DNSpionage: الحملة اللي حوّلت DNS لسلاح ضد الحكومات
في أواخر 2018، كشفت Cisco Talos عن حملة DNSpionage — حملة مرتبطة بمصالح إيرانية أعادت كتابة سجلات DNS الحكومية، وحوّلت مسار الإيميل وحركة VPN لسيرفرات المهاجمين، وولّدت شهادات TLS حقيقية عشان تفضل مخفية. وكانت السبب في أول توجيه طارئ من نوعه تُصدره الحكومة الأمريكية.
- domains
- security
- dns
- domain-security
معظم كوارث النطاقات بتتكلم عن مين يملك الاسم. الحادثة دي كانت عن مين يتحكم فيه — ولمدة شهور في أواخر 2018، الإجابة بالنسبة لعشرات النطاقات الحكومية في الشرق الأوسط كانت: مش الحكومات.
مفيش اختراق لسيرفر ويب. ولا برامج خبيثة في الصفحة الرئيسية. ولا تشويه أو رسالة فدية، ولا أي أثر واضح في لوجات التطبيقات. المهاجمون ما احتاجوش يخترقوا المباني أصلاً. دخلوا من الباب اللي ما حدش بيحرسه تقريباً: سجل DNS اللي بيحدد فين الإيميل والمواقع الإلكترونية الخاصة بالنطاق. عدّلوه — بهدوء، بعتمادات حقيقية، وراء شهادة TLS حقيقية — والحركة الإلكترونية في العالم اتبعت التعليمات الجديدة من غير ما تعترض.
Cisco Talos سمّتها DNSpionage. وهي واحدة من أنظف الأمثلة المسجّلة اللي بتثبت إن نظام أسماء النطاقات مش مجرد سباكة. ده بنية تحتية للأمن القومي.
DNS كسلاح سياسي
عشان تفهم ليه DNSpionage زعزعت الحكومات، لازم تتذكر إيه اللي بيعمله DNS أصلاً.
في كل مرة بتبعت فيها إيميل لوزارة، أو بتسجّل دخول على VPN شركة، أو بتفتح صفحة ويب-ميل، جهازك بيسأل DNS سؤال: إيه عنوان IP الخاص بالاسم ده؟ مهما يكن رد DNS، أنت بتثق فيه. برنامج الإيميل بتاعك بيتوصل تمّه. الـ VPN بتاعك بيتحقق هناك. المتصفح بيسلّم الجلسة هناك. DNS هو دليل عناوين الإنترنت كله، وما فيش تقريباً أي حاجة بتتحقق لو الدليل اتعدّل.
وده بالظبط اللي استغلّته DNSpionage. لو قدرت تغيّر السجل — مش تكسر التشفير، ومش تخترق ملف الباسورد، بس تغيّر المؤشر — تقدر تقف خفي بين الهدف والخدمات اللي بيثق فيها. الإيميل بيعدي عليك. تسجيلات دخول VPN بتعدي عليك. ولأن اسم النطاق الخاص بالضحية بيظهر في شريط المتصفح، ما فيش حاجة بتبدو غلط.
ده تجسس عند الطبقة اللي تحت التطبيق. وهي أيضاً، بشكل مقلق، الطبقة اللي معظم برامج الأمن بتعاملها كمشكلة محلولة.
حملة DNSpionage (2018–2019)
في 27 نوفمبر 2018، نشرت Cisco Talos تقريرها الأول. السطر الأول كان محدد: "اكتشفت Cisco Talos مؤخراً حملة جديدة تستهدف لبنان والإمارات العربية المتحدة وتؤثر على نطاقات .gov، وكذلك شركة طيران لبنانية خاصة."
الحملة كان ليها وجهين. الأول كان عملية برمجيات خبيثة عادية نسبياً: "هذه الحملة تعتمد على موقعَين مزيّفَين وضارَّين يحتويان على إعلانات وظائف تُستخدم لاستهداف الضحايا عبر مستندات Microsoft Office خبيثة تحتوي على ماكرو." المواقع الطُعم انتحلت صفة شركات توظيف حقيقية — "hr-wipro[.]com (مع إعادة توجيه إلى wipro.com) وhr-suncor[.]com (مع إعادة توجيه إلى suncor.com)" — ونزّلت أداة وصول عن بُعد مخصصة قادرة، بشكل مميّز، على التواصل مع سيرفر الأوامر عبر DNS نفسه.
لكن الوجه التاني هو اللي صنع التاريخ. على حد قول Talos: "في حملة منفصلة، استخدم المهاجمون نفس عنوان IP لإعادة توجيه DNS لنطاقات .gov الشرعية ونطاقات شركات خاصة." سيرفرات الأسماء الحكومية الحقيقية اتوجّهت لأجهزة يمتلكها المهاجمون: "ويبدو أن خوادم أسماء متعددة تعود للقطاع العام في لبنان والإمارات، وكذلك بعض الشركات في لبنان، قد تعرضت للاختراق، وأُشير إلى أسماء المضيفين الخاضعة لسيطرتها نحو عناوين IP يتحكم فيها المهاجمون."
مواقع الوظائف المزيّفة كانت الجزء اللي بيشبه الجرائم الإلكترونية العادية. إعادة توجيه DNS كانت الجزء اللي بيشبه السياسة الدولية.
لما الباحثون المستقلون خلّصوا شدّ الخيط، اتضح إن الحجم أكبر بكتير من دولتين. Brian Krebs، وهو بيتتبع عناوين IP للمهاجمين بالعكس، لاقى إن "في الأشهر الأخيرة من 2018، نجح المخترقون وراء DNSpionage في اختراق مكوّنات رئيسية من بنية DNS التحتية لأكتر من 50 شركة وجهة حكومية في الشرق الأوسط."
مين اتاستهد، وما الرهانات
قائمة الضحايا بتشبه خريطة الجهاز العصبي لمنطقة كاملة: وزارات الخارجية، والطيران المدني، وشركات الاتصالات، والبنية التحتية للإنترنت، وموقع الويب-ميل الخاص بوزارة مالية وطنية. دول مش أهداف عشوائية. دول الأماكن اللي بتعدي منها أسرار الدول عبر الأسلاك.
بعد شهرين من تقرير Talos الأول، نشرت FireEye (المعروفة دلوقتي باسم Mandiant) تحليلها الخاص ووضّحت نسبة الحادثة بحذر. على حد قول FireEye، "تشير الأبحاث الأولية إلى أن المسؤول أو المسؤولين عن ذلك لديهم صلة بإيران." وأشارت SecurityWeek في تغطيتها لنتائج FireEye إن الشركة قدّرت بـ"ثقة معتدلة" إن إيران وراء الهجمات، استناداً إلى أدلة تقنية وكون الحملة متسقة مع مصالح الحكومة الإيرانية.
الرهانات نابعة مباشرة من طبيعة الأهداف. لما تقدر تقرأ إيميل وزارة خارجية في صورة نص عادي، أنت مش بتسرق بيانات — أنت بتقرأ عقل حكومة في الوقت الفعلي تقريباً. عشان كده حملة حصاد بيانات الاعتماد على مستوى طبقة DNS تُفهم بشكل صحيح مش كاحتيال، لكن كجمع استخباراتي ضد الدولة.
إزاي حصل ده: سجلات DNS + شهادات حقيقية + مواقع وظائف مزيّفة
الجزء ده يستحق إننا نتمهّل فيه، لأن الأسلوب كان أنيق بأسوأ طريقة ممكنة. فيه تلات خطوات.
الخطوة الأولى: احصل على مفاتيح دليل العناوين. المهاجمون ما كسروش تشفير DNS. بس سجّلوا دخول. FireEye وصفت طريقتين: "طريقة تتضمن تسجيل الدخول إلى واجهة إدارة مزوّد DNS باستخدام بيانات اعتماد مسرّبة وتغيير سجلات DNS A بهدف اعتراض حركة البريد الإلكتروني. وطريقة أخرى تتضمن تغيير سجلات DNS NS بعد اختراق حساب مسجّل النطاق الخاص بالضحية." بيانات الاعتماد المسروقة للمسجّلين ومزوّدي DNS كانت المفتاح الرئيسي. مين ما يملك تسجيل دخول المسجّل، يتحكم في النطاق — والنطاق بيتحكم في كل حاجة بتشير إليه.
الخطوة التانية: أعد توجيه الحركة بحيث تفضل شغّالة. توجيه سيرفر الإيميل الحكومي لعنوان IP بتاعك كان هيعطّل الخدمة وينبّه الأنظمة. فالمهاجمون استخدموا الـ proxy. الحركة اتنقلت للوجهة الأصلية بعد ما اتقطت، فالمستخدمون شافوا صندوق وارد شغّال وـ VPN شغّالة. زي ما FireEye وصفت في طريقة تالتة: "أُعيد توجيه المستخدمين إلى بنية تحتية يتحكم فيها المهاجمون." الاعتراض كان man-in-the-middle بيعيد التوجيه بهدوء — مخفي بالظبط لأن ما فيش حاجة بدت إنها بتعطّل.
الخطوة التالتة: تخطّى القفل الأخضر. الخدمات الحديثة بتستخدم TLS، اللي المفروض تطلع تحذير شهادة في اللحظة اللي الحركة بتوصل لسيرفر غلط. المهاجمون سدّوا الثغرة دي بتوليد شهاداتهم الحقيقية. Talos لاقت إن "في كل اختراق DNS، المهاجم كان بيولّد بعناية شهادات Let's Encrypt للنطاقات المعاد توجيهها." لأنهم كانوا بيتحكموا في DNS الخاص بالنطاق، قدروا يثبتوا للسلطة الشهادية إنهم يتحكموا فيه — والتحقق التلقائي من النطاق سلّمهم شهادة حقيقية. FireEye أكّدت نفس النمط عبر الطرق: "في كلتا الحالتين، استخدم المهاجمون شهادات Let's Encrypt لتجنب إثارة الشك."
النتيجة، في ملخص Krebs، كانت شاملة: "هجمات DNS دي مهّدت الطريق للمهاجمين عشان يحصلوا على شهادات تشفير SSL للنطاقات المستهدفة (مثلاً webmail.finance.gov.lb)، اللي سمحت لهم بفك تشفير الإيميل وبيانات اعتماد VPN المعترضة وعرضها كنص عادي." إيميلات وتسجيلات دخول VPN، كلها محفوظة وقابلة للقراءة، مع قفل حقيقي طول الوقت.
لاحظ إيه اللي ما كانش مطلوباً. لا ثغرة zero-day. ولا برامج خبيثة على سيرفرات الضحية نفسها. ولا جدار حماية اتخُرق. الهجوم عاش كله في الفجوة بين "أنا بملك النطاق ده" و"أقدر أثبت مين بيتحكم في سجلاته دلوقتي." الفجوة دي هي اللي عاشت فيها DNSpionage — وهي أوسع من اللي معظم المؤسسات بتتخيله.
الاستجابة: توجيه CISA الطارئ 19-01
الكشوفات المشتركة لـ Talos وـ FireEye وقعت بثقل في واشنطن. في 22 يناير 2019، أصدرت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية التوجيه الطارئ 19-01، "التخفيف من التلاعب بالبنية التحتية لـ DNS" — أول توجيه طارئ تُصدره CISA في تاريخها، وتعليمات نادرة ملزمة للحكومة المدنية الفيدرالية كلها.
تشخيص التوجيه تطابق مع الأبحاث تماماً. كما ورد في التقارير المعاصرة، حذّرت CISA من إن "المهاجمين أعادوا توجيه واعترضوا حركة الويب والبريد الإلكتروني، ومن الممكن أن يفعلوا نفس الشيء مع خدمات الشبكة الأخرى"، وإن المهاجمين "اخترقوا حسابات المسؤولين المشرفين على نطاقات DNS الحكومية."
وطلب التوجيه أربع إجراءات، في مهلة 10 أيام — وهي تبدو كرد مباشر على كل واحدة من الخطوات التلات للمهاجمين:
- راجع سجلات DNS بتاعتك — تحقق إنه ما اتعبث فيها على السيرفرات الموثوقة والثانوية.
- غيّر باسوردات حسابات DNS — دوّر كل بيانات اعتماد تقدر تعدّل DNS.
- أضف المصادقة متعددة العوامل لكل حسابات إدارة DNS — عشان الباسورد المسروق وحده ما يبقاش المفتاح الرئيسي.
- راقب لوجات Certificate Transparency — ترقّب الشهادات الصادرة لنطاقاتك اللي ما طلبتهاش.
البند الرابع ده هو الكاشف. CISA ما كانتش بس بتقول للجهات تقفل الباب؛ كانت بتقولها تراقب سجلات الشهادات العامة دليلاً على إن حد استخدم نسخة من المفتاح. DNSpionage حوّلت Certificate Transparency من ميزة متخصصة في PKI لأداة اكتشاف في الخط الأمامي لاختطاف DNS على مستوى الدول.
Krebs وصف غرابة اللحظة بصراحة: "وزارة الأمن الداخلي الأمريكية أصدرت توجيهاً طارئاً نادراً يأمر جميع الوكالات الفيدرالية المدنية الأمريكية بتأمين بيانات الاعتماد الخاصة بسجلات نطاقات الإنترنت بتاعتها."
DNSpionage ما كانتش الوحيدة اللي أدّت لده. عملية موازية وأكتر عدوانية سمّتها Talos Sea Turtle — اللي Talos وصفتها بأنها "أول حالة معروفة تتعرض فيها منظمة تسجيل نطاقات للاختراق في عمليات تجسس سيبراني"، واستهدفت "ما يقارب 40 منظمة مختلفة في 13 دولة مختلفة" — رفعت الرهانات أكتر. Talos كانت حريصة على التمييز بين الاتنين؛ في متابعتها في أبريل 2019 لاحظت إن سلوك DNSpionage "سيستمر على الأرجح في تمييز هذا الفاعل عن الحملات الأكثر إثارة للقلق مثل Sea Turtle." الحملتين مع بعض أثبتتا نفس النقطة من زوايا مختلفة: سلسلة إمداد DNS أصبحت مسرحاً للصراع بين الدول.
إيه اللي DNS كأداة للأمن القومي بيعلّمنا إياه
DNSpionage فيها قليل من دراما البرمجيات الخبيثة وفيها كتير من الدروس غير المريحة. دي بعضها يستحق الحفظ:
- حساب المسجّل هو التاج. كل حاجة تحت النطاق — الإيميل، الويب، VPN، تسجيل الدخول الموحد، إصدار الشهادات — بترث ثقة أي حد يقدر يعدّل DNS بتاعته. باسورد بدون عامل تحقق تاني على الحساب ده مش ثغرة صغيرة؛ ده القلعة كلها والبوابة مفتوحة. أول تعليمات CISA كانت عن بيانات الاعتماد، مش الجدران النارية، وده سببه بالظبط.
- الشهادة الحقيقية مش دليل على الشرعية. القفل الأخضر بيثبت إن الحركة متشفّرة لـمين ما يتحكم في النطاق دلوقتي. لو مهاجم يتحكم في DNS، التحقق التلقائي من النطاق هيُصدر له شهادة حقيقية بكل سرور. الثقة في TLS مستعارة من الثقة في DNS — وDNS أهشّ مما معظم الناس بيتصوروا.
- هجمات DNS مخفية بالتصميم. لأن الـ proxy بيمرّر الحركة الحقيقية، خدمات الضحية بتفضل شغّالة. ما فيش انقطاع يستدعي التحقيق. ربما الإشارة الخارجية الوحيدة تكون شهادة ظهرت في لوج CT عام — وعشان كده مراقبة اللوجات دي انتقلت من اختياري لإلزامي بين ليلة وضحاها.
- السيطرة على النطاق هي سيطرة للأمن القومي. لما الجهة اللي بتعدّل DNS وزارة خارجية دولة أجنبية هي دولة معادية، الحد الفاصل بين "عمليات IT" و"مكافحة التجسس" بيختفي. دليل عناوين الإنترنت هو أرض استراتيجية.
الخيط المشترك بين كل ده هو سؤال واحد ما يجيبش عليه أي أداة تشغيلية في الوقت الفعلي: مين المتحكم الفعلي في النطاق ده دلوقتي، وأقدر أثبت إنه ما اتغيّرش بهدوء؟ DNSpionage نجحت لأن السؤال ده كان صعب الإجابة لدرجة إن حكومات منطقة بأكملها ما قدرتش عليه.
زاوية Namefi
DNSpionage في جوهرها هي مشكلة إثبات الأصل والمصدر. المهاجمون ما امتلكوش النطاقات المستهدفة أبداً. استعاروا السيطرة عليها بسرقة بيانات الاعتماد اللي بتسمح للوحات تحكم المسجّلين ومزوّدي DNS بعمل تعديلات صامتة وغير قابلة للتحقق — وما فيش حاجة في النظام نبّهت إن الجهة المتحكمة اتغيّرت.
Namefi مبنية على أساس إن ملكية النطاق والسيطرة عليه المفروض تكون قابلة للتحقق، ومحمولة، ومقاومة للتلاعب بدل ما تتقفل داخل تسجيل دخول مسجّل غامض. الملكية المُرمّزة بتجعل "مين يتحكم في الاسم ده" حقيقة تقدر تتحقق منها وتراجعها، مش إعداد مدفون وراء باسورد ربما بقى في يد شخص تاني. ده مش بديل عن نظافة حسابات المسجّل أو المصادقة متعددة العوامل — نصيحة CISA لسه صح تماماً — لكنه بيهاجم الفجوة الأعمق اللي استغلّتها DNSpionage: صعوبة إثبات، بشكل مستقل ومستمر، إن الجهة المتحكمة في النطاق هي الجهة المفروض تكون.
الدرس من DNSpionage مش إن DNS هش بطريقة غريبة. الدرس هو إن أهم حقيقة عن النطاق — مين يتحكم فيه — كانت لفترة طويلة جداً حاجة واحدة بس تفصلها عنها: باسورد مسروق. تجعل الحقيقة دي قابلة للتحقق هو كل الموضوع.
المصادر وقراءات إضافية
- Cisco Talos — حملة DNSpionage تستهدف الشرق الأوسط (27 نوفمبر 2018)
- Cisco Talos — DNSpionage brings out the Karkoff (23 أبريل 2019)
- Krebs on Security — A Deep Dive on the Recent Widespread DNS Hijacking Attacks (18 فبراير 2019)
- The Register — Baddies linked to Iran fingered for DNS hijacking to read Middle Eastern regimes' emails (10 يناير 2019)
- SecurityWeek — Iran-Linked DNS Hijacking Attacks Target Organizations Worldwide (10 يناير 2019)
- BleepingComputer — DHS Issues Emergency Directive to Prevent DNS Hijacking Attacks (يناير 2019)
- Network World — Cisco Talos details exceptionally dangerous DNS hijacking attack (17 أبريل 2019)
- Network World — Cisco: DNSpionage attack adds new tools, morphs tactics
- CERT-IST — DNSpionage and DNS data hijacking
- CISA — التوجيه الطارئ 19-01: التخفيف من التلاعب بالبنية التحتية لـ DNS (22 يناير 2019)
عن الكاتب/الكاتبة
أدلة ذات صلة
- الدقيقة الـ 12 دولار: لما حد اشترى Google.com بهدوء تامفي سبتمبر 2015، موظف سابق في Google اشترى google.com من خلال Google Domains بـ 12 دولار، وامتلك السيطرة الإدارية على أثمن نطاق في العالم لمدة دقيقة تقريباً. قصة سانماي فيد، ومكافأة الـ 6,006.13 دولار، وما تكشفه دقيقة واحدة من الملكية عن مَن يتحكم فعلاً في النطاق.
- Domain Mayday EP03: اختراق حسابات تويتر بالبيتكوين عام 2020في 15 يوليو 2020، تمكّن مهاجمون من اختراق تويتر عن طريق مكالمة تليفونية، واستولوا على حسابات موثّقة لأوباما وبايدن وماسك وجيتس وآبل وأوبر، ونفّذوا عملية احتيال بالبيتكوين جمعوا فيها نحو 118 ألف دولار. تحليل معمّق لكيفية سرقة هوية رقمية، وما يمكن تعلّمه عن امتلاك اسم على الإنترنت.
- نداء الطوارئ EP05: اختطاف نطاقات DeFi الجماعي على Squarespace 2024في يوليو 2024، حوّلت عملية نقل نطاقات من Google Domains إلى Squarespace إعدادات المصادقة الضعيفة إلى ثغرة جماعية واسعة النطاق. استغل المهاجمون الثغرة واختطفوا نطاقات مشاريع كريبتو و DeFi كبرى — Compound Finance وCeler Network وPendle وUnstoppable Domains — وأعادوا توجيهها نحو مواقع تصيد لاستنزاف المحافظ. إليك كيف خلّفت عملية نقل "سلسة" مئات الأبواب الأمامية مفتوحة دون قفل، وما يمكننا تعلمه في مجال أمان مسجلي النطاقات والمصادقة الثنائية.
- هجوم BadgerDAO على الواجهة الأمامية: 120 مليون دولار اتسرّبت بسبب سكريبت واحد مُدرجفي ديسمبر 2021، اخترق المهاجمون حساب Cloudflare الخاص بـ BadgerDAO وحقنوا سكريبتًا خبيثًا في واجهة الموقع الأمامية. العقود الذكية المُدققة لم تُمسّ — لكن ~120 مليون دولار خرجت من الباب عبر موافقات المحافظ التي وقّعها المستخدمون دون أن يعلموا. تحليل معمّق لماذا الموقع الإلكتروني جزء من نطاق أمانك.