل المثال، الشركة التي تعرضت للهجوم لم تتعاون أو تعترف كما ذكرت، في مواجهة مثل هذه التناقضات، هل لديكم أي اقتراحات؟

أولاً، يجب على الإدارات الحكومية ذات الصلة إنشاء آلية إعفاء من هجمات التهديدات المستمرة المتقدمة، ومكافأة أولئك الذين يبلغون بشكل استباقي عن أدلة مهمة. تختلف هجمات التهديدات المستمرة المتقدمة،عن حوادث الأمن السيبراني العامة وقد تجاوزت القدرات الأمنية للحكومة والمؤسسات. 

لذلك، لا ينبغي النظر إلى الحكومة والشركات على أنها أطراف مسؤولة بل ضحايا. يُوصى بأن تنص الإدارات ذات الصلة بوضوح على أنه بموجب فرضية الحكومة والمؤسسات التي تفي بمتطلبات قوانين ولوائح الأمن السيبراني الوطنية، لن يتم محاسبتها على هجمات التهديدات المستمرة المتقدمة، على أمن شبكاتها. في الوقت نفسه، يجب أن تكافئ الوحدات التي تُبلّغ عن أدلة هجوم التهديدات المستمرة المتقدمة في الوقت المناسب، وتحويل المساءلة إلى توجيه إيجابي.

ثانيًا، يُقترح أن تنشئ الإدارات ذات الصلة آلية للتحقيق في هجمات التهديدات المستمرة المتقدمة، وتوجيه وحدات البنية التحتية الرئيسية والوحدات الحساسة المهمة (الحزب والحكومة، والدفاع الوطني، والصناعة العسكرية، ووحدات البحث العلمي المتطورة، وما إلى ذلك) للتعاون بنشاط مع شركات الأمن السيبراني القادرة للتحقيق في أدلة هجوم التهديدات المستمرة المتقدمةالخاصة بهم والمخاطر الأمنية المخفية الخاصة بها والمخاطر الأمنية المخفية. يجب الإبلاغ عن أي أدلة تم اكتشافها بشأن هجوم التهديدات المستمرة المتقدمة على الفور، إلى السلطات المختصة لتحليلها وإصدار حكم بشأنها، ويجب إجراء تحقيق شامل على مستوى الشبكة لضمان القضاء على أي هجمات تم اختراقها بشكل سريع وشامل، وبالتالي عكس الوضع السلبي لـ”العدو موجود بالفعل فينا”.

والثالث هو تركيز قوات الدفاع المدني وإنشاء مجتمع من قراصنة القبعات البيضاء لجذب المواهب الأمنية. يتمثل جوهر الأمن السيبراني في المواجهة بين الأشخاص، ولا يمكن حلها ببساطة عن طريق شراء ونشر مجموعة من أجهزة الأمن السيبراني أو تثبيت البرامج. لا يمكن أن تعتمد المواجهة كليًا على التشغيل الآلي، يمكن لخبراء الأمن فقط استيعاب وفهم وتحويل معرفة الهجوم بشكل منهجي إلى إجراءات مضادة مستهدفة.

 لذلك، يوصى بأخذ المنظمات ذات الصلة زمام المبادرة في إنشاء مجتمع أمني كبير، ودعوة خبراء أمنيين مؤهلين لتبادل الخبرات التقنية، وتبادل المعرفة، وإجراء التدريبات العملية، وتحسين قدراتهم بشكل مشترك. سيساعد هذا في سد فجوة المواهب في بلدنا والاستعداد لنقص المواهب في حالة “حرب الفضاء الإلكترونية الساخنة”، بالإضافة إلى ذلك، يُوصى أيضًا بدعم الإدارات الحكومية ذات الصلة للشركات الأمنية في توسيع بيئة أعمالها؛ مثل خدمات الأمن، لتوسيع نطاق التوظيف في صناعة الأمن السيبراني وجذب المزيد من المواهب والاحتفاظ بها.