استمع إلى المقال

مقدمة

في يوم 20 كانون الأول/ديسمبر 2023، زعمت مجموعة القرصنة المعروفة باسم “Rhysida” أنها قامت بقرصنة مستشفى “العبدلي”، وهو مستشفى متخصص متعدد التخصصات يقع في العبدلي، عمان، الأردن.

مجموعة “Rhysida”

لم يتم تأكيد انتماء مجموعة القرصنة “Rhysida” لأي دولة أو جماعة محددة.
وقد زعمت المجموعة مسؤوليتها عن هجمات إلكترونية ضد أهداف في الشرق الأوسط، بما في ذلك إسرائيل والأردن. ومع ذلك، لم يتم تقديم أي دليل يدعم هذه المزاعم.
من المحتمل أن تكون المجموعة عبارة عن مجموعة من القراصنة المستقلّينَ الذين يعملون من جميع أنحاء العالم. وقد يكونوا مدفوعينَ بمجموعة متنوعة من الدوافع، بما في ذلك الأرباح السياسية أو الشخصية.

“مستشفى العبدلي”

هو مستشفى متعدد التخصصات بسعة تبلغ 200 سرير طبي، يتألف المستشفى من 35 طابقًا، ويشغل مساحة قدرها 5500 متر مربع في منطقة العبدلي في وسط عمّان الجديد. تكمن مهمة المستشفى في توفير أعلى معايير الرعاية الصحية، بالإضافة إلى تعزيز الجهود المتعلقة بالأبحاث والتثقيف الصحي. يُعتبر المستشفى من بين أبرز المستشفيات في منطقة الشرق الأوسط نظراً لحداثته ولتوفّره على عدد كبير من الأقسام المتخصصة.

وقد نشر القراصنة رسالة غامضة تشير إلى اختراق بيانات المستشفى، وعرضوا البيانات للبيع بسعر 10 بتكوين.

لا تزال التفاصيل حول طبيعة البيانات المتأثرة ومدى الاختراق والدافع وراء الهجوم غير معروفة. كما أن المستشفى لم يصدر أي بيان رسمي بشأن الادعاءات.

مجموعة “Rhysida” كانت قد نفّذت سلسلة من الهجمات خلال الفترة الأخيرة، حيث زعمت اختراق مؤسسات مهمّة ومتنوعة. بالإضافة إلى اختراق مستشفى “العبدلي” في الأردن، 

أعلنت المجموعة عن اختراق المكتبة البريطانية، وهي مؤسسة تاريخية هامة تحتوي على ثروة من الأرشيف والموارد الثقافية.

ومن ثم، استهدفت “Rhysida” شركة هندسة الطاقة الصينية، وهي إحدى الشركات الكبيرة في مجال الطاقة.
يُظهر هذا الاستهداف التّنوع في اختيارات المجموعة، حيث تستهدف مؤسساتٍ في قطاعات مختلفة وذلك لتحقيق أهدافها.

تجدر الإشارة إلى أن “Rhysida” قد بدأت نشاطها منذ أيَّار/مايو 2023، وتشير معلومات موقع التسريب الخاص بها إلى أنها استهدفت على الأقل 62 شركة في عدّة صناعات، من بينها التعليم والرعاية الصحية والتصنيع وتكنولوجيا المعلومات والحكومة. تتميز هذه المجموعة بالاستهداف الفعّال لـ “أهداف الفرص”، مما يعني أنها تستهدف المؤسسات بشكل فردي بناءً على الفرص المتاحة والضعف في نظم الأمان لديهم.

قد أعلنت FBI وCISA عن تحذير مشترك حول هجمات مجموعة “Rhysida”، وذلك ضمن مبادرة #StopRansomware.
يهدف هذا التحذير إلى نشر معلومات حول تكتيكات وتقنيات وإجراءات المجموعة، والتي تشير إلى تشابهٍ بين نشاط مجموعة “Vice Society” والمجموعات المستخدمة لفيروس الفدية “Rhysida”.

من الجدير بالذكر أن “Rhysida” تعتمد على تقنيات “العيش خارج الأرض”، حيث تستخدم أدوات إدارة الشبكة الفعّالة من الداخل لتنفيذ عملياتها الخبيثة. وقد اعتمدت في هجماتها على استغلال الخدمات البعيدة الواجهة (مثل VPNs و RDPs) للوصول الأولي إلى شبكة الهدف والحفاظ على الثبات.

صور للوثائق المسروقة

نشرت المجموعة “Rhysida” صوراً للوثائق المسروقة كدليل على الاختراق. تشمل الصور المسرّبة بطاقات الهوية والعقود وغيرها.

يقول الإعلان الذي نُشر على موقع التسريب الخاص بمجموعة الفدية “مع مرور 7 أيام فقط، استفد من الفرصة للمزايدة على بيانات فريدة واستثنائية ورائعة. افتح محافِظك وكن جاهزاً لشراء بيانات حصرية. نحن نبيع فقط لشخص واحد، لا إعادة بيع، ستكون الشخص الوحيد المالك!”.

التحليل التقني

بناءً على المعلومات المتوفرة، يمكن إجراء التقييمات التالية:
بالإضافة إلى تعقيد ادعاء اختراق بيانات مستشفى “العبدلي” ، يظهر التقييم الأولي لموقع الويب الرسمي للمستشفى أنه يعمل بشكل كامل. وهذا يثير تساؤلات حول صحة ادعاء القراصنة بشأن اختراق بيانات مستشفى “العبدلي”.
لم يتم تأكيد بعد ما إذا كان إعلان اختراق بيانات مستشفى “العبدلي” هو تكتيك لجذب الانتباه، أم إذا كان هناك دافع أعمق وراء الاختراق الإلكتروني.

• التقييم الأمني: من المحتمل أن يكون اختراق بيانات مستشفى “العبدلي” هجوماً سيبرانياً ناجحاً. وقد تمكّن القراصنة من الوصول إلى البيانات الحساسة للمستشفى، بما في ذلك بيانات المرضى الشخصية وسجلات الرعاية الصحية.
• التقييم السياسي: من الممكن أن يكون الهجوم مرتبطاً بالنزاع المستمر بين إسرائيل و”حماس”. 
• التقييم الاقتصادي: من المحتمل أن يكون الهجوم له تأثير سلبي على المستشفى ومجتمع الرعاية الصحية في الأردن. وقد يؤدي إلى فقدان الثقة في المستشفى، وزيادة التكاليف المرتبطة بمعالجة بيانات المرضى.

التحليل الفني

وفقًا لمعلومات من مكتب التحقيقات الفيدرالي (FBI) ووكالة الأمن السيبراني والبنية التحتية (CISA)، تستخدم مجموعة “Rhysida” مجموعة متنوعة من أساليب الاختراق، بما في ذلك:

• استغلال الخدمات البعيدة:
  “Rhysida” تستهدف الوصول الأولي إلى شبكة الهدف من خلال استغلال الخدمات البعيدة مثل VPNs و RDPs.
  يتيح لهم ذلك التحايل على حواجز الحماية الخارجية والدخول إلى بنية الشبكة الداخلية.
• استخدام تقنيات “العيش خارج الأرض”:
  المجموعة تعتمد على تقنيات “العيش خارج الأرض”، حيث تستخدم أدوات إدارة الشبكة المدمجة في النظام الأساسي لتنفيذ عملياتها الخبيثة. هذا يجعل الكشف عن أنشطتها أمراً صعباً، حيث تستغل أدوات موجودة بالفعل في النظام لتحقيق أهدافها.
• الاعتماد على الاستخبارات الاصطناعية:
  توظّف “Rhysida” تقنيات الاستخبارات الاصطناعية لتحليل البيانات واستهداف أهداف محددة بشكل دقيق.
  يُمكن أن تساعد هذه التقنيات في تحديد الفرص المتاحة وتحديد النقاط الضعيفة في نظم الأمان.

• التشفير والتمويه:
  “Rhysida” تستخدم تقنيات التشفير لحماية بياناتها ولتصعيد تأثير هجماتها. بالإضافة إلى ذلك، يتم استخدام التمويه لإخفاء نشاطاتها ولتجنّب الكشف من قِبل أنظمة الحماية التقليدية.
• استغلال الثغرات الأمنية:
  يعتمد “Rhysida” على استغلال الثغرات الأمانية في البرامج والأنظمة للدخول إلى البنية التحتية للضحايا.
  قد يتم استغلال ثغرات معروفة أو استخدام أساليب هندسة اجتماعية للوصول إلى بيانات الاعتماد.
• نمط الخدمة (Ransomware-as-a-Service – RaaS):

تشير التقارير إلى أن “Rhysida” تعمل بنمط خدمة الفدية كخدمة تجارية، حيث يتم تأجير أدوات وهيكل الفدية لشخصين للقيام بالهجمات. يعتمد هذا النمط على توزيع الأرباح بين المجموعة والأفراد المشاركين.

في حالة مستشفى “العبدلي”، من المحتمل أن تكون المجموعة قد استخدمت أحد هذه الأساليب للوصول إلى أنظمة المستشفى.

التوصيات

بناءً على التقييمات الأولية، يمكن تقديم التوصيات التالية:

• التوصية الأمنية: يجب على المستشفى اتخاذ إجراءات فورية لمعالجة اختراق البيانات. وتشمل هذه الإجراءات تقييم مدى اختراق البيانات، واتخاذ الإجراءات اللازمة لتأمين أنظمة المستشفى.
• التوصية السياسية: يجب على السلطات الأردنية التحقيق في الهجوم. وقد يؤدي التحقيق إلى تحديد الجناة وتقديمهم للمحاكمة.
• التوصية الاقتصادية: يجب على الحكومة الأردنية تقديم الدعم للمستشفى للتغلب على الآثار السلبية للهجوم.

خاتمة

يمثل اختراق مستشفى “العبدلي” تهديداً خطيراً للبنية التحتية الحيوية في الأردن. وقد تستمر مجموعة القرصنة “Rhysida” في تنفيذ هجمات إلكترونية ضد أهداف في المنطقة في المستقبل.

من المهم أن تتخذ المؤسسات في الشرق الأوسط خطوات لتعزيز أمنها السيبراني، وحماية نفسها من الهجمات الإلكترونية. وتشمل هذه الإجراءات ما يلي:

• تحديث البرامج والأنظمة بانتظام: يساعد ذلك في تصحيح الثغرات الأمنية التي يمكن أن تستغلّها القراصنة.
• استخدام كلمات مرور قوية ومتعددة: يساعد ذلك في حماية الحسابات من الاختراق.
• تدريب الموظفين على الأمن الرقمي: يساعد ذلك في زيادة الوعي بالأمن السيبراني، وتقليل خطر وقوع الهجمات.

التحليل الإضافي

في ضوء التقارير الأخيرة عن هجمات إلكترونية ضد أهداف في الشرق الأوسط، من المهم أن تكون على دراية بالمخاطر التي تواجهها المؤسسات في المنطقة. يجب على المؤسسات اتخاذ خطوات لتعزيز أمنها السيبراني، وتدريب الموظفين على كيفية حماية البيانات الحساسة.

فيما يلي بعض الخطوات المحددة التي يمكن للمؤسسات اتخاذها لتحسين أمنها السيبراني:

• إنشاء خطة استجابة للطوارئ السيبرانية: يجب أن تتضمن خطة الاستجابة للطوارئ السيبرانية إجراءات لتحديد التهديدات والرّد عليها.
• تنفيذ تقنيات الأمن السيبراني: يجب على المؤسسات تنفيذ تقنيات الأمن السيبراني المناسبة لاحتياجاتها، مثل أنظمة جدار الحماية وبرامج مكافحة الفيروسات.
• تدريب الموظفينَ على الأمن السيبراني والأمن الرقمي: يجب تدريب الموظفينَ على كيفية التعرف على التهديدات السيبرانية وكيفية حماية البيانات الحساسة.

من خلال اتخاذ هذه الخطوات، يمكن للمؤسسات في الشرق الأوسط تقليل المخاطر التي تتعرض لها من الهجمات الإلكترونية.

كاتب المقال يحيى الصبيح ينصح بقراءة ...

أنظمة “جدران الحماية”.. ما مدى فاعليتها؟