إف بي آي وغوغل تحذران من قراصنة ينتحلون صفة موظفي دعم فني ميدانياً

مقدمة تحليلية

في تطور أمني خطير يعيد رسم خريطة التهديدات السيبرانية الهجينة، أصدر مكتب التحقيقات الفيدرالي FBI بالتعاون مع فرق الأمن السيبراني التابعة لشركة غوغل (Mandiant و Google Threat Intelligence Group) تحذيراً أمنياً عاجلاً ومفصلاً في الخامس من يونيو لعام 2026. التحذير يسلط الضوء على تكتيكات هجومية مبتكرة وغير تقليدية تقودها مجموعة الجريمة المنظمة المعروفة باسم Silent Ransom Group (SRG). وتتجاوز هذه التكتيكات الجدران الرقمية الافتراضية، لترسل المجموعة قراصنة منتحلي صفة موظفي دعم فني ميدانيين (IT Support) مباشرة إلى المقرات المادية للضحايا، بهدف التسلل الفعلي والوصول المباشر للأجهزة الحساسة. استهدف هذا المخطط الهجومي عشرات المكاتب القانونية والشركات الاستشارية الكبرى في الولايات المتحدة الأمريكية خلال الفترة الممتدة من يناير وحتى مايو من عام 2026. ووفقاً لبيانات التحقيق المشترك، فقد تغلغل هؤلاء المخترقون الفيزيائيون داخل المكاتب منتحلين هويات مزيفة، واستخدموا وسائط تخزين خارجية USB ملوثة ببرمجيات خبيثة، أو قاموا بتثبيت أدوات التحكم عن بعد لمساعدة زملائهم في العصابة على اختراق الشبكات وسرقة البيانات الحساسة من الداخل دون لفت الانتباه. إن هذا التحول يثبت أن الحواجز الأمنية التقليدية التي تفصل بين الأمن المادي (Physical Security) والأمن السيبراني (Cybersecurity) قد انهارت تماماً. لم يعد المهاجم بحاجة لفك تشفير بروتوكول معقد أو البحث عن ثغرة يوم صفر (Zero-Day Exploit) مكلفة، طالما أنه قادر على استخدام مهارات الخداع المادي لتجاوز موظفي الاستقبال والوصول مباشرة إلى لوحة المفاتيح والماوس الخاصة بالضحية.

التحليل التقني

ترتكز عمليات مجموعة Silent Ransom Group على منهجية دقيقة تجمع بين الهندسة الاجتماعية المتقدمة واستغلال نقاط الضعف البشرية والمادية على حد سواء. ويمكن تشريح عملية الاختراق التقني والميداني إلى عدة خطوات مترابطة:

• الاستطلاع الاجتماعي الرقمي (Digital Reconnaissance): تبدأ المجموعة بجمع معلومات دقيقة حول الموظفين والهياكل التنظيمية للشركات المستهدفة عبر منصات احترافية مثل LinkedIn. بعد ذلك، يتم إرسال رسائل تصيد احتيالي ورسائل بريد إلكتروني تتبعها مكالمات هاتفية منتحلة صفة مزودي خدمات تكنولوجيا المعلومات المعتمدين لدى الشركة لبناء الثقة الأولية وبدء سيناريو حل مشكلة تقنية وهمية.
• التسلل المادي والهندسة الاجتماعية الميدانية: يرتدي المهاجم الميداني ملابس عمل رسمية تحمل شعارات فنية مزيفة، ويتوجه مباشرة إلى مقر الضحية مدعياً وجود موعد صيانة مجدول أو تحديث طارئ للنظام. في كثير من الأحيان، تستغل هذه العناصر ضعف الرقابة عند بوابات الدخول وغياب آليات المصادقة المادية للمقاولين الخارجيين.
• استغلال منافذ USB المادية (BadUSB / Rubber Ducky Attacks): بمجرد جلوس المهاجم أمام حاسوب الموظف المستهدف، يقوم بتوصيل وحدة تخزين USB مخصصة. في كثير من الأحيان، لا تكون هذه الوحدات مجرد وسائط تخزين عادية، بل أجهزة تحاكي لوحة المفاتيح (HID Keyboard Emulator) تقوم بمجرد توصيلها بكتابة أوامر سريعة في بيئة PowerShell أو Command Prompt بسرعة فائقة لتنزيل حمولات خبيثة (Payloads) وتجاوز برمجيات مكافحة الفيروسات (AV) وحلول أمن النقاط الطرفية (EDR).
• تثبيت أدوات التحكم والوصول عن بعد (Remote Access Trojans - RATs): إذا لم يقم المهاجم بتهريب البيانات مباشرة عبر الـ USB، فإنه يقوم بتهيئة النظام لتثبيت أدوات وصول تجارية مشروعة مثل AnyDesk أو ScreenConnect أو ميزات مشاركة الشاشة في تطبيقات Zoom و Microsoft Teams. يتم ذلك لتسهيل عملية التحكم والولوج المستقبلي لعصابة الاختراق دون الحاجة للتواجد الفعلي مجدداً.
• نموذج الابتزاز القائم على سرقة البيانات دون تشفير (Pure Data-Exfiltration Extortion): على عكس هجمات الفدية التقليدية التي تعتمد على تشفير الأجهزة عبر خوارزميات مثل AES أو RSA، تفضل هذه المجموعة سرقة البيانات بصمت وسحبها إلى خوادم التحكم الخاصة بها (C2 Servers). يتضمن ذلك عقود الشركات، معلومات الضمان الاجتماعي (SSN)، السجلات المالية والضريبية. لاحقاً، يتلقى الضحايا رسائل بريد إلكتروني تهدد بنشر هذه البيانات على موقع التسريبات الخاص بالمجموعة (Leak Site) وإبلاغ العملاء والشركاء بالخرق في حال رفض دفع المبالغ المطلوبة.

السياق وتأثير السوق

تاريخياً، كانت الهجمات التي تتضمن تسللاً فيزيائياً لزراعة أدوات تجسس مقتصرة على أجهزة الاستخبارات الدولية والتهديدات المتقدمة المستمرة (APT) المدعومة حكومياً، نظراً لارتفاع التكلفة اللوجستية والمخاطر القانونية العالية المرتبطة بإرسال عملاء بشريين إلى الميدان. إن تبني عصابات برمجيات الفدية والابتزاز التجاري مثل Silent Ransom Group لهذه الأساليب يشكل تحولاً خطيراً في اقتصاديات الجريمة السيبرانية. مكاتب المحاماة والشركات القانونية تعد أهدافاً مغرية للغاية بسبب طبيعة أعمالها؛ فهي تحتفظ بأسرار صفقات الاندماج والاستحواذ الضخمة، والملفات القضائية الحساسة، وبيانات الملكية الفكرية لعملائها من الشركات الكبرى. نجاح هجوم واحد من هذا النوع لا يهدد السمعة التجارية للمكتب القانوني فحسب، بل يهدد بانهيار صفقات بمليارات الدولارات وتكبيد الشركات غرامات تنظيمية طائلة بموجب تشريعات حماية البيانات. ويشير تشارلز كارماكال، المدير التقني لشركة Mandiant، إلى أن هذا التكتيك يعكس مستوى جديداً من الجرأة والابتكار لدى المجموعات الإجرامية التي باتت ترى في الثغرات الأمنية الفيزيائية للمؤسسات طريقاً أسهل وأسرع لتحقيق مكاسب مالية ضخمة مقارنة بمحاولة كسر الدفاعات الرقمية المحصنة جيداً.

رؤية Glitch4Techs

في Glitch4Techs، نعتبر أن هذه الهجمات الهجينة تمثل جرس إنذار حقيقي يعري الفجوة التنظيمية الفادحة بين إدارة الأمن المادي وإدارة أمن المعلومات في الهياكل المؤسسية الحديثة. لقد أنفقت الشركات المليارات لحماية حدودها الرقمية السحابية عبر أنظمة التحقق متعدد العوامل (MFA) وجدران الحماية المتقدمة، لكنها تركت الأبواب المادية مشرعة لأي مخترق يمتلك بطاقة هوية مزيفة ومهارات هندسة اجتماعية بسيطة. إن الحدود الفاصلة بين الحماية المادية والرقمية انتهت؛ وبناءً على ذلك، نوصي الشركات بتبني الاستراتيجيات الدفاعية التالية فوراً:

• تطبيق مفهوم الثقة الصفرية المادية (Physical Zero Trust): يجب ألا تمنح أي صلاحية دخول أو تلمس لأي جهاز كمبيوتر داخل مقر الشركة دون وجود تذكرة دعم فني (Support Ticket) مسجلة رقمياً ومؤكدة مسبقاً عبر القنوات الرسمية الداخليّة.
• تقييد صارم للمنافذ المادية: تفعيل سياسات التحكم في الأجهزة (Device Control Policies) عبر برمجيات إدارة النقاط الطرفية لتعطيل منافذ USB تماماً لمنع تشغيل أي أجهزة غير مصرح بها مسبقاً، وحظر تنفيذ سكريبتات PowerShell التلقائية.
• التدريب العملي والمحاكاة المادية (Physical Red Teaming): من الضروري توسيع نطاق تدريبات التوعية الأمنية للموظفين وموظفي الاستقبال لتشمل اختبارات تسلل فيزيائية وهمية، مما يعزز قدرة الكادر البشري على كشف الغرباء والمخادعين والتبليغ عنهم فوراً.

إن التحول إلى الهجمات الهجينة يعني أن معيار الأمان القادم لن يقاس فقط بقوة جدار الحماية البرمجي، بل بمدى يقظة موظف الاستقبال وقفل الأبواب المادية للمكاتب الحساسة.