جاسوسية صامتة: اختراق علبة بريد مسؤول بورصة عالمية لـ 5 أشهر

مقدمة تحليلية

في عالم تترابط فيه الأسواق المالية رقمياً، لم تعد الاختراقات الأمنية مجرد محاولات للتخريب أو طلب الفدية المالية، بل تحولت إلى أدوات تجسس بالغة الدقة لسرقة القرار المالي قبل صدوره. كشف تقرير مشترك صدر مؤخراً عن فريق أبحاث التهديدات في شركتي Symantec وCarbon Black عن عملية تجسس سيبراني بالغة التعقيد استمرت لخمسة أشهر كاملة، حيث استهدفت علبة الوارد الخاصة ببريد Outlook لمدير تنفيذي رفيع المستوى في واحدة من كبرى البورصات العالمية. المثير للدهشة في هذه العملية ليس فقط هوية المستهدف، بل الأسلوب التقني الهادئ الذي اتبعه المهاجمون لتجنب لفت انتباه أنظمة الكشف المتطورة.

تشير تفاصيل الحملة التي تم تتبعها من أكتوبر 2025 وحتى مارس 2026 إلى أن الدافع الأساسي للمهاجمين كان جمع معلومات استخباراتية رفيعة المستوى وليس تحقيق مكاسب مالية سريعة. يتيح بريد رئيس بورصة عالمية كبرى الوصول إلى كنز معلوماتي لا يقدر بثمن، يشمل بيانات الطروحات العامة غير المعلنة، والقرارات التنظيمية، والنزاعات القانونية، وخطط الاندماج والاستحواذ، بالإضافة إلى جهات الاتصال الحساسة وجداول المواعيد اليومية. ومن خلال الحفاظ على تواصل صامت ومنخفض الضوضاء، تمكن الجناة من نسخ محتويات صندوق البريد بشكل دوري دون إحداث أي خلل في العمليات اليومية للمؤسسة المالية.

التحليل التقني

بدأت مؤشرات التهديد الأولى بالظهور في 10 أكتوبر 2025، عندما نجح المهاجمون في تشغيل برمجيتين خبيثتين بصلاحيات SYSTEM، وهي أعلى مستويات الامتيازات داخل نظام تشغيل Windows. كانت إحدى هذه البرمجيات تتخفى في شكل أداة تحديث تابعة لشركة Adobe، في حين تخفت الأخرى كخدمة تابعة لتطبيق OneDrive الموثوق. ومع أن المتسللين تمكنوا من فرض سيطرة كاملة على الجهاز المستهدف، إلا أن ناقل الهجوم الأولي لا يزال غامضاً، وإن كان يرجح بقوة أنه جاء نتيجة حركة جانبية من جهاز آخر تم اختراقه مسبقاً داخل الشبكة ذاتها.

في 12 نوفمبر 2025، دخل الهجوم مرحلته النشطة عبر تنفيذ سلسلة من العمليات الممنهجة التي تضمنت استخدام الأدوات التالية:

• استخراج رمز واجهة برمجة التطبيقات الخاص بمنصة Dropbox.
• استخدام أداة Curl مفتوحة المصدر لرفع وتصدير البيانات المشفرة إلى السحابة.
• زرع أداة مخصصة لسرقة علب البريد مبنية على مكتبة Aspose المشروعة لـ .NET، وهي مكتبة تُستخدم برمجياً لقراءة ملفات OST وPST الخاصة بتطبيق Outlook وتحويلها وتصديرها.

صُممت أداة السرقة للعمل كملف تنفيذي مخصص يقوم بتصدير محتويات علبة البريد إلى ملف PST مشفر بكلمة مرور ومحدد بنطاق زمني صارم. جرت عملية التصدير الأولى لتشمل كافة الرسائل الواردة بدءاً من أغسطس 2025، تلاها تنفيذ ثماني عمليات تصدير متتالية ومتباعدة زمنياً بمعدل عملية واحدة كل أسبوعين إلى أربعة أسابيع، حتى تاريخ 17 فبراير 2026. هذا الأسلوب في تقطيع البيانات وتصديرها في حزم صغيرة منع إحداث طفرات مفاجئة في حركة مرور البيانات الشبكية، مما جعلها تندمج كلياً مع الاستهلاك الطبيعي للشبكة.

لضمان التخفي التام، قام المهاجمون بإنشاء مهام مجدولة على نظام التشغيل تتخفى تحت أسماء خدمات صيانة تابعة لشركات مثل Adobe وLenovo وOneDrive. ولتجاوز أنظمة المراقبة المحيطية وجدران الحماية، تم توجيه حركة المرور مباشرة إلى عناوين بروتوكول الإنترنت الصلبة لشركة Microsoft دون الاعتماد على نطاقات الأسماء المعتادة مثل onedrive.live.com، مما ألغى الحاجة لإجراء استعلامات DNS التي يسهل رصدها من قبل أدوات الدفاع الرقمية. كما سُجلت محاولة يتيمة في نوفمبر لاستخدام منصة رفع الملفات العامة temp.sh قبل أن يتم التخلي عنها فوراً لتجنب إثارة الشكوك.

بالإضافة إلى أداة سحب رسائل Outlook، شملت الترسانة التقنية للمهاجمين مجموعة من الأدوات العامة والخاصة لتعزيز حضورهم داخل الشبكة، ومنها:

• أداة FRPC لإنشاء قنوات اتصال عكسية ونفق شبكي مشفر لتجاوز القيود الخارجية.
• برمجية Secretsdump الشهيرة لاستخراج بيانات الهوية واعتمادات تسجيل الدخول المخزنة في الذاكرة وويندوز.
• أداة SharpDecryptPwd المصممة لفك تشفير كلمات المرور المحفوظة داخل التطبيقات والمتصفحات.
• نصوص برمجية مخصصة لتخطي آليات تحكم حساب المستخدم.

السياق وتأثير السوق

تمثل هذه الحادثة قفزة نوعية في تكتيكات مجموعات التجسس الإلكتروني التي باتت تفضل البقاء لفترات طويلة داخل شبكات الأهداف الحيوية عوضاً عن إحداث ضجيج إعلامي أو تشفير الملفات لطلب الفدية. إن عدم الإفصاح عن اسم البورصة المستهدفة أو المدير التنفيذي يعكس مدى حساسية الموقف وأهمية المعلومات التي قد تكون تسربت؛ حيث يمكن لأي جهة تحصل على مسودات اللوائح التنظيمية أو خطط الاستحواذ أن تحقق أرباحاً هائلة في أسواق الأسهم العالمية أو تستخدمها كأداة ضغط سياسي واقتصادي في الساحة الدولية.

كما يعكس الهجوم استخداماً متطوراً لمنهجية العيش على الأرض، حيث لم يستخدم المهاجمون برمجيات خبيثة ذات توقيعات رقمية معروفة يمكن لبرامج مكافحة الفيروسات التقليدية رصدها بسهولة، بل اعتمدوا على مكتبات برمجية شرعية مثل Aspose وأدوات إدارية قياسية لتهريب البيانات عبر قنوات موثوقة مثل OneDrive وDropbox. هذا التوجه يجعل من الصعب جداً ربط الهجوم بمجموعة تخريبية معينة، نظراً لأن المكونات المستخدمة متاحة للجميع ويصعب تتبع مصدرها الأساسي، وهو ما حذرت منه شركة Microsoft سابقاً في تقاريرها حول تزايد إساءة استخدام الخدمات السحابية الاستهلاكية للتمويه الجغرافي والتقني.

رؤية Glitch4Techs

تضع هذه العملية الأمنية المؤسسات المالية أمام حقيقة قاسية: لا توجد ثغرة أمنية صفرية يمكن إغلاقها لتفادي هذا النوع من الهجمات. إن غياب الثغرات يعني بالتبعية أن مسؤولية الحماية قد انتقلت بالكامل من مرحلة الترقيع الوقائي إلى مرحلة المراقبة المستمرة والتحليل السلوكي المتقدم. فالاعتماد المفرط على برامج مسح الثغرات وجدران الحماية التقليدية لم يعد كافياً أمام مهاجمين يمتلكون الصبر والموارد والقدرة على محاكاة السلوك الطبيعي للمستخدمين والأنظمة.

من وجهة نظر Glitch4Techs، يتطلب التصدي لهذه التهديدات إعادة صياغة جذرية لسياسات الوصول والتحقق داخل الشبكات الحساسة. يجب تفعيل مبدأ الثقة الصفرية الصارم على مستوى التطبيقات والعمليات الداخلية، وليس فقط على مستوى تسجيل دخول المستخدمين. يشمل ذلك حظر استخدام خدمات التخزين السحابي الشخصية على الأجهزة المرتبطة بحسابات ذات امتيازات عالية، ومراقبة سلوكيات تصدير ملفات البريد الإلكتروني بشكل صارم وربطها بإنذارات فورية، بالإضافة إلى التدقيق الدوري في الاتصالات المباشرة بعناوين IP خارجية لا ترتبط بطلب DNS معتمد. إن المعركة القادمة لحماية البنية التحتية المالية لن تُخاض في جبهة سد الثغرات، بل في تفاصيل السلوكيات الرقمية اليومية لموظفيها التنفيذيين.