مع استعداد العائلات في جميع أنحاء فرنسا لموسم العطلات لعام 2025، تم تسليم نوع مختلف من "الطرود" في مقر La Poste. قبل أيام قليلة من عيد الميلاد، في 22 ديسمبر، تعرض العملاق البريدي والمصرفي الوطني لهجوم سيبراني ضخم. هذا الهجوم لم يقتصر فقط على عطب موقع الويب، بل استغل أيضًا نافذة اللوجستيات الأكثر ازدحامًا في العام لتحقيق مكاسب جيوسياسية معينة.

في 22 ديسمبر، قامت المنظمة بتحميل رسالة موجزة على موقعها الإلكتروني تبدأ بـ "Notre site est indisponible" أو موقعنا غير متاح. وأضافت أن فرق La Poste تقوم بكل ما في وسعها لحل المشكلة بسرعة.

علاوة على ذلك، نشرت La Poste على صفحتها على Facebook إشعارًا آخر أفاد بأن "حادث شبكة كبير يعطل حاليًا جميع أنظمة المعلومات لدينا."

وأشار الإشعار إلى أن موقع laposte.fr معطل حاليًا، وكذلك خدمة تخزين المستندات الآمنة Digiposte، وخدمة الهوية الرقمية لـ La Poste، وتطبيق La Poste.

كما حذر الإشعار من أن بعض مكاتب البريد قد تواجه مستوى معينًا من التدهور في الخدمة. ومع ذلك، ذكر أن التعاملات عبر الشباك لا تزال ممكنة.

تدير La Poste أيضًا بنكًا، هو Banque Postale، الذي يواجه مشكلات.

ادعت مجموعة الهاكتفيست المؤيدة لروسيا NoName057(16) التي قامت بالهجوم أنها جهة تهديد معروفة استهدفت أصول سيبرانية للناتو وأوكرانيا. إن توقيت الهجوم واختيار La Poste يقدم العديد من الدلائل حول الدوافع وراء الهجوم، وتوقيت ليس من قبيل الصدفة. بل يسعى إلى تقديم تذكير بنهاية العام بقيمة الإزعاج التي تحملها مثل هذه المجموعات المدعومة من الدول.

في منشور المدونة اليوم، نلقي نظرة داخلية على الهجوم والمشتبه بهم، وما يعنيه ذلك لمستقبل الحرب الهجينة.

ولكن قبل أن نتقدم، لا تنسَ الاطلاع على مدونتنا السابقة حول "ما نعرفه عن خرق Nissan-Red Hat" هنا.

لنبدأ.

السلاح المفضل

تم التعرف على الهجوم من قبل باحثي Shieldworkz باعتباره هجوم رفض الخدمة الموزع (DDoS). على عكس هجوم الفدية الذي يسرق البيانات مقابل رسوم، فإن هجوم DDoS مصمم لإغراق النظام بحجم هائل. غالبًا ما يكون هذا وضعًا مفضلًا للمجموعات الهاكتفيست التي ترغب في ترك رسالة بدون طلب فدية أو الدخول في أي نوع من التفاوض مع المجرمين وراء الهجوم السيبراني. أحيانًا تُستخدم هذه الهجمات أيضًا لـ:

· اختبار دفاعات المنظمة

· تحديد نوافذ محتملة لاستخراج البيانات

· التحقق من كفاءات الموظفين

· تقييم قدرات استجابة الحوادث للمنظمة

كل هذا يتم لإنشاء أرضية لهجمات أكثر دقة واستهدافًا في المستقبل.

بالعودة إلى ما حدث في 22 ديسمبر، من خلال إغراق خوادم DNS (نظام أسماء النطاقات) التابعة لـ La Poste بحركة غير شرعية، قام الهاكرز فعليًا "بقفل الباب الأمامي" لخدمات الشركة الرقمية.

• التأثير: بالرغم من أن الرسائل الفعلية لم تتأثر من وجهة نظر التسليم، إلا أن العقل الرقمي مدير العمليات أصبح مشلولاً بشكل فعال.

• الخسائر: توقف تتبع الطرود عن العمل، وبقي تطبيق La Banque Postale (الذي كان يخدم وقت كتابة هذه القطعة ما يقرب من 11 مليون شخص) صامتًا، وأصبح قبو مستندات Digiposte غير قابل للوصول.

الجاني: NoName057(16)

أعلنت مجموعة الهاكتفيست المؤيدة لروسيا NoName057(16) مسؤوليتها عن الحادث. أصبحت هذه المجموعة شوكة مستمرة في جانب دول الناتو وحلفائها. تكوّنت بعد فترة وجيزة من الغزو الأوكراني في 2022، وهي متخصصة في "الدعاية من خلال الانقطاع".

من خلال استهداف La Poste، لا تسعى المجموعة فقط إلى الحصول على بيانات، بل تسعى أيضًا إلى رؤية واهتمام داخل روسيا وخارجها. هدفهم هو خلق شعور بعدم الأمان الرقمي في المجتمعات الغربية، ومعاقبة فرنسا على دعمها العسكري والسياسي المستمر لأوكرانيا.

قد يتذكر المرء أنه بين 14 و17 يوليو، تم إطلاق عملية دولية مشتركة، معروفة بعملية Eastwood ومنسقة من قبل Europol وEurojust لاستهداف شبكة الجريمة السيبرانية المرتبطة بـNoName057(16). اتخذت السلطات القضائية وإنفاذ القانون من التشيك، فرنسا، فنلندا، ألمانيا، إيطاليا، ليتوانيا، بولندا، إسبانيا، السويد، سويسرا، هولندا والولايات المتحدة إجراءات متزامنة عبر الحدود ضد مجرمي الإنترنت والبنية التحتية التابعة للشبكة السيبرانية المؤيدة لروسيا. كما دعمت التحقيق ENISA، بالإضافة إلى دول مثل بلجيكا، كندا، استونيا، الدنمارك، لاتفيا، رومانيا وأوكرانيا. كما قدمت الأطراف الخاصة ShadowServer وabuse.ch المساعدة من خلال المساهمة في الجزء الفني من العملية.

أدت هذه الحملة إلى إيقاف بنية تحتية للهجوم أقامتها المجموعة. شمل ذلك أكثر من مائة نظام كمبيوتر وشبكة حول العالم. تم إيقاف جزء كبير من البنية التحتية للخادم المركزي للمجموعة.

في المجمل، أصدرت السلطات الوطنية سبعة أوامر اعتقال في يوليو، ووجهت، من بين أمور أخرى، ضد ستة مواطنين روس لتورطهم في عمليات NoName057(16). ومنذ ذلك الحين، تم إدراج جميع المشتبه بهم على أنهم مطلوبين دوليًا، وفي بعض الحالات، تم الكشف عن هوياتهم لوسائل الإعلام لتحفيز المواطنين على الإبلاغ عن أنشطة هؤلاء المجرمين. كما تم نشر ملامح خمسة "للمطلوبين" من مجرمي NoName057(16) على موقع الاتحاد الأوروبي للمطلوبين.

منذ ذلك الحين، تواصلت السلطات الوطنية مع العديد من الأفراد الذين يُعتقد أنهم داعمون سريون لهذه الشبكة الإجرامية السيبرانية. تم إرسال الرسائل عبر تطبيق مراسلة شائع، لإبلاغ المستلمين بالإجراءات الرسمية التي تسلط الضوء على المسؤولية الجنائية التي يتحملونها عن أفعالهم وفقًا للتشريعات الوطنية.

ثم ذكرت Europol أن الأفراد الذين يتصرفون لصالح NoName057(16) هم في الغالب من المتعاطفين الناطقين بالروسية الذين يستخدمون أدوات مؤتمتة لتنفيذ هجمات رفض الخدمة (DDoS). يعملون بدون قيادة رسمية أو مهارات تقنية متقدمة، وهم يتحفزون بالأيديولوجية والمكافآت.

بالرغم من هذه العملية، يبدو أن NoName057(16) تم إحياؤه وهو الآن في حالة تُمكِّنه من تنفيذ عمليات. كيف حدث ذلك؟ لدينا نظرية لذلك أيضًا. سأكشف عن ذلك نحو النهاية.

لماذا الآن؟ التوقيت الاستراتيجي

في عالم الحرب السيبرانية، يعد التوقيت (غالبًا) كل شيء.

• الإجهاد اللوجستي: تقوم La Poste بفرز وتسليم أكثر من 2 مليون عنصر يوميًا في اقتراب عيد الميلاد. من خلال تعطيل التتبع والمدفوعات عبر الإنترنت، أجبر الهاكرز على العودة إلى المعالجة اليدوية، ما أدى إلى خلق اختناق كبير. بالإضافة إلى ذلك، طلبت La Poste خدمات موظفين إضافيين لإدارة الإجهاد.

• التأثير النفسي: بتوجيه خدمة "منزلية" وأساسية مثل مكتب البريد خلال العطلات، يتم تعظيم إحباط الجمهور. يحول ذلك من خلل تقني إلى محادثة وطنية على مائدة العشاء.

• تذكير بنهاية العام: بالرغم من أن العملية للقضاء على المجموعة أجريت في يوليو، إلا أن NoName057(16) أرادت نقل رسالة إلى أجهزة إنفاذ القانون في الاتحاد الأوروبي أنها لا تزال موجودة ومستعدة للمزيد من الانقطاع.

السياق الأوسع: "موجة" من الهجمات

هذا الحادث لم يكن بالتأكيد حدثًا معزولًا. بل اختتم شهرًا من التوترات الجيوسياسية والرقمية المتصاعدة في فرنسا:

• وزارة الداخلية: تم اختراق منفصل مؤخرًا للملفات الحساسة.

• الأمن البحري: تم اكتشاف برامج ضارة للوصول عن بعد مؤخرًا على عبارة ركاب.

• الخدمات العامة: واجهت وكالة التوظيف الفرنسية (France Travail) محاولات متكررة لاختراق بيانات المواطنين.

جيوسياسيًا، أدى الموقف القوي الذي اتخذته الحكومة الفرنسية بشأن أوكرانيا إلى جعل فرنسا في مرمى نيران مجرمي الإنترنت الروس وأهدافهم المدعومة من الدولة. كما تعمل فرنسا بنشاط على توفير المزيد من الضمانات الأمنية لأوكرانيا.

تولت المخابرات الفرنسية ( DGSI) المسألة رسميًا، مما يشير إلى أن الدولة تعتبر ذلك مسألة أمن قومياً بدلاً من مجرد فشل تقني بسيط.

أخيرًا، قد تتساءل كيف تمكنت NoName057(16) من إحيائها بسرعة. الجواب أبسط مما تتخيل. يحتفظ الجهة الفاعلة المدعومة من الدولة بخط إمداد ثابت من الموارد والأشخاص لمواصلة العمليات في حالة انقطاع. هذه الموارد منتشرة في أماكن مثل كوريا الشمالية وإيران حيث تكون محصنة من أي إجراء قانوني. بمجرد أن تنضج أدلة التهديد وتُبتكر التكتيكات والتقنيات والإجراءات (TTPs)، فلا يهم أين تعمل المجموعة أو أي نوع من الإجراءات التي تخضع لها. تستطيع مجموعة الهاكرز أو جهة التهديد العودة في وقت قصير تحت هوية جديدة أو باستخدام أعضاء جدد.

يضمن هذا النهج استمرارية العمليات والتعلم للجهة الفاعلة بالتهديد والمشرف عليها.

الخلاصة

يثبت هجوم La Poste لعام 2025 أن الهاكرز لا يحتفلون بالعطلات أو يأخذون وقتًا للخروج خلال موسم العمل البطيء. كما يثبت أن البنية التحتية الحرجة لا تزال هدفًا سهلًا لمجرمي الإنترنت العازمين على خلق الانقطاعات. مع اقترابنا من 2026، سيكون التحدي للأمم مثل فرنسا وللاتحاد الأوروبي هو بناء "التكرار الرقمي" وضمان أن الدولة يمكنها أن تظل تعمل حتى عندما تظلم السحابة.

مهتم بتقرير مخصص عن NoName057(16)؟ تحدث إلى خبيرنا.

جرب حل NDR الخاص بنا لأمان OT، هنا.

لبقية الأمور الأخرى، أخبرنا هنا.

تم جلب بيانات عملية Eastwood من Europol

الصورة المستخدمة لأغراض تمثيلية فقط.