الأمن السيبراني
حاميها حراميها.. تفاصيل صادمة عن هجوم داخلي كاد يشل شركة كبرى
مهندس يعبث بالخوادم من الداخل ويطلب فدية بـ750 ألف دولار
في 1 أبريل 2026، اعترف مهندس البنية التحتية دانيال راين (Daniel Rhyne) أمام محكمة فيدرالية أميركية بذنبه في شن هجوم ابتزاز داخلي (Insider Extortion Attack) ضد الشركة التي كان يعمل لديها. راين، الذي كان يتمتع بصلاحيات واسعة في صيانة الشبكات الأساسية، استخدم صلاحياته لتدمير الأنظمة من الداخل وطلب فدية بقيمة 750 ألف دولار بعملة بيتكوين .
أبرز أفعاله التخريبية:
- حذف حسابات مسؤولي الشبكة (Network Administrator Accounts)
- تغيير كلمات المرور لمنع الزملاء من الوصول إلى الأنظمة
- جدولة مهام غير مصرح بها على وحدة التحكم بالمجال (Domain Controller)
- تعطيل أنظمة النسخ الاحتياطي (Backups) وإقناع الجميع بأن جميع النسخ قد حُذفت
بعد أن شل حركة الشركة، أرسل رسالة تهديد إلى الموظفين يطالب فيها بدفع فدية بالبيتكوين، مهدداً بمواصلة تعطيل الخوادم إذا لم يتم الدفع .
لماذا اهتز قطاع الأمن السيبراني؟ “التقنيات مملة ومتوقعة”
الجزء الأكثر إثارة للقلق في هذه القضية، بحسب خبراء الأمن، هو أن الأدوات التي استخدمها راين ليست متطورة أو معقدة. إنها أدوات شائعة يستخدمها مسؤولو الشبكات يومياً، مما يعني أن إجراءات أمنية قياسية كان يمكن أن تمنع الهجوم بالكامل .
بريان ليفين (Brian Levine)، المدير التنفيذي لشركة FormerGov، قال: “ما يجعل هذه القضية مثيرة للاهتمام هو مدى قابلية مسار الهجوم للتوقع. كان مملاً” .
القائمة السوداء للأدوات الخطيرة حسب ليفين:
- مجدول المهام (Task Scheduler)
- PsExec
- PsPasswd
- net user
هذه الأدوات، بحسب ليفين، هي بمثابة “أدوات اقتحام” (Lockpicks) في يد الموظف الداخلي. كان يجب أن تولد هذه الأدوات تنبيهات سلوكية (Behavioral Alerts) عند استخدامها على نطاق واسع، أو خارج ساعات العمل، أو من أجهزة غير معتادة .
دروس قاسية لمسؤولي تقنية المعلومات
1. لا تثق بأي مسؤول واحد
بول فورتادو (Paul Furtado)، نائب الرئيس البارز والمحلل في “غارتنر” (Gartner)، نصح العملاء بضرورة التأكد من أنه لا يمكن لأي مسؤول واحد أن يتسبب في هذا النوع من الضرر.
توصياته:
- إنشاء نموذج إدارة متعدد الطبقات (Tiered Administration Model) مع صلاحيات مجزأة (Fragmented Authority).
- تدوير ملكية العمليات الحيوية (Crown Jewel Processes) بين كبار المهندسين والمسؤولين.
- تخزين بيانات اعتماد المسؤول الطارئ (Break-Glass Admin Credential) في وحدات أمان مادية (HSM) أو خزائن رقمية، ولا تُستخدم إلا في حالات الطوارئ.
2. النسخ الاحتياطي يجب أن يكون غير قابل للتغيير (Immutable)
بريان ليفين شدد على أن النسخ الاحتياطي يجب أن تكون “غير قابلة للتغيير” (Immutable)، أي لا يمكن لأي شخص، حتى مدير النظام، حذفها أو تعديلها أو تشفيرها لفترة زمنية محددة.
3. فصل الصلاحيات الصارم (Segregation of Duties)
فلافيو فيانوستري (Flavio Villanustre)، كبير مسؤولي أمن المعلومات في مجموعة “ليكسيس نيكسيس ريسك سوليوشنز” (LexisNexis Risk Solutions Group)، لاحظ أن الحسابات المستخدمة لإدارة الشبكات في قضية راين كان بإمكانها أيضاً تدمير النسخ الاحتياطية بشكل لا رجعة فيه، مما يدل على أن فصلاً قوياً للصلاحيات لم يكن موجوداً.
4. مراقبة سلوك المسؤولين بالفيديو
أشار ليفين إلى ضرورة وجود مراقبة مستمرة لأنشطة المسؤولين. “إذا كان شخص ما يتصل بسطح المكتب البعيد (RDP) بوحدة تحكم المجال (Domain Controller) في الساعة 7:48 صباحاً وينشئ 16 مهمة مجدولة، فيجب أن يكون لديك سجل تدقيق (Audit Trail) يشبه الفيديو” .
العقوبة: ما بين 5 و10 سنوات سجناً
وفقاً لوثائق وزارة العدل الأميركية، يواجه راين عقوبتين منفصلتين:
- تهمة الابتزاز (Extortion) : الحد الأقصى 5 سنوات سجناً
- تدمير جهاز محمي (Intentional Damage to a Protected Computer) : الحد الأقصى 10 سنوات سجناً
خلاصة: الحلقة الأضعف لا تزال داخل جدران الشركة
قضية دانيال راين تذكرنا بحقيقة مؤلمة: أخطر التهديدات لا تأتي دائماً من قراصنة مجهولين في أقبية مظلمة، بل من أشخاص نثق بهم ويمنحون صلاحيات الوصول إلى قلب أنظمتنا. الإجراءات الأمنية القياسية، مثل تطبيق مبدأ الامتيازات الأقل (Least Privilege)، وفصل الصلاحيات، وجعل النسخ الاحتياطية غير قابلة للتغيير، ليست مجرد “أفضل الممارسات” النظري. هي خط الدفاع الأخير عندما يتحول “الموظف الموثوق” إلى “عدو من الداخل”.
وعلى رأي المثل العربي : حاميها حراميها …
