حدثٌ سيبرانيّ مهمّ طال البنية التحتية التشغيلية (OT) خلال الأسابيع القليلة الماضية مرّ إلى حدّ كبير دون أن يلاحظه أحد. إن اختراق مضخّات التحكّم في الفيضانات في ساحة سان ماركو في البندقية، والذي وقع في أواخر مارس/بداية أبريل، يبرز تحوّلًا تكتونيًا بالغ الأهمية. لم تعد الهجمات المتطورة على OT محصورة في التعطيل الرقمي، بل أصبحت تتجه بشكل متزايد نحو التأثير المادي الواقعي. لعلّنا نأمل ألا يصبح هذا هو الوضع الطبيعي من الآن فصاعدًا. كما يشير هذا التطور أيضًا إلى تغيّر كبير في أولويات الخصوم، إذ أصبحت أنظمة OT الآن في صلب استهداف الهاكتفيست والجهات المدعومة من الدولة.

الجهة المهدِّدة، وفي هذه الحالة، والتي تعمل تحت أسماء مستعارة مثل “Infrastructure Destruction Squad” أو “Dark Engine”، ادعت أنها حصلت على وصول إداري إلى النظام. ووفقًا للمجموعة، كان بإمكانها «تعطيل وسائل الدفاع وإغراق المناطق الساحلية»، ما يحوّل فعليًا التسلل الرقمي إلى كارثة مادية محتملة. وبحسب آخر تحديث من الجهة المهدِّدة، فقد تم حظرهم خارج الشبكة.

في تدوينة اليوم، سنغوص بعمق في هذا الحادث ونبرز الجوانب الرئيسية التي ربما جرى تجاهلها. كما سنوصي بطرق يمكن من خلالها منع مثل هذه الاختراقات.

وكما هو الحال دائمًا، قبل المتابعة، لا تنسوا الاطلاع على تدوينتنا السابقة حول مراقبة حركة المرور بين الشرق والغرب في OT للوفاء بمتطلبات NERC CIP-015 هنا. 

تاريخ هذا الحادث

بحسب أبحاث Shieldworkz المُثبتة بسجلات تيليغرام، بدأ الاختراق في وقت ما أواخر مارس (على الأرجح نحو 18 مارس)، حيث حصل المهاجمون على وصول إلى واجهة التحكّم الخاصة بنظام مكافحة الفيضانات (وتحديدًا نظام الضخ الهيدروليكي الذي يمنع البندقية من الغرق تحت الماء). وفي الأسبوع الأول من أبريل، بدأ المخترقون بمشاركة أدلة على الوصول، بما في ذلك لقطات شاشة للوحات التحكّم وتخطيطات النظام وحالات الصمامات. وادّعوا أنهم يسيطرون على القدرة على منع الفيضانات، بل وعرضوا بيع صلاحية الجذر الكاملة مقابل 600 دولار أمريكي (ورُفعت لاحقًا إلى 650 دولارًا).

فيما يلي الجدول الزمني لهذا الحادث

فرضية الخصم

الجهة: Infrastructure Destruction Squad (Dark Engine).
الأصل/الارتباط: متحدثون بالصينية المندرينية (منشورات مكتوبة بالصينية). يشير السعر المنخفض ($600) إلى «هاكتفيست مأجور» أو وحدة «تموضع مسبق» مدعومة من دولة، تنفّذ عملية مموّهة على أنها من تنفيذ مجرمين منخفضي المستوى. المال بالتأكيد ليس الدافع هنا. تُعرف الجهة الصينية المهدِّدة APT 41 بإدارة عدة كيانات واجهة وشركاء للحفاظ على قابلية الإنكار المعقول.
الدافع: الإشارة الاستراتيجية. لم يكن الهدف التدمير (على الأقل على المدى القصير)، بل إثبات أن الجهات الصينية المهدِّدة قادرة على الوصول إلى البنية التحتية الحيوية. كان الأمر يتعلق بإثبات هذه النقطة تحديدًا.

في منشور آخر، زعم المخترقون المزعومون أنهم كانوا يعملون بنوايا نبيلة ظاهريًا (أين سمعنا هذا من قبل؟). وادّعوا أن هدفهم كان كشف مواطن الضعف في طريقة إدارة أمن البنية التحتية الحيوية وفرض بعض الضغط السياسي لإصلاح هذه الفجوات (وقد قالوا ذلك فعلًا). إذا كان الهدف نبيلًا إلى هذه الدرجة، فلماذا يبيعون صلاحية الجذر مقابل 600 دولار أمريكي؟ قالت المجموعة إن القيمة المنخفضة المذكورة كانت لإظهار مدى سهولة ورخص الوصول إلى نظام يمكن استخدامه بعد ذلك في العبث. هذا مستوى جديد من العبث.  

هذا الادعاء يتهاوى عند قراءة آخر تحديث لهم (المنشور في 12 أبريل) على تيليغرام. ووفقًا لذلك التحديث، ادعت المجموعة أنها طوّرت أداة ستستخدمها لاستهداف شركات الطاقة (لقطة الشاشة مرفقة). كما وجّهوا تهديدًا محددًا إلى إيطاليا.

لقطة شاشة من قناة تيليغرام الخاصة بالمجموعة.

هذه هي الرسالة التي نشرتها مجموعة Infrastructure Destruction Squad على قناة تيليغرام أثناء إعلان الهجوم.

«نعلن اختراق النظام: SISTEMA DI RIDUZIONE RISCHIO ALLAGAMENTO (نظام تقليل مخاطر الفيضانات) التابع لوزارة البنية التحتية والنقل الإيطالية. لقد سيطرنا بالكامل على النظام. الهدف السياسي: كشف هشاشة البنية التحتية الحيوية في إيطاليا. إن التحكم في هذا النظام يتيح تعطيل بوابات الحجز، وإغراق المناطق الساحلية، وابتزاز الحكومة الإيطالية سياسيًا. العرض للبيع: نمنح صلاحية الجذر الكاملة إلى نظام التحكّم. السعر 600 دولار أمريكي لأي طرف يرغب في شراء الوصول.»

يجدر التنويه إلى أن الجهة المحددة التي تدير المضخات هي Provveditorato per le Opere Pubbliche del Triveneto (التي تتبع وزارة البنية التحتية والنقل).

وبحسب مجموعة Infrastructure Destruction Squad، فقد أجرت فرقة أمنية من هيئة مياه البندقية بعض الاختبارات للتحقق من الاختراق لكنها لم تتمكن من ذلك. وبحسب آخر التحديثات الصادرة عن الوزارة (حتى 12 أبريل)، فقد تم رصد «حركة مرور غير اعتيادية» لكنها أخفقت في إدراك مستوى الثبات الذي حققه المهاجمون عبر خادم الويب الخاص بـ HMI. لذلك أوضحت الوزارة أن عملية الرصد نجحت، لكن نطاق الاختراق جرى التقليل من شأنه.

وفي آخر تحديث نُشر في وقت سابق اليوم، قالت المجموعة: «هاها، لقد طردتنا السلطات الإيطالية من الشبكة. هاها لا تقلقوا، سنشن هجمات. اصمتوا.» وإذا أخذنا هذا التحديث بعين الاعتبار، فيبدو أن هيئة مياه البندقية قد استعادت السيطرة.

حول البنية التحتية

يبدو أن نظام الضخ جزء من مشروع MOSE (بالإيطالية: Modulo Sperimentale Elettromeccanico، أي «الوحدة التجريبية الكهروميكانيكية») المصمم لحماية مدينة البندقية في إيطاليا وبحيرتها من الفيضانات. وبحسب ويكيبيديا، فإن هذا المشروع هو في الأساس مجموعة من البوابات المتحركة الموجودة على قاع البحر عند مداخل ليدو ومالموكّو وكيوجيا، والتي يمكن رفعها لعزل بحيرة البندقية مؤقتًا عن البحر الأدرياتيكي أثناء المدّ العالي. «إلى جانب تدابير أخرى، مثل تدعيم السواحل، ورفع منسوب الأرصفة، ورصف البحيرة وتحسينها، صُمم MOSE لحماية البندقية والبحيرة من مدّ يصل إلى 3 أمتار (9.8 قدم). وحتى عام 2023، تُرفع البوابات عند توقع مدّ يتجاوز 1.30 متر.»

أثناء المدّ الطبيعي، تمتلئ البوابات بالماء وتستقر على قاع البحر. وعندما يُتوقَّع مدّ عالٍ، يُسحب الماء من داخل هذه البوابات عبر ضخ هواء مضغوط، ما يؤدي إلى ارتفاعها فوق مستوى المدّ العالي. وهذا يخلق حاجزًا يعزل البحيرة عن البحر. وبعد مرور المدّ العالي، يُضخ الماء مجددًا إلى البوابات، ويُطرد الهواء، ما يسمح لها بالهبوط مجددًا إلى قاع البحر.

تكلفة هذا المشروع الفريد: 8 مليارات دولار.

يمكنكم رؤية النظام كاملًا أثناء العمل عبر صورة متحركة جمالية هنا.

فما الذي حدث على نحو خاطئ؟

بالنسبة لمتخصص أمن التكنولوجيا التشغيلية (OT)، فإن أثر هذا الحادث يتجاوز العناوين الإعلامية والتعقيدات التشغيلية بكثير. بالنسبة لنا، يتعلق الأمر بهشاشة الأنظمة النفعية الحديثة التي تمكّن المدن والبلديات من العمل بكفاءة وتقديم الخدمات للمواطنين دون انقطاع. يمكن للمهاجمين استغلال الثغرات في هذه الأنظمة الحيوية لخلق حالات عالية الخطورة تهدد السلامة العامة والصحة (وقد تُبقي الحكومات رهينة أيضًا).

إن الادعاء بأن المخترقين حصلوا على مستوى كبير من التحكم في المضخات التي تدير دفاعات الفيضانات في البندقية يسلّط الضوء على فشل متكرر إلى حدٍّ ما في حماية أنظمة التحكم الصناعي (ICS). وعلى خلاف اختراقات تكنولوجيا المعلومات التقليدية، حيث يكون سرقة البيانات غالبًا هي الهدف، تستهدف هذه الهجمات حلقة التحكّم في العملية. والهدف هو التحكم في متغيرات النظام أو معاييره، أو جعله يعمل خارج نطاق التشغيل المصمم له بشكل كبير.

كيف تمكنوا من الوصول؟

لننظر أولًا إلى كيفية تطور مثل هذه السيناريوهات عادةً لفهم كيف يحصل الفاعلون المهدِّدون عادةً على الوصول إلى البنية التحتية الحيوية. فغالبًا ما لا تكون الناقل الرئيسي ثغرة معقدة متعددة المراحل تُحقن داخل الشبكة. بل يشمل ذلك عادةً ما يلي:

• واجهات الإنسان-الآلة (HMIs) غير الموثّقة: من المعروف أن العديد من محطات الضخ تستخدم واجهات HMI قائمة على الويب للمراقبة عن بُعد. وإذا كانت مفهرسة بواسطة محركات البحث وتفتقر إلى مصادقة قوية، فإنها تصبح بابًا مفتوحًا.

• ثغرات على مستوى البروتوكول: صُممت البروتوكولات القديمة مثل Modbus أو S7 من أجل الاعتمادية، لا من أجل الأمن. وهي تفتقر إلى التشفير الأصلي، ما يعني أن أي شخص ينجح في الوصول إلى الشبكة يمكنه حقن الأوامر مباشرة في وحدات التحكم المنطقية القابلة للبرمجة (PLCs).

• تعرّض VNC وبروتوكول سطح المكتب البعيد (RDP): يمكن للمهاجمين استخدام برامج مشاركة الشاشة التي تُركت فعالة بعد جلسة صيانة، ما يتيح لهم حرفيًا «الإمساك بمقود» برنامج التحكّم.

من الممكن أن تكون واجهة HMI مكشوفة قد استُخدمت في هذا الهجوم.

ومع ذلك، من المهم التمييز بين «الوصول» و«التحكم». فالهاكتفيست غالبًا ما يشاركون لقطات شاشة للوحات HMI لادعاء السيطرة الكاملة. ورغم أنهم قد يتمكنون من تشغيل مضخة واحدة أو إيقافها أو تغيير قيمة معيّنة، فإن الخطر الحقيقي يكمن في فشل متسلسل. ومن خلال تشغيل المضخات وإيقافها بسرعة (حالة «التذبذب»)، يمكن للمهاجم أن يسبب إجهادًا ميكانيكيًا أو حتى ارتفاعات كهربائية، ما يجعل العتاد غير قابل للتشغيل حتى بعد إغلاق الاختراق الرقمي.

سلسلة الاختراق

1. الحافة المكشوفة: اكتشف الخصم عنوان IP يواجه الإنترنت مرتبطًا بالنظام الهيدروليكي في البندقية، على الأرجح عبر المسح الآلي (Shodan/Censys).

2. حشو بيانات الاعتماد: الاستفادة من كلمات المرور الافتراضية المعروفة للبوابات الصناعية الشائعة أو من بيانات اعتماد مسرّبة تخص الوزارة.

3. التلاعب بـ HMI: بعد الدخول، لم تُطلق «الفرقة» أي إنذارات. بل راقبوا النظام خلال موسم المدّ العالي لفهم منطق الصمامات الهوائية.

4. فجوة الخداع: أثناء «فحوصات عيد الفصح» التي أجرتها الحكومة الإيطالية، ظلّ المهاجمون في وضع خمول أو تلاعبوا بالبيانات المعروضة على شاشات SCADA بحيث تُظهر «الفحوصات» حالة «آمنة».

5. الإفصاح العلني: ولتعظيم الإحراج، انتظروا حتى بعد إعلان المدينة أن النظام آمن لنشر الدليل على استمرار وجودهم.

المواءمة مع إطار MITRE ATT&CK

الخلفية الجيوسياسية

مثل هذه الأحداث لا تقع في فراغ. فقد كثّفت المجموعات الهاكتفيستية الموالية لروسيا أو المناهضة للغرب استهدافها للبنية التحتية الأوروبية (ومن الأمثلة على ذلك الهجمات المتكررة على البنية التحتية الحيوية في بولندا). ومن خلال ضرب معلمٍ أيقوني مثل سان ماركو، يحقق المهاجمون أثرًا نفسيًا هائلًا يفوق بكثير التعقيد التقني للاختراق.

كما ذُكر سابقًا، يُظهر هذا الحادث مؤشرات واضحة تتسق مع تورط جهة مدعومة من دولة.

لماذا البندقية، أو بالأحرى لماذا إيطاليا؟

في السنوات الأخيرة، أعادت إيطاليا ضبط علاقتها مع الصين. فقد انسحبت من مبادرة الحزام والطريق، وعزّزت قواعد فحص الاستثمارات لديها ضمن آلية «القوة الذهبية». كما حظرت إيطاليا أو قيّدت عمليات الاستحواذ في عدة قطاعات استراتيجية مثل أشباه الموصلات والروبوتات والاتصالات. وقد لفتت هذه الخطوات انتباه أعلى المستويات في الحكومة الصينية، وقد تكون هذه الاختراقات إشارة استراتيجية (كما رأينا في هجمات بولندا حيث كانت روسيا تحاول تحقيق بعض المكاسب الجيوسياسية).  

من الممكن أن يكون الهجوم قد نُفّذ بواسطة مجموعة صينية ترتبط على نطاق واسع بوزارة أمن الدولة الصينية. وقد تكون الإشارة الاستراتيجية المُراد إيصالها على النحو التالي:

• كم يكلف إغراق البندقية؟ 600 دولار أمريكي

• الجهات الصينية المهدِّدة قادرة على اختراق البنية التحتية الحيوية الأوروبية

في Shieldworkz، نقدّر أن الصين قد تتخذ قريبًا خطوة دبلوماسية قد ترتبط ارتباطًا غير مباشر بهذا الحادث. وعند تفسير هذه الخطوة بشكل صحيح، ستكشف الدافع الحقيقي وراء هذا الحادث. ويؤكد دليل عمليات APT الصينية على استخدام الإشارات الخفية لتشكيل البيئة قبل الكشف عن النية الحقيقية.

الضرورة التنظيمية: الانتقال إلى ما هو أبعد من مجرد «النيات الحسنة»

في المناخ الجيوسياسي الحالي حيث تنشط عدة صراعات، لم يعد الحفاظ على مستوى أمن «خط الأساس» كافيًا من الناحية القانونية أو التشغيلية. فقد رفعت توجيهات NIS2 في أوروبا الرهانات بشكل كبير بالنسبة للجهات التي تدير المياه والدفاع ضد الفيضانات، إلى جانب الارتقاء بمستويات أمن البنية التحتية الحيوية الأساسية إلى آفاق جديدة وبشكل واضح.

أصبح الامتثال الآن مرتبطًا بالمرونة التشغيلية ونضج الحوكمة. وهذا يعني أن الأمن يجب أن يكون «مدمجًا» منذ مرحلة التكليف لأي مشروع بحري أو بلدي. فإذا كانت هناك محطة ضخ يجري تحديثها، فإن أمن القياس عن بُعد الخاص بها لا يقل أهمية عن قوة محركاتها.

قائمة المهام لأمن OT

لمنع تحوّل بنيتكم التحتية إلى غنيمة للهاكتفيست، اتبعوا هذه القائمة التقنية ذات الأولوية:

• تطبيق «الثقة المعدومة» للوصول عن بُعد: إزالة جميع الاتصالات المباشرة من الإنترنت إلى PLC أو مباشرة إلى HMI. استخدموا خادم عبور (Jump Server) آمنًا مع المصادقة متعددة العوامل (MFA) بوصفه البوابة الوحيدة إلى بيئة OT.

• مراجعة بيانات الاعتماد الافتراضية و/أو المسربة: إجراء «مسح شامل» لجميع الأجهزة الميدانية. التأكد من عدم استخدام أي مستشعرات أو بوابات أو وحدات تحكم لأسماء مستخدمين أو كلمات مرور مضبوطة من المصنع.

• تعطيل الخدمات غير الضرورية: إيقاف Telnet وHTTP (واستخدام HTTPS)، وأي بروتوكولات اكتشاف على PLC لا تكون مطلوبة للعملية الحالية.

• التجزئة الدقيقة للشبكة: عزل شبكة تحكّم سان ماركو (أو ما يعادلها) عن شبكة المكتب البلدي الأوسع. يجب أن يُفلتر المرور بين هذه المناطق بصرامة عبر جدار ناري صناعي قادر على الفحص العميق للحزم (DPI).

• تمكين تسجيل النظام والمراقبة: التأكد من تسجيل كل أمر «تشغيل/إيقاف» يُرسل إلى مضخة على خادم منفصل وغير قابل للتعديل. يجب أن تؤدي الأنشطة غير المعتادة—مثل تشغيل مضخة أو إيقافها عند الساعة 3:00 صباحًا—إلى فحص ميداني فوري.

• التحقق من بدائل التشغيل اليدوي: اختبار قدرة الموظفين دوريًا على تشغيل بوابات الفيضانات أو المضخات في وضع «اليدوي المحلي». وإذا تعرّض النظام الرقمي للاختراق، يجب أن يتمكن فريقكم من إبقاء المدينة جافة باستخدام التجاوزات المادية.

• إجراء تقييمات مخاطر منتظمة مستندة إلى IEC 62443: لتحديد فجوات أمن OT ومعالجتها ومنع استغلال هذه الفجوات

هل ترغبون في تقييم مستوى تعرّض HMI لديكم أو معرفة مخاطر OT الخاصة بكم؟ تحدثوا مع خبرائنا في IEC 62443 من خلال استشارة مجانية.

موارد إضافية

دليل المعالجة لمنع مثل هذه الحوادث الأمنية في OT 
دليل المعالجة لفجوات أمن NIS2
دليل معالجة أمن PLC (وفقًا لأحدث إرشادات CISA)
كيفية نشر ضوابط IEC 62443 

لا تترددوا في التواصل معنا إذا كانت لديكم أي أسئلة.  

تحديث آخر من قناة تيليغرام التابعة لمجموعة Infrastructure Destruction Squad.