ذكرت تقارير إخبارية إلى أن حركة المقاومة الإسلامية (حماس) امتلكت "معلومات دقيقة عن أسرار الجيش الصهيوني بصورة تثير الدهشة.
وذكرت التقارير أن جملة قصيرة، كانت عنواناً لملفات تحوي بيانات تفصيلية لأكثر من ألفي جندي في القوات الجوية الصهيونية، سرّبتها حركة المقاومة الإسلامية (حماس) بحسب ما أوردت صحيفة هآرتس الصهيونية، في شهر يوليو/تموز الحالي.
هذا التسريب وصفته هآرتس بأنه "كابوس سيبراني"، إذ تم إعداد تلك الملفات المُفصَّلة عن الجنود الصهيونيين ضمن عمليات سيبرانية لجمع المعلومات الاستخبارية، كما أشارت إليه الصحيفة.
يصل طول الملفات إلى أكثر من 200 صفحة، وهي التي كانت متاحة على منصات القرصنة منذ شهر ديسمبر/كانون الأول الماضي على الأقل، وأعيد الآن نشرها ومشاركتها مع مجموعة من الصحفيين الاستقصائيين الدوليين. تضمّن كل ملف معلومات مفصلة عن كلّ من أولئك الجنود، تشمل اسمه الكامل، وقاعدة عمله أو وحدته، ورقم هويته، ورقم هاتفه المحمول، وعنوان بريده الإلكتروني، بجانب حساباته على وسائل التواصل الاجتماعي، وأسماء أفراد عائلته، وأحيانا كلمات المرور، وأرقام لوحات السيارات، وأرقام بطاقات الائتمان، وبيانات الحسابات المصرفية.
هذه الهجمة السيبرانية، وتلك الملفات التي صيغت ونُشرت بهذا التفصيل الدقيق، لم تأت من فراغ، بل جاءت نتيجة لمسار التطور في الحرب السيبرانية الذي بدأ واستمر منذ مدة طويلة. ففي مايو/أيار من عام 2021، كشفت حركة حماس في تجمع تأبيني لأحد قياداتها، واسمه "جمعة الطلحة"، الذي استشهد في حرب سيف القدس عام 2021، لتعلن في ذلك التجمع عن جهاز تم تأسيسه باسم سلاح السايبر ويتبع لكتائب القسام، الجناح العسكري لحركة حماس.
وكان "الطلحة" هو من أشرف على تأسيس وهيكلة جهاز الحرب الإلكترونية (سلاح السايبر) الذي أُطلق عام 2014، بعد معركة "العصف المأكول"، كما ذكرت حركة حماس أن "الطلحة" قاد بنفسه هجمات سيبرانية استهدفت منشآت حيوية وعسكرية صهيونية، سواء لجمع البيانات أو للإضرار بالبُنى التحتية لدولة الاحتلال.
تلك الملفات المُفصَّلة أعدّت ونشرت بعد السابع من أكتوبر/تشرين الأول في سياق الحرب وظروفها وفي إطار الحرب المعلوماتية والنفسية الأوسع، لكن المعلومات الأصلية -التي جُمعت- أقدم من ذلك، إذ تكونت الملفات من مجموعة المعلومات التي سُرّبت أو جرى استخراجها من عملية أو عمليات اختراق سيبراني سابقة، يُرجَّح أنها أصابت خوادم موقع إلكتروني لا يتبع الجيش الصهيوني، مع معلومات أخرى جُمعت من شبكات التواصل الاجتماعي وقواعد البيانات العامة ومن تسريبات سابقة.
ومع الترجيحات التي تشير إلى أن فصائل المقاومة وعلى رأسها حركة حماس هي التي تقف وراء تلك الهجمات دون نفي رسمي أو تأكيد من الحركة، فإن جمع الملفات والبيانات قد تم عبر برمجية آلية تُعرف باسم "بروفايلر"، وهي تتيح جمع ومقارنة ودمج المعلومات الاستخبارية من المصادر المفتوحة لإعداد ملف "بروفايل" مُفصّل عن الأهداف الاستخبارية.
وبهذا أمكنهم تجميع معلومات شخصية دقيقة عن آلاف الأفراد الذين يخدمون أو خدموا في شتَّى قواعد القوات الجوية الصهيونية.
أما النتيجة، تشكيل قواعد بيانات بإمكانها رسم صورة كاملة للخصم إذا جُمعت معًا بصورة صحيحة، وبتوليفة مناسبة، وفقًا لدانا تورين رئيسة إدارة العمليات في الهيئة الصهيونية للأمن السيبراني.
يُصنِّف الخبراء هذه العملية على أنها "اختراق ثم تسريب" (hack and leak)، وهي عملية من خطوتين لاختراق الضحية المحتملة، ثم نشر البيانات المُستخلَصة بهدف التأثير في معنويات ونفسية العدو.
تكمن خطورة مثل هذه التسريبات في تسهيلها لعمليات اختراق قادمة لهؤلاء الجنود، فمثلا تتيح هذه الملفات إمكانية تنفيذ هجمات احتيال موجهة (spear-phishing) نحو جنود محددين، وفقًا لأهمية الدور الذي يضطلع به الجندي في الجيش الصهيوني، وهو ما ورد في بعض هذه الملفات، وهنا يسهل استهداف ضباط من رتب أعلى تحديدًا.
وفي مثال واحد على الأقل، أكد الموقع الإلكتروني للقوات الجوية الصهيونية هوية أحد الضباط الذين أعدت عنهم حماس ملفات مُفصَّلة، وربط بينه وبين العمليات العدوانية على قطاع غزة. الأمر الذي قد يجعله هدفًا لعملية رصد استخباري، أو قد يعرضه للملاحقة القانونية في دول أخرى، كما أشارت إليه صحيفة هآرتس.
كذلك يتيح الملف التعريفي الشامل لكل جندي إمكانية تنفيذ هجمات "الهندسة الاجتماعية" (social engineering)، بمعنى مطابقة كل هدف بما يناسبه من محتوى مخصص؛ مما يزيد احتمال نجاح الهجمة المستهدفة.
وتُركَّز فصائل المقاومة الفلسطينية على جمع المعلومات الاستخبارية عبر عمليات التجسس السيبراني على دولة الاحتلال منذ مدة.
وما نعلمه وفق ما يتوارد من معلومات، هو أن فصائل المقاومة أجرت في السابق عدّة تطبيقات بهدف جمع المعلومات أو حتى اختراق الجنود الصهيونيين، لانتزاع معلومات منهم، أو لجمع معلومات استخبارية من أجهزتهم المحمولة مباشرة.
مثلا في عام 2018، أخفت الوحدة السيبرانية لحماس برمجيات التجسس داخل تطبيق قد يبدو عاديا، يشارك نتائج مباريات كأس العالم 2018، لكنه منح المقاومة إمكانية جمع معلومات مهمة وحساسة عن مجموعة مختلفة من المنشآت والمعدات العسكرية التابعة للجيش الصهيوني، بما فيها معلومات مهمة عن المركبات المدرعة في هذه المنشآت، كما ذكرت صحيفة هآرتس الصهيونية وقتها.
وفي أبريل/نيسان عام 2022، يُعتقد أن المقاومة نفذت أكثر عمليات التجسس السيبرانية تعقيدا ضد الاحتلال الصهيوني، وهو ما ذكرته شركة سايبريسون (Cybereason)، وهي شركة صهيونية متخصصة في استخبارات التهديدات السيبرانية، التي أشارت إلى أن هذا الهجوم يوضح "مستوى جديدا من التعقيد" في عمليات حماس السيبرانية.
اكتشفت الشركة الصهيونية حينها حملة تجسس متقنة استهدفت أفرادا صهيونيين، من بينهم مجموعة أهداف بارزة رفيعة المستوى تعمل في مؤسسات حساسة للدفاع وإنفاذ القانون وخدمات الطوارئ داخل الكيان الصهيوني.
مرة أخرى، استخدم المقاومون أساليب الهندسة الاجتماعية من خلال منصة فيسبوك، لكنها كانت تحمل أساليب متطورة بهدف الحصول على أبواب خلفية داخل أجهزة الضحايا التي تعمل بنظام ويندوز، والهواتف التي تعمل بنظام أندرويد. وكان الهدف الأساسي وراء هذا الهجوم هو استخراج معلومات حساسة من داخل أجهزة الضحايا.
بمجرد تحميل تلك البرمجيات الخبيثة على الأجهزة، يمكن لجنود الوحدة السيبرانية الوصول إلى مجموعة كبيرة من المعلومات عليها، مثل مستندات الجهاز والكاميرا والميكروفون، وبهذا يمكنهم الحصول على بيانات ضخمة حول مكان وجود الهدف وتفاعلاته مع محيطه وغيرها من المعلومات الحساسة والمهمة للغاية.
كما كشف التحقيق أن الوحدة السيبرانية لحماس حدّثت ترسانتها من تلك البرمجيات بفعالية عبر استخدام أدوات جديدة، وهي برمجيات مجهزة بمزايا تَخفٍّ متقدمة يصعب اكتشافها، وأشار أيضا إلى أنها استخدمت بنية تحتية جديدة ومخصصة منفصلة تماما عن البنية التحتية المعروفة التي تملكها وتستخدمها بالفعل في العمليات السابقة.
أما ما يتصل بما كان يوم السابع من أكتوبر وما تلاه، فقد أشار تقرير في موقع "ذي كونفرسيشن" إلى حملة تجسس سيبرانية نفذتها إحدى الوحدات التابعة لحماس ضد الكيان الصهيوني، بحثًا عن معلومات سرية وحساسة حول المنشآت العسكرية الصهيونية، وكانت المعلومات التي جمعتها مفيدة وتم توظيفها في عملية "طوفان الأقصى"، إذ أشار أكثر من تقرير مختص بمعرفة مقاتلي المقاومة لتفاصيل المناطق والمنشآت التي توغلوا إليها وسيطروا عليها في عملية عسكرية وصفت بالمعقدّة.
كذلك أشار تقرير لصحيفة "نيويورك تايمز" الأميركية إلى أن حماس امتلكت "معلومات دقيقة عن أسرار الجيش الصهيوني بصورة تثير الدهشة" عند جمعها للمعلومات الاستخباراتية، ويبدو أن مجهودات البحث والتخطيط التفصيلي، الذي شاركت فيه الوحدة السيبرانية، ساهم بمعرفة أماكن خوادم الاتصالات في عدة قواعد عسكرية بدقة، وهو ما ساعد الجنود على الأرض في استهداف تلك الخوادم وإيقافها عن العمل أثناء عملية "طوفان الأقصى". كما أشار التقرير إلى أن كتائب القسام امتلكت "فهما ومعرفة متطورة، على نحو مفاجئ، لكيفية إدارة الجيش الصهيوني، وأين تتمركز وحدات بعينها، والوقت الذي يستغرقه وصول التعزيزات".
واستمرت عمليات وحدات المقاومة السيبرانية بعد عملية طوفان الأقصى وخلال الحرب الصهيونية على قطاع غزة.
وبجانب جمع المعلومات الاستخبارية، نفذت المقاومة عمليات سيبرانية هجومية متنوعة، ومنها الهجوم ببرمجية من نوع "وايبر" (Wiper) التي تصيب الحاسوب وتمسح بياناته بالكامل، وهي برمجية تهدف فقط إلى تدمير كل شيء في طريقها.
وبعد أحداث السابع من أكتوبر، اخترقت مجموعة سيبرانية تابعة لحركة حماس شركات صهيونية واستخدمت هذه البرمجية لتدمير بنية تلك الشركات التحتية، ووضعت المجموعة اسم رئيس الوزراء الصهيوني كوصف لهذه البرمجية الخبيثة وأطلقت عليها "بي بي وايبر" (BiBi Wiper)، كما أشارت إحدى شركات الأمن السيبراني الصهيونية.
وفي وقت سابق من نوفمبر/تشرين الثاني العام الماضي، أعلنت مجموعة هاكرز تطلق على نفسها اسم "سايبر طوفان الأقصى" (Cyber Toufan Operations) مسؤوليتها عن اختراق عدد من المواقع الإلكترونية الصهيونية وسرقة عدة ملفات من شركة استضافة الويب "سيغنتشر آي تي" (Signature-IT) التي من بين عملائها شركات تجارية مثل آيس (Ace) وشِفا أونلاين (Shefa Online) وهوم سنتر (Home Center) وأوتو ديبوت (Auto Depot) وإيكيا (IKEA).
كما ظهر فيديو على قناة تلغرام للمجموعة ذكر فيه الهاكرز أنهم تمكنوا من اختراق وزارة الدفاع الصهيونية وحصلوا على ملايين البيانات عن جنود الاحتياط والجيش الصهيوني، خاصة عن فرقة شمال غزة العسكرية الصهيونية.
وفي تقريرها الصادر في نوفمبر/تشرين الثاني من عام 2022، سلطت مؤسسة المجلس الأطلسي، وهي مؤسسة بحثية أميركية في مجال الشؤون والعلاقات الدولية، الضوء على تطور إستراتيجية حماس السيبرانية، وكيف أعادت تنظيم عملياتها الإلكترونية واستفادت من العمليات السيبرانية الهجومية بشكل جديد لتخترق دفاعات جيش الاحتلال، وتحصد أكبر قدر من المعلومات الاستخبارية المهمة.
وأطلق التقرير على الوحدة السيبرانية لحماس "هاكر القبعة الخضراء"، وهو مصطلح معروف في أوساط الأمن السيبراني يصف شخصا متخصصا حديثا نسبيا في عالم الاختراق الإلكتروني، وقد يفتقد هذا الشخص إلى الخبرة، ولكنه ملتزم التزاما تاما بإحداث وصنع تأثير في المجال، ويحرص على التعلم المستمر من كل ما يحدث في أثناء رحلته، وهذا تحديدا ما أظهرته المقاومة على مدار السنوات الماضية، خاصة في جانب التجسس وجمع المعلومات الاستخبارية.
المثير للإعجاب هو مدى تطور قدرات الوحدة السيبرانية، رغم عدم امتلاكها أدوات متطورة قد تملكها مجموعات اختراق في أماكن أخرى، لدرجة أن بعض خبراء الأمن السيبراني يُفاجأ بامتلاك المقاومة قدرات سيبرانية أصلًا، بالنظر إلى الحصار الخانق المفروض على قطاع غزة، الذي يعاني أصلا من انقطاع في الكهرباء بصورة مزمنة، إضافة إلى سيطرة دولة الاحتلال على ترددات الاتصالات والبنية التحتية في القطاع.
واعتمدت العناصر السيبرانية التابعة لحماس عادةً على أساليب تكتيكية بسيطة وفعالة في نفس الوقت لشن هجماتها، إذ يستخدمون عمليات "الاحتيال الإلكتروني" و"البرمجيات الخبيثة"، واستغلال "الأبواب الخلفية" الأساسية، وأدوات الدخول عن بُعد المتاحة والمتوفرة على نحو شائع، وأدوات حجب البرمجيات الخبيثة التي يمكن شراؤها من منتديات الإنترنت السرية كما أشار لذلك تقرير نشرته شركة غوغل، في فبراير/شباط الماضي، يستند إلى تحليلات من "مجموعة تحليل التهديدات" التابعة للشركة بالتعاون مع فرق أخرى للأمن السيبراني.
وفي بدايات عام 2017، استخدمت الوحدة السيبرانية لحماس تقنيات الهندسة الاجتماعية لاستهداف أفراد داخل جيش الاحتلال الصهيوني ببرمجيات خبيثة عبر محادثتهم من حسابات مزيفة على منصة فيسبوك. واستخدمت الوحدة ملفات وهمية لفتيات صهيونيات لإقناع جنود جيش الاحتلال بتحميل تطبيق للمراسلة الفورية، وهو ما جعل هواتفهم أدوات للتجسس.
كما تُستخدم برمجيات التجسس على الهواتف المحمولة، ومنها برمجيات تجسس مخصصة ومفتوحة المصدر على نظام أندرويد تُرسَل إلى الضحية عبر عمليات الاحتيال الإلكتروني، ولكن ما لاحظه فريق تحليل التهديدات في غوغل أنه مؤخرًا بدأت جهة واحدة على الأقل -تابعة لحماس- تُظهر مؤشرات على امتلاكها إمكانات متطورة أكثر، يطلق عليها فريق غوغل اسم مجموعة "بلاك أتوم" (BLACKATOM)، تضمنت تلك الإمكانات تقنيات الهندسة الاجتماعية المعقدة والمصممة خصيصًا لأهداف عالية القيمة، مثل مهندسي البرمجيات، بجانب تطوير البرمجيات الخبيثة المخصصة لأنظمة التشغيل المختلفة ويندوز وماك ولينكس.
وفي شهر سبتمبر/أيلول عام 2023، استهدفت مجموعة "بلاك أتوم" مهندسي برمجيات صهيونيين عبر حيل متقنة في الهندسة الاجتماعية، أدت في محصلتها إلى تثبيت برمجيات خبيثة وسرقة ملفات الكوكيز من الحواسيب.
وقد تظاهر منفذو الهجوم بصفة موظفين في شركات حقيقية، وتواصلوا عبر منصة "لينكدإن" لدعوة المستهدَفين إلى التقديم لفرص للعمل الحر في مجال تطوير البرمجيات. شملت قائمة الأهداف مهندسي برمجيات في الجيش الصهيوني وفي صناعة الطيران والدفاع في دولة الاحتلال.
بعد التواصل المبدئي، يرسل منفذ الهجوم إلى المستهدَفين ملف استدراج يتضمن تعليمات للمشاركة في اختبار لتقييم مهارات المتقدم في البرمجة. وجهت التعليمات في الملف الأفراد المستهدفين إلى تحميل مشروع ببرنامج "فيجوال ستوديو" من صفحة على منصة "جيت هاب" (Github)، أو صفحة على خدمة "غوغل درايف"، يتحكم فيها المهاجم. المطلوب من المهندس هو إضافة بعض المميزات البرمجية إلى هذا المشروع لإثبات مهاراته وقدراته في البرمجة، ثم إرسال الملف مرة أخرى لتقييمه.
كان المشروع يبدو تطبيقًا عاديًّا لإدارة عمليات الموارد البشرية، لكنه تضمّن خاصية لتنزيل برمجية خبيثة مضغوطة، ثم استخراجها وتنفيذ عمل البرمجية داخل نظام تشغيل جهاز الشخص المستهدف.
أشار فريق غوغل لتحليل التهديدات إلى أن هذه الهجمة السيبرانية أظهرت "استهدافًا تفصيليًّا دقيقًا أكثر مما ظهر سابقًا من المجموعات السيبرانية التابعة لحركة حماس".
في النهاية، استنتج الفريق أن مثل تلك التطورات ظهرت لدى مجموعات سيبرانية أخرى في مراحل نضجها وتطورها، لذا يُرجح أننا نشهد الآن مراحل نضج وتطور المجموعات السيبرانية التابعة لحركة حماس. ليؤكد فريق غوغل أنه "في الوقت الذي لا يتضح فيه مستقبل العمليات السيبرانية لحماس، فإن المؤشرات الأخيرة على تطور قدراتها السيبرانية جديرة بالاهتمام وتستحق الرصد مستقبلًا". (İLKHA)