الاختراق الإلكتروني لدوكو، فيرس التجسس الإسرائيلي/ الأمريكي الخطير

مقال رأي

 

قضم بولديفار بينتشات قطعةً من شطيرته، ثم حدّق في شاشة الكمبيوتر الخاص به. البرنامج، الذي كان يحاول تثبيته على جهازه، بدا أنه سيستغرق الدهر بأسره لينتهي تحميله. كان لديه عشرات الأشياء التي يجب إنجازها قبل بداية فصل الخريف للعام 2011 بجامعة بودابست للتكنولوجيا والعلوم الاقتصادية، حيث كان يُدرِّسُ علوم الحاسوب. ورغم القائمة الطويلة لما يجب إنجازه، فقد كان يشعر بالسعادة والاسترخاء. كان اليوم هو الأول من شهر سبتمبر، وكان رائعًا، فقد كانت السماء الصافية والهواء الدافئ لفترات ما بعد الظهيرة في ذاك الوقت المتأخر من الصيف من شأنهما إنسائك الطقس الخريفي البارد الذي أنذر بالقدوم وغدا قاب قوسين أو أدنى.

وبينما كان بينتشات، والمعروف بين أصدقائه بـ"بولدي"، يجلس على مكتبه في مختبر الجامعة للتشفير وتأمين النظم CrySyS Lab))، قاطع جرس الهاتف وجبة غذائه. لقد كان جوشكا باتروس، المدير التنفيذي لإحدى الشركات التي كان المختبر يقدم لها استشاراتٍ أحيانًا. ("جوشكا باتروس" هو اسمٌ مستعار).

سألت باتروس؛ "بولدي! هل لديك وقتٌ كي تفعل شيئًا لأجلنا؟"

"هل يتعلق الأمر بما تحدثنا عنه من قبل؟" هكذا تساءل بينتشات في إشارةٍ إلى حوارٍ سابقٍ دار بينهما بخصوص اختبار خدماتٍ جديدة كانت الشركة تخطط لتقديمها للعملاء.

قال باتروس؛ "لا شيءٌ آخر، هل يمكنك القدوم الآن؟ الأمر هام، ولكن لا تخبر أحدًا إلى أين أنت ذاهب."

التهم بينتشات سريعًا ما تبقى من غذائه، وأخبر زملاءه في المختبر أن لديه "أمرًا هامًا عاجل" وينبغي عليه الذهاب. "لا تسألوا،" هكذا قال لهم مهرولًا نحو الباب.

بعد فترةٍ قصيرة، وصل إلى مكتب باتروس، حيث وجد أن فريقًا مختارًا قد اجتمع لحل المشكلة التي أرادوا مناقشتها."يبدو أنه قد تم اختراقنا،" هكذا قال باتروس.

لقد وجدوا ملفًا مُشتبه به على جهاز أحد المطوّرين، وقد أُنشئ في وقتٍ متأخرٍ من الليل بينما لم يكن أحدٌ في العمل. كان الملف مُشفرًا ومضغوطًا وبالتالي لم يكن لديهم فكرةٌ عما يوجد بداخله، ولكنهم خمّنوا أنه كان يحوي بياناتٍ نسخها المخترقون من الجهاز وخططوا لسرقتها لاحقًا. وخلال بحثٍ على الشبكة الداخلية للشركة، تم اكتشاف بضع أجهزةٍ أخرى مصابة بالفيرس كذلك. كان فريق العمل متأكدًا من أنهم قد احتووا الهجوم ولكنهم أرادوا مساعدة بينتشات في تحديد الكيفية التي تم بها الاختراق والأشياء التي نجمت عنه. إذ أن الشركة كانت قد اتخذت كل الاحتياطات اللازمة – أنظمة فايروولز والبرامج المضادة للفيروسات ونظم كشف ومنع الاختراق – ومع ذلك استطاع المهاجمون الاختراق.  

كان بينتشات مدرسًا، لم يكن محترفًا في اصطياد البرمجيات الضارة، ولم يقم بأيٍ من هذه الأعمال التشريحية من قبل. في مختبر CrySyS، حيث كان واحدًا من بين أربعة مشرفين يعملون مع حفنة من طلاب الدراسات العليا، قام بإجراء أبحاثٍ أكاديمية للاتحاد الأوروبي واستشاراتٍ بسيطة - من حينٍ لآخر - لعددٍ من العملاء الآخرين، كانت هذه الاستشارات تتعلق بالتنظيف والمسح الدوريين للأجهزة واستعادة الأنظمة بعد الإصابات المعتادة بالفيروسات. ولم يقم أبدًا بفحص اختراقٍ مستهدفٍ من قبل، ناهيك عن الاختراقات التي لم يتم القضاء عليها بعد، ومع ذلك، فقد كان مستثارًا لإيجاد فرصة تتيح له القيام بذلك. كانت المشكلة الوحيدة هي أنه لم يستطع إخبار أحد بما كان يقوم به، فشركة باتروس كانت تعتمد على ثقة العملاء، وانتشار أي خبرٍ يتعلق بأن الشركة قد تم اختراقها كان من شأنه أن ينجم عن خسارة عددٍ من العملاء.

التقط فريق البحث صورًا مطابقة لمحركات الأقراص الصلبة المصابة، وقضوا هم وبينتشات ما تبقى من فترة بعد الظهيرة في فحص النسخ بدقة بحثًا عن أي شيءٍ مثيرٍ للشك. بنهاية اليوم، وجدوا ما كانوا يبحثون عنه – "إنفوستيلر" (سارق المعلومات) وهو عبارة عن تسلسلٍ من الشفرات مصمم بهدف رصد كلمات السر وقرعات المفاتيح على الأجهزة المصابة، كذلك فإنه يسرق الوثائق ويلتقط صورًا من الشاشة (سكرين شوت). علاوةً على ذلك، فقد كان يرصد أي أجهزةٍ أو نظم على اتصال بالأجهزة المصابة بما يمكن المخترقين من التوصل إلى مخططٍ يوضح تنظيم الشبكة في الشركة. لم يقم البرنامج الضار (الفيرس) على الفور بإرسال البيانات المسروقة من الأجهزة المصابة، وبدلًا من ذلك، كان يخزنها في ملفٍ مؤقت، مثل ذلك الذي اكتشفه فريق البحث. كان حجم الملف يزداد كلما توصل الإنفوستيلر إلى بياناتٍ جديدة، وعند نقطةٍ محددة كان على المخترقين أن يتصلوا بالجهاز لاستعادة الملف من خلال سيرفر server في الهند، كان يعد بمثابة مركز السيطرة والتحكم في البرنامج الضار (الفيرس).

أخذ بينتشات الصور المطابقة وسجلات الشركة الإلكترونية معه، بعدما نقحوها من بيانات اعملاء الحساسة، وعلى مدار الأيام القليلة التالية، عمل على تنظيفها من الملفات المصابة، وكان في هذه الأثناء حريصًا على العمل في سريةٍ وتكتمٍ كي لا يعلم زملاؤه في المختبر بما يقوم به. وعلى نحوٍ متوازٍ، استمر الفريق البحثي في العمل أيضًا، وبعد عدة أيامٍ كانوا قد توصلوا إلى ثلاثة ملفات أخرى مشتبه بها.

عندما قام بنتشات بفحص أحد هذه الملفات – ""kernel-mode driver، وهو برنامج يساعد جهاز الكمبيوتر على الاتصال بأجهزةٍ أخرى كالطابعة – تسارعت دقات قلبه. فالبرنامج كان ممهورًا (مختومًا) بخاتمٍ إلكترونيٍ digital certificate)) معتمد من قبل شركة في تايوان (الأختام الإلكترونية digital certificate هي وثائق تؤكد قانونية البرمجيات). انتظر لحظة، كذلك قال لنفسه. فستاكسنت Stuxnet – السلاح السيبيري الذي تم اكتشافه على برنامج تخصيب اليورانيوم الإيراني – قد استخدم أيضًا برنامجًا ممهورًا بخاتم شركةٍ في تايوان، ولكنها كانت في تلك الحالة RealTek Semiconductor، بينما الخاتم الحالي يرجع إلى شركةٍ مختلفة C-Media Electronics. تم اعتماد البرنامج في أغسطس 2009، وهو تقريبًا نفس الوقت الذي تم اكتشاف ستاكسنت Stuxnet فيه على الأجهزة في إيران.

هل يمكن أن تكون هناك علاقة بين الاختراقين؟ هكذا تساءل، ولكنه فكّر في الأمر لدقيقة ثم تجاهله. فأي شخص بإمكانه سرقة خاتم C-Media، ليس فقط أولئك من كانوا وراء ستاكسنت Stuxnet، هكذا استنتج.

بعد ذلك، لاحظ أحد أعضاء الفريق البحثي شيئًا آخر بدا مألوفًا في البرنامج – الطريقة التي كان يدخل بها الشفرات على الأجهزة المصابة. "إنني أعرف فيروسًا واحدًا يقوم بمثل ذلك،" هكذا قال لبينتشات. ولم يتطلب الأمر منه أن يذكر الاسم؛ فقد عرف بينتشات أنه كان يتحدث عن ستاكسنت Stuxnet. ولكن بينتشات تجاهل هذا الأمر أيضًا لأنه كان متأكدًا تمامًا أن هذه التقنية ليست مقصورة على ستاكسنت Stuxnet.

ولمرتين أخرتين خلال الأيام القليلة التالية، وجد فيهما بينتشات وفريق البحث أشياءًا في نظام التشفير ذكّرتهم بستاكسنت Stuxnet. ومع ذلك، أقنعوا أنفسهم في كل مرة أن الأمر محض مصادفةٍ. فالبرق لا يظهر مرتين بنفس الطريقة، هكذا فكّروا. وعلاوةً على ذلك، لم يجدوا إشارةً تفيد بأن الاختراق الجديد كان يستهدف بشكلٍ منطقيٍ مبرمج، مثلما كان الأمر مع أجهزة الكمبيوتر الصناعية التي استخدمها ستاكسنت Stuxnet كي يحدث خللًا في المنشأة الإيرانية النووية في نطنز.

ولكن عندما قام بينتشات، ومعه فريق البحث، بفحص البرامج المستخدمة في كلا الاختراقين – ستاكسنت Stuxnet وذلك الهجوم الجديد – جنبًا إلى جنب، أُسقط في أيديهم. فقد كان الفارق الوحيد بينهما هو الخاتم الإلكتروني Digital Certificates المستخدم في مهرهما.

اتصل بنتشات على الفور بباتروس، المدير التنفيذي للشركة، وأخبره بأنه يحتاج مشاركة زملائه الآخرين في مختبر CrySyS lab في عملية الفحص. فالأمر لم يعد اختراقًا بسيطًا؛ ويبدو كما لو كان هجومًا من دولة أخرى بما لذلك من آثار على الأمن القومي. وافق باتروس.

وضع بينتشات خططًا لإخبار زملائه يوم الاثنين التالي. وخلال عطلة نهاية الأسبوع، قام بجمع كل البيانات التقنية التي استطاع إيجادها بخصوص ستاكسنت Stuxnet وأعاد قراءتها لإيقاظ ذاكرته. إلا أنه عندما وصل للجزء الذي يتحدث عن إجراءات التشفير التي استخدمها ستاكسنت Stuxnet لإخفاء شفرته، وأخذ يقارنها بإجراءات التشفير في الهجوم الجديد، وجد مفاجأةً أخرى. فقد استخدم الأخير بعض التقنيات المطابقة لتلك التي استخدمها ستاكسنت Stuxnet في هجومه. عندها، لم يعد لديه شك في وجود علاقةٍ بين الاختراقين.

تهديد علاقة الثقة التي تجعل شبكة الإنترنت تؤدي وظيفتها على نحوٍ فعّال

على الفور، بعد أن استيقظ إريك تشين من نومه، في الرابع عشر من أكتوبر، التقط البلاك بيري الخاص به ليراجع بريده الإلكتروني. ولفت انتباهه عنوان إحدى الرسائل، كان ببساطة "برمجية ضارة هامة،" وكان هناك ملفٌ مرفقٌ مع الرسالة. كانت الرسالة قد أُرسلت إلى تشين، المدير التقني لفريق الاستجابة الأمنية بـ"سيمانتك"، بواسطة اثنين من علماء الحاسبات يعملان بمختبر جامعةٍ غير مشهورة في المجر، وقد كتبا بإنجليزيةٍ متكلفة أنهما اكتشفا اختراقًا جديدًا يشترك في "أوجه شبهٍ عديدة" مع ستاكسنت Stuxnet. وقد أطلقوا عليه دكو "Duqu" (dew queue) – والسبب أن الملفات المؤقتة التي أنشأها الفيرس تحمل أسماءًا تبدأ كلها بـ ~DQ. وقد كانا متأكدين من أن Duqu من شأنه "فتح فصلٍ جديدٍ في قصة ستاكسنت Stuxnet."

من جانبه، قام تشين بإرسال البريد الإلكتروني إلى بقية أعضاء فريق الاستجابة للمخاطر، وأرسل رسالة نصية لزميله ليام أومورتشو يخبره فيها أن يقرأ البريد الإلكتروني بمجرد استيقاظه من النوم. وبعدها توجه إلى مكتبه وهو يشعر بالتوجس والإثارة.

على مدار العام السابق، نمت لدى تشين ريبةً تجاه أولئك الذين يتصلون به للتحدث عن شكوكٍ واهية تتعلق بمشاهداتٍ جديدة لستاكسنت Stuxnet. لقد كان، نظرًا لطبيعة عمله في شركة مكافحة فيروسات (antivirus)، معتادًا على اعتماد أصدقائه وجيرانه على خبرته وقتما يظنون أن حاسوباتهم مصابة بفيرس. ولكن بعدما ذاع صيت تشين وفريقه بشركة سيمانتيك بسبب دورهم في فضح ستاكسنت Stuxnet، بدأ غرباء عشوائيون في التواصل معه أيضًا، مصّرين على الزعم بأن الحكومات تتجسس عليهم باستخدام ستاكسنت Stuxnet. ووصل الأمر لدرجة أن يرسل له أحد الأشخاص مظروفًا يحوي خمسين صفحة للقطاتٍ ضوئية مطبوعة من شاشة الكمبيوتر وسجلات الشبكة التي حددها باللون الأصفر ليثبت مزاعمه بخصوص ستاكسنت.

ومع ذلك، فإن تشين، الذي كان يسخر دائمًأ من كل ادعاءٍ جديد يمر بمكتبه بخصوص ستاكسنت Stuxnet، لم يحتج إلى قراءة أكثر من صفحتين من التقرير الذي وصله من المجر ليعرف أن الأمر مختلفٌ في هذه الحالة. "إنه ستاكسنت Stuxnet،" هكذا قال متيقنًا. فقد كانت بصمات مخترعي ستاكسنت Stuxnet شديدة الوضوح في هذا الإصدار الجديد.

أما أومورتشو فقد كان لا يزال نصف نائمٍ عندما قرأ رسالة تشين النصية في الصباح، إلا أن آثار النوم تلاشت سريعًا عندما فتح الملف المرفق وقرأ التقرير. ليس هناك ما هو مثل التحديق في فوهة سلاحٍ سيبيري لإزالة الضباب من على عقلك. "يجب أن أذهب إلى المكتب،" هكذا قال لصديقته بينما كان يرتدي بعض الملابس ويندفع نحو الباب.

وفي الطريق إلى المكتب، أخذ يعيد التفكير فيما رآه للتو، حيث أنه لم يستطع أن يصدق أن عصابة ستاكسنت Stuxnet لا تزال نشيطةً. فبعد كل ما حدث من تسليط للضوء الإعلامي وتوجيه أصابع الاتهام إلى إسرائيل والولايات المتحدة، كان يظن أن القراصنة بالتأكيد سيختارون الكمون لفترةٍ حتى تهدأ الأمور. وعلى أسوأ الاحتمالات، ظن أنهم كانوا سيعملون على تغيير طرقهم ونظام التشفير الذي يستخدمونه ليضمنوا عدم تتبعهم من خلال أي هجوم جديد يشنونه. إلا أنه وفقًا للتقرير القادم من المجر، يبدو أنهم لم يكلفوا أنفسهم عناء تغيير أي شيءٍ على الإطلاق. إنهم بحقٍ جسوري القلوب، هكذا فكّر. لقد كانوا إما عازمين على فعل أي شيء لتنفيذ هجومهم، ولم يعبأوا بأن يكتشف أمرهم أيٌ من كان، أو أنهم وضعوا استثماراتٍ كبيرة في شفرة دوكو (DUQU)، لذا لم يرغبوا في تغييرها حتى بعدما اُفتضح أمر ستاكسنت Stuxnet.

دوكو بالأساس هو تروجان (Trojan) يمكن التحكم فيه عن بعد (RAT)، ويعمل بمثابة بابٍ خلفي يوفر موطئ قادمٍ للمهاجمين على الأجهزة المصابة. وبمجرد أن يتم تثبيت الباب الخلفي، يتصل دوكو (DUQU) مباشرةً بسيرفر التحكم والقيادة، الذي يمكن للمهاجمين من خلاله تحميل وحداتٍ إضافية تحسن من أداء الشفرة المهاجمة، مثل مسجل ضربات لوحة المفاتيح/ الإنفوستيلر (infostealer) الذي وجده المجريون على إحدى أنظمتهم.

أما بالنسبة لأهداف دوكو (Duqu)، فقد كان جليًا أنه بخلاف ستاكسنت ((Stuxnet لم يكن يهدف إلى التخريب، بل كان مجرد أداةٍ تجسسية. فبينما كان ستاكسنت (Stuxnet) عبارة عن تطبيقاتٍ مخربة، بدا أن الهدف من دوكو (Duqu) استطلاعي بالأساس، حيث تم إرساله لجمع معلوماتٍ استخباراتية تفيد في هجماتٍ في المستقبل. لذلك اشتبهت سيمانتك أنه كان بمثابة مقدمةٍ لهجومٍ جديد يشبه ستاكسنت (Stuxnet). ومما عزز الشك أن فترة حياة دوكو (Duqu) كانت محددة، فنظامه التشفيري مصمم بحيث يدمر نفسه ذاتيًا بعد ستة وثلاثين يومًا، ويقوم بحذف كل الآثار التي تدل عليه من الجهاز المصاب.

كان الشيء الذي جعل دوكو (Duqu) مخيفًا على نحوٍ خاص هو دائرة استهدافه. فبالرغم من أن الباحثين المجريين وشركة سيمانتك اتخذوا كافة الاحتياطات اللازمة لإخفاء هويته عندما قاموا بالتحدث عن دوكو (Duqu) في وسائل الإعلام ولم يحددوا أبدًا الشركة، فقد استطاع باحثون آخرون بسرعةٍ تحديد أن الضحية كانت نيتلوك (NetLock)، "جهة توثيق إلكتروني" في المجر – الجهة المسئولة عن إصدار الشهادات الإلكترونية (digital certificates) هي الجهة التي تلجأ إليها الحكومات والمؤسسات المالية والشركات لتسجيل البرامج والمواقع الإلكترونية الخاصة بهم، وبذلك يضمن المستخدمون أنهم يحملون برمجياتٍ مشروعة تم تطويرها بواسطة مايكروسوفت أو يتمكنوا من إدخال اعتمادات تسجيل حساباتهم في المواقع القانونية المدارة بواسطة بنك أوف أمريكا أو جي ميل.

وكانت عواقب ذلك مثيرة للقلق. فجهات التوثيق الإلكتروني تعد جوهر علاقة الثقة التي تجعل شبكة الإنترنت تؤدي وظيفتها على نحوٍ فعال، ومهاجمة هذه الجهات من شأنها أن تُمكّن المخترقين من إصدار شهادات إلكترونية موثقة تحت اسم أي شركة واستخدامها في تسجيل برمجيات خبيثة. وإذا كان دوكو (Duqu) صنيعة الولايات المتحدة أو إسرائيل، فإن ذلك يعني أن إحدى دول حلف شمال الأطلسي قد تلاعبت بمكونٍ أساسي لبنية الثقة التي تجعل التعاملات على شبكة الإنترنت ممكنة، فقط من أجل دفع حملةٍ سرية. وإذا كانت الولايات المتحدة تقف خلف الهجوم، فإن ذلك يعني أيضًا أنه بينما يروج جناحٌ في الحكومة لأهمية البنية التحتية للأمن السيبيري ويعمل على دعم قواعد مقبولة للسلوك العام على شبكة الإنترنت، فإن جناحًا آخر منشغلٌ  بالتشكيك في قواعد السلوك تلك مما يسمح للآخرين بفعل الأمر ذاته.

"ليلة نجوم" البرمجيات الخبيثة

كان كوستين ريو، مدير فريق البحث والتحليل العالميين في شركة الأمن الروسية "كاسبرسكاي لاب"، في بكين عندما نُشرت الأخبار بشأن دوكو (Duqu)، وكان يحضر للإقلاع في الصباح الباكر إلى هونج كونج لحضور أحد الاجتماعات. فكّر أولًا في الاتصال بزملائه في موسكو، ولكنه أدرك أنهم ما زالوا نائمين. لذلك قام، قبل موعد إقلاع طائرته، بتنزيل الملفات التي جعلتها سيمانتك متاحة للباحثين، ثم راجعها خلال رحلته.

وبمجرد الهبوط في هونج كونج، أجرى اتصالًا بألكساندر جوستيف في موسكو – وهو مهندس (مختص في الهندسة العكسية) صغير في السن وعلى درجةٍ عالية من المهارة، كما أنه كبير باحثي البرمجيات الخبيثة بالشركة. سيمانتك وCrySyS Lab كانتا قد فحصتا ملفات دوكو (Duqu) بدقة، ولكن ريو وجوستيف كانا متشككين في أن هناك المزيد مما يمكن معرفته بخصوص الأمر، وقد كانا محقين.

فقد كان واضحًا لهم من اللحظة الأولى أن دوكو (Duqu) كان صنيعة مبرمجين محترفين. حيث كان النظام التشفيري له مختلفًا بشكلٍ ملحوظ عن أي برمجيات تجسس مرت عليهم من قبل – شبّه ريو ذلك بالفارق بين لوحة "ليلة النجوم" لفينسينت فان جوخ وأي تقليدٍ آخر يقوم به طالبٌ مبتديءٌ بمدرسة الفنون. لقد كانت اللمسات المدهشة والفذة في النظام التشفيري دليلًا على أيادٍ متمرسة.

كان الجانب المثير للاهتمام بشكلٍ خاص هو الجزء الذي استخدمه المخترقون في تحميل وحداتٍ إضافية لسحب البيانات من الأجهزة المصابة. فعلى العكس من وحدات ستاكسنت (Stuxnet) ودوكو (Duqu) الأخرى، لم يكن هذا الجزء مكتوبًا بلغة C أو C++ ولكنه كُتب بلغة لم يرها جوستيف أو ريو من قبل. وقد حاولوا تحديدها على مدار أسابيعٍ واستعانوا بخبراء في لغات البرمجة، ومع ذلك لم يستطيعوا حل اللغز. لذلك أعلنوا على مدونتهم أنهم يحتاجون إلى مساعدة، وبنهاية المطاف، استطاعوا فهم الأمر، بعد أن قاموا بتجميع مفاتيح اللغز؛ لقد استخدم المخترقون شكلًا نادرًا من أشكال اللغة C، جنبًا إلى جنب مع امتداداتٍ خاصة لتحوير الشفرة الكودية وجعلها صغيرة وقابلة للتحميل. كان هذا النمط في البرمجة سائدًا في البرمجيات التجارية التي أنتجت قبل عشرة أعوام، وليس شائعًا بين برامج اليوم، وقطعًا ليس مستخدمًا في البرمجيات الخبيثة. كان واضحًا، إذن، أن المخترقين ليسوا من صغار المبرمجين الذين يستخدمون أحدث التقنيات، بل كانوا مبرمجين حذرين ومحافظين من المدرسة التقليدية.

كان دوكو (Duqu) أيضًا مُسيطرًا عليه بدقة، بخلاف ستاكسنت (Stuxnet)الذي كان خارج السيطرة. إذ لم يظهر الاختراق أيًا مما يدعى ‘هجماتٍ دون انتظار zero-day exploits’ – كانت معروفة من قبل بـ"نقاط ضعف البرمجيات" – للمساعدة في انتشاره، لذلك لم يكن مسموحًا له بالانتشار التلقائي، مثلما كان الأمر في حالة ستاكسنت (Stuxnet). بدلًا من ذلك، كانت الإصابة تنتقل من جهازٍ لآخر، فقط إذا قام المخترقون بأنفسهم بإعطاء تعليماتٍ من سيرفر التحكم لفعل ذلك. وعلى العكس من ستاكسنت (Stuxnet)، الذي أصاب أكثر من مائة ألف جهاز، كشف الباحثون مؤخرًا عن حوالي ثلاثين إصابة فقط بدوكو (Duqu).

كذلك، كان المخترقون منهجيين في الكيفية التي وصلوا بها لضحاياهم، وذلك من خلال وضع ملفات اختراق جديدة لكل هدفٍ وتوزيع عددٍ من سيرفرات التحكم المنفصلة في أوروبا وآسيا، لذلك أظهر البحث أن جهازين أو ثلاثة فقط يشيرون إلى نفس السيرفر. بلا شكٍ، ساعدت عملية التجزئة في مساعدة المخترقين على تتبع عملياتٍ ومجموعاتٍ مختلفة من الضحايا، وعلاوةً على ذلك، فقد ضمنت أيضًا أنه في حال التوصل إلى أحد السيرفرات، فإن الإلمام بالعملية من شأنه أن يكون محدودًا للغاية.

وبمساعدة بعض الشركات التي استضافت السيرفرات، تمكنت كاسبرسكاي من الحصول على صورٍ مطابقة لخمسةٍ من سيرفرات التحكم والسيطرة. واكتشفوا أنه في العشرين من أكتوبر، بعد يومين من نشر سيمانتك للأخبار بخصوص دوكو (Duqu)، أجرى المخترقون عملية مسحٍ واسعة النطاق في محاولةٍ مذعورة للتخلص من البيانات التي كانت على السيرفرات. ولا يزال السبب في انتظارهم يومين للاستجابة للأمر غير واضحٍ. إلا أنهم في خضم تعجلهم في التخلص من الأدلة، تركوا خلفهم آثارًا مهمة من سجلاتٍ أمدت كاسبرسكاي بمفاتيح تتعلق بنشاطهم. فقد أوضحت السجلات أن المخترقين كانوا قد سجلوا في أحد سيرفرات التحكم في ألمانيا في نوفمبر 2009، قبل عامين من اكتشاف دوكو (Duqu). كما تبين أن دوكو (Duqu) قد كان كامنًا لفترةٍ طويلة بشكلٍ لم يكن متوقعًا. وربما، كما يفترض باحثو كاسبرساي، أنه كان سابقًا على ستاكسنت (Stuxnet)، وليس سلفًا له، كما افترضت سيمانتك.

يبدو إذن أن قصة ستاكسنت (stuxnet)لم تكن قد اكتملت بعد.

 

مصدر الترجمة: 
فريق ترجمة موقع راقب