لما ICANN نفسها اتفشت: اختراق التصيد الاحتيالي الموجَّه عام 2014 في قلب الإنترنت
في أواخر 2014، اعترفت ICANN — الهيئة المسؤولة عن تنسيق نظام أسماء النطاقات على الإنترنت — بأن رسالة إيميل تصيد احتيالي موجَّه، منتحِلةً هوية نطاقها الرسمي، تمكنت من سرقة بيانات موظفيها ومنح المخترقين صلاحيات إدارية على نظام بيانات المنطقة المركزية (CZDS). تحقيق من Domain Mayday في كيف اتفشت سلطة DNS نفسها، وما الذي انكشف، ولماذا القصة لا تزال مهمة حتى اليوم.
- domains
- security
- dns
- domain-security
ثمة نوع خاص من العناوين الإخبارية يجعل قطاع الأمن كله يتوقف لحظة. مش "متجر تاني اتخترق"، ولا "شركة ناشئة سرَّبت قاعدة بيانات" — ده اليوم اللي تعترف فيه المؤسسة اللي الكل بيثق فيها إنها اتاخدت بأبسط طريقة ممكنة.
في ديسمبر 2014، كانت تلك المؤسسة هي ICANN. المؤسسة الدولية لأسماء وأرقام الإنترنت — المنظمة غير الربحية المسؤولة عن تنسيق نظام أسماء النطاقات بالكامل، والحارسة للقواعد التي تسمح لـ namefi.io وgoogle.com وكل عنوان آخر على وجه الأرض بالإشارة إلى سيرفر — أعلنت أن بعض موظفيها ضغطوا على رابط في إيميل مزيف، وكتبوا كلمات مرورهم في صفحة تسجيل دخول مزيفة، وسلَّموا المخترقين مفاتيح أنظمة داخلية — من بينها نظام بيانات المنطقة المركزية (CZDS)، وهو المنصة التي تُطلب من خلالها ملفات منطقة نطاقات المستوى الأعلى في العالم ويُتيح الوصول إليها.
المؤسسة التي تضع قواعد الثقة على الإنترنت — اتفشت. بإيميل منتحَل هوية. بيتظاهر إنه من ICANN نفسها.
ده هو الحلقة 11 من Domain Mayday — وهو الحلقة اللي المشكلة فيها جاية من جوا البيت.
مين هي ICANN، وليه اختراقها له دلالة رمزية
عشان تفهم ليه الخبر ده وقع بالتقيل ده، لازم تعرف ICANN بتعمل إيه بالظبط.
ICANN مش شركة بتشتري منها نطاقًا. هي موجودة في طبقة أعلى من ده. تنسّق نظام المعرّفات الفريدة على مستوى العالم اللي بيخلي الإنترنت قابل للتصفح: نطاقات المستوى الأعلى (.com و.org و.io والمئات من النطاقات الأحدث)، والقواعد التي تتبعها المسجلات وشركات التسجيل، وكمان — من خلال وظيفة IANA — قمة هرم نظام أسماء النطاقات، وهي المنطقة الجذرية التي تعتمد عليها كل عملية بحث في النهاية.
لو النطاقات هي عناوين الإنترنت، فـ ICANN بتشغّل الدليل الرئيسي لمكتب البريد. الاختراق عند مزود تسجيل نطاقات — ده وحش. الاختراق عند ICANN — ده رمزي، لأن ICANN المفروض تكون هي السلطة — المؤسسة الوحيدة اللي مهمتها إبقاء نظام التسمية منظمًا وجديرًا بالثقة. لما السلطة المسؤولة عن أسماء الإنترنت تتعرض للاختراق، السؤال المحرج واضح: لو هم اتفشوا، مين مش ممكن يتفش؟
أواخر 2014: الاختراق
وضعت ICANN الجدول الزمني في إعلانها العام الرسمي الصادر في 16 ديسمبر 2014، بصراحة يُشكَر عليها: "نعتقد أن هجوم 'تصيد احتيالي موجَّه' بدأ في أواخر نوفمبر 2014."
الآلية كانت بسيطة بشكل يكاد يكون مهينًا. كما وصفته ICANN، كان الهجوم "يتضمن رسائل إيميل صُنِعت لتبدو كأنها قادمة من نطاقنا الخاص وأُرسلت إلى أعضاء من موظفينا." استلم الموظفون إيميلات تبدو كأنها جاية من icann.org — من داخل ICANN نفسها. ضغط بعضهم على الرابط. كما أعاد The Register تجميع الأحداث، قام الموظفون "بالضغط على رابط في الرسائل أخذهم إلى صفحة تسجيل دخول مزيفة — كتب فيها الموظفون أسماء المستخدمين وكلمات المرور الخاصة بهم"، مسلِّمين بده بيانات اعتماد الإيميل الخاصة بهم للمخترقين. تعليق The Register الجاف على الدفاع الغائب: "لا أثر للمصادقة الثنائية، إذن."
النتيجة، بكلام ICANN نفسها: "أسفر الهجوم عن اختراق بيانات اعتماد الإيميل لعدد من موظفي ICANN." Help Net Security عبّرت عنها بشكل أوضح: "عدد من الموظفين انخدعوا وسلّموا بيانات اعتماد الإيميل الخاصة بهم" للمخترقين.
لا ثغرة يوم-صفر. لا برمجيات خبيثة غريبة. إيميل مقنع وصفحة تسجيل دخول مزيفة — أقدم حيلة على الإنترنت، تم تنفيذها ضد الناس اللي بيساعدوا في إدارة الإنترنت.
ما تم الوصول إليه: نظام بيانات المنطقة في القلب
بيانات اعتماد الإيميل المسروقة وحدها وحشة بحالها. اللي خلى هذا الاختراق حلقة من Domain Mayday هو ما وصله المخترقون بها.
في أوائل ديسمبر 2014، اكتشفت ICANN أن بيانات الاعتماد المخترقة أُعيد استخدامها للدخول إلى أنظمة أخرى. الأخطر كان نظام بيانات المنطقة المركزية — CZDS، المنصة التي يطلب من خلالها الأطراف المصرَّح لهم تنزيل ملفات المنطقة لنطاقات المستوى الأعلى العامة في العالم. إفصاح ICANN صريح: "حصل المهاجم على صلاحية إدارية لجميع الملفات في CZDS."
إدارية لـكل الملفات. أوضح The Register سبب أهمية ذلك: CZDS "يمنح الأطراف المصرَّح لهم الوصول إلى جميع ملفات المنطقة الخاصة بنطاقات المستوى الأعلى العامة في العالم." مستخدمو النظام مش ناس عاديين — هم، كما لاحظ The Register، "كثير من مديري مسجلات وشركات تسجيل النطاقات في العالم." المخترقون ما دخلوش على قاعدة بيانات بس؛ دخلوا على قاعدة البيانات اللي حرّاس نظام التسمية نفسه بيسجّلوا فيها دخولهم.
بعيدًا عن ملفات المنطقة، كشف الاختراق البيانات الشخصية التي سجّل بها مستخدمو CZDS. وفقًا لـ ICANN، الحصيلة "تضمنت نسخًا من ملفات المنطقة في النظام، بالإضافة إلى المعلومات التي أدخلها المستخدمون كالاسم والعنوان البريدي وعنوان الإيميل وأرقام الفاكس والهاتف واسم المستخدم وكلمة المرور." أسماء مستخدمين وكلمات مرور لناس بتدير نطاقات المستوى الأعلى — موجودة في نظام مشى فيه المهاجم وهو لابس شارة مسروقة.
امتدت أضرار بيانات الاعتماد أبعد من كده كمان. أكدت ICANN أن المخترقين مسّوا أيضًا GAC Wiki (فضاء اللجنة الاستشارية الحكومية)، مدونة ICANN، وبوابة معلومات WHOIS، وإن أفادت بـعدم وجود أي تأثير على النظامين الأخيرين ومشاهدة محدودة فقط على الويكي.
كيف حصل ده: الشارة اللي عليها "ICANN"
لو شيلنا الطبقات التقنية جنب، الهجوم في جوهره خدعة ثقة.
التصيد الاحتيالي الموجَّه بيختلف عن التصيد العادي في دقته. مش مليون إيميل سبام بيأمل إن واحد يعضّها؛ ده عدد صغير من رسائل مصاغة بعناية موجَّهة لأناس بعينهم، مصمَّمة لتبدو كحركة داخلية اعتيادية. هنا كان التمويه في أقوى صورة ممكنة: الإيميل بدا كأنه جاي من icann.org. كما لخّص The Register: "المهاجمون أرسلوا رسائل إيميل مزيفة لموظفين، تبدو وكأنها جاية من icann.org."
فكّر في السيكولوجيا. إيميل جاي من نطاق مؤسستك نفسها مش بيصحّي الإنذار. صفحة تسجيل دخول بتشبه اللي بتستخدمها كل يوم كمان مش بتصحّيه. الهجوم كله استغل حقيقة إن الداخلي والمألوف بيحسّوا زي الآمن — وهما مش نفس الحاجة. شريط العنوان قال حاجة؛ والصفحة وراؤه كانت بتحصد كل اللي بيتكتب فيها.
التخفيف الحقيقي الوحيد عند ICANN كان على جانب التخزين: كلمات المرور المسروقة مكانتش موجودة بنص صريح. كما أشار الإفصاح، "كلمات المرور كانت مخزَّنة كهاشات تشفيرية مملَّحة" — أفضل من البديل، لكن كما أشار The Register، الحماية دي بتنفع بس إذا المستخدمين ما أعادوش استخدام نفس بيانات الاعتماد في أماكن تانية، لأن الهاشات لا تزال قابلة للكسر offline. الاختراق ما خلصش بالتنزيل؛ بدأ سباقًا بطيئًا بين المدافعين اللي بيغيّروا كلمات المرور والمهاجمين اللي بيحاولوا عكسها.
الاستجابة والتداعيات
بالحق، ICANN تعاملت مع الإفصاح أحسن من تعاملها مع الاختراق نفسه.
أعلنت للعلن خلال أسابيع، أوقفت كلمات مرور CZDS، أبلغت المستخدمين المتأثرين، و— بشكل لافت — إطارت الشفافية كواجب لا كمسؤولية. قالت المنظمة إنها "تتيح المعلومات عن هذه الحادثة للعلن، ليس فقط بسبب التزامنا بالانفتاح والشفافية، ولكن أيضًا لأن تبادل معلومات الأمن السيبراني يساعد جميع المعنيين على تقييم التهديدات لأنظمتهم." أفادت أيضًا بأن برنامج تعزيز الأمن الذي بدأ في وقت سابق من ذلك العام "ساعد في تقليص الوصول غير المصرَّح به الذي تحقق في الهجوم."
الجملة الأهم للإنترنت الأوسع كانت عن ما لم يسقط. أكدت ICANN: "هذا الهجوم لا يؤثر على أي أنظمة مرتبطة بـ IANA." IANA — كما وصفتها Help Net Security، الوظيفة التي "تدير المنطقة الجذرية في نظام أسماء النطاقات (DNS)" — هي القمة الفعلية لهرم التسمية على الإنترنت. لو المهاجمون وصلوها، ما كانش ده اختراق بيانات محرج؛ كان هيبقى حالة طوارئ هيكلية.
التوقيت جعل الإحراج أشد وطأة. وصف The Register الوضع بصراحة: "توقيت هجوم التصيد الاحتيالي ما كانش ممكن يبقى أسوأ لمشرف أسماء النطاقات." ليه؟ لأن ICANN "تأمل في تسلُّم السيطرة على عقد IANA الحيوي في السنة القادمة" — مفاوضات انتقال الإشراف اللي كانت جارية في ذلك الوقت. التعرض للتصيد الاحتيالي مش أحسن أداء تقديم لـ"ثقوا فينا بقلب نظام DNS." (للسياق، دي مش كانت مشكلة CZDS الوحيدة لـ ICANN في 2014: أشار The Register إلى حادثة أبريل سابقة "أُعطي فيها عدد من المستخدمين صلاحية مدير للنظام بشكل خاطئ.")
والبيانات عاشت حياة طويلة بعده. في تحديث بتاريخ 21 فبراير 2017 مُلحَق بإعلانها الأصلي، أقرّت ICANN بأن معلومات من الاختراق بدأت تطفو من جديد: "بعض المعلومات المأخوذة في حادثة التصيد الاحتيالي التي أعلنا عنها في 2014 يُعرض للبيع على المنتديات السرية." أفاد CyberScoop عن السعر الرائج بعد سنوات: "البيانات لا تزال تتداول وتُباع في الأسواق السوداء بـ$300"، مع ادعاءات بأنها لم تتسرب من قبل. ضغطة واحدة في أواخر 2014 لا تزال تولّد مبيعات في 2017.
ما يعلّمنا ده: الكل ممكن يتفش، حتى سلطة DNS
درس الحلقة 11 مش "ICANN كانت مهملة." الدرس أكثر تواضعًا من كده.
الكل ممكن يتفش. مش المهملون بس. مش غير المدرَّبين بس. الكل. المؤسسة التي تحكم أسماء الإنترنت حرفيًا — والمؤلفة من ناس بيفكروا في DNS والأمن والبنية التحتية لمعاشهم — لا يزال عدة موظفين منها كتبوا بياناتهم في صفحة مزيفة لأن الإيميل بدا داخليًا. التصيد الاحتيالي مش بيغلب معرفتك؛ بيغلب انتباهك، في الثانيتين اللي بيستغرقهما الضغط على رابط.
مجموعة من الدروس الدائمة تترتب على ده:
- بيانات الاعتماد هي المحيط الدفاعي. المهاجمون ما كسروش تشفير ICANN ولا استغلوا ثغرة في سيرفر. استعاروا كلمة مرور. لما الهوية تبقى هي البوابة، سرقة الهوية تبقى هي الاختراق — وده بالظبط سبب إبقاء التصيد الاحتيالي الهجوم الأكثر موثوقية في العالم.
- المصادقة متعددة العوامل مش اختيارية للأنظمة المميزة. تعليق The Register عن "لا أثر للمصادقة الثنائية" هو لب الموضوع. عامل ثاني على الأرجح كان هيحوّل سرقة بيانات الاعتماد دي لحدث بلا أثر.
- الحركة الجانبية هي المضاعِف. الضرر جه من إعادة الاستخدام — بيانات تسجيل الدخول لاميل أُعيد استخدامها للوصول لـ CZDS والويكي والبوابة. تقسيم الصلاحيات وعدم السماح لبيانات اعتماد واحدة مسروقة بفتح أبواب كثيرة — ده ما بيحصر الاختراق.
- البيانات المخترقة للأبد. إعادة البيع في 2017 بتثبت إن "غيّرنا كلمات المرور" بيغلق الحادثة لكن مش التعرض للخطر. الأسماء والعناوين وأرقام التليفون ما بتُعاد إلى حالة "ما اتسربتش".
- السلطة مش نفسها المناعة. كونك المؤسسة التي تحدد الثقة ما بيعملكش محصّنًا من أبسط هجوم عليها. بل العكس، ده بيخليك هدفًا أفضل.
زاوية Namefi
اختراق ICANN في جوهره قصة عن مين بيتحكم في السجلات — وكيف تم اختطاف هذه السيطرة من خلال بيانات اعتماد واحدة مسروقة على نظام مركزي.
دي هي نقطة الضعف الهيكلية الجديرة بالتأمل. لما إثبات من مصرَّح له بالوصول إلى بيانات النطاق الحساسة أو إدارتها بيكون وراء اسم مستخدم وكلمة مرور على منصة واحدة، نموذج الثقة بأكمله ينهار في اللحظة التي تتعرض فيها بيانات الاعتماد دي للتصيد الاحتيالي. ما فيش فحص ثانٍ. إيميل مقنع وكلمة مرور مُعاد استخدامها كانوا كافيين لمنح صلاحية إدارية على نظام بيانات المنطقة في مركز عالم التسمية.
Namefi مبني على مقدمة مختلفة: إن ملكية النطاق والتحكم فيه لازم تكون قابلة للتحقق، مقاومة للتلاعب، وغير معتمدة على سر واحد في صندوق بريد واحد. من خلال تمثيل ملكية النطاق كتوكنات على البلوك تشين متوافقة مع DNS، يصبح التحكم شيئًا يمكنك إثباته والتحقق منه تشفيريًا — مش مجرد حاجة محمية بكلمة مرور يمكن لإيميل تصيد احتيالي سرقتها. ده مش بيعمل حد محصّنًا من التصيد الاحتيالي؛ ما فيش حاجة بتعمل كده. لكنه بيضيّق نطاق الأضرار، عشان بيانات اعتماد واحدة مستعارة ما تبقاش خطوة واحدة من مفاتيح المملكة.
الصورة الدائمة للحلقة 11 هي الرسالة المزيفة اللي مشت جنب حارس مفاتيح الإنترنت الرئيسية لأنها كانت لابسة الزي الصح. الحل مش حارس أذكى. الحل هو نظام تثبت فيه المفاتيح نفسها إنها حقيقية.
المصادر وقراءة إضافية
- ICANN — ICANN Targeted in Spear Phishing Attack | Enhanced Security Measures Implemented (المصدر الأساسي، شامل تحديث 2017)
- The Register — ICANN HACKED: Intruders poke around global DNS innards
- Help Net Security — ICANN systems breached via spear-phishing emails
- Computerworld — ICANN data compromised in spearphishing attack
- WeLiveSecurity (ESET) — ICANN computers compromised by hackers
- Associations Now — ICANN Systems Infiltrated in "Spear Phishing" Attack
- Slate — ICANN Got Hacked
- Domain Incite — Hacked ICANN data for sale on black market
- Slashdot — Hackers Compromise ICANN, Access Zone File Data System
- CyberScoop — Hacked ICANN data still sells for hundreds of dollars years after breach
- DomainGang — ICANN alerts users of CZDS & ICANN Wiki about security breach
عن الكاتب/الكاتبة
أدلة ذات صلة
- الدقيقة الـ 12 دولار: لما حد اشترى Google.com بهدوء تامفي سبتمبر 2015، موظف سابق في Google اشترى google.com من خلال Google Domains بـ 12 دولار، وامتلك السيطرة الإدارية على أثمن نطاق في العالم لمدة دقيقة تقريباً. قصة سانماي فيد، ومكافأة الـ 6,006.13 دولار، وما تكشفه دقيقة واحدة من الملكية عن مَن يتحكم فعلاً في النطاق.
- Domain Mayday EP03: اختراق حسابات تويتر بالبيتكوين عام 2020في 15 يوليو 2020، تمكّن مهاجمون من اختراق تويتر عن طريق مكالمة تليفونية، واستولوا على حسابات موثّقة لأوباما وبايدن وماسك وجيتس وآبل وأوبر، ونفّذوا عملية احتيال بالبيتكوين جمعوا فيها نحو 118 ألف دولار. تحليل معمّق لكيفية سرقة هوية رقمية، وما يمكن تعلّمه عن امتلاك اسم على الإنترنت.
- نداء الطوارئ EP05: اختطاف نطاقات DeFi الجماعي على Squarespace 2024في يوليو 2024، حوّلت عملية نقل نطاقات من Google Domains إلى Squarespace إعدادات المصادقة الضعيفة إلى ثغرة جماعية واسعة النطاق. استغل المهاجمون الثغرة واختطفوا نطاقات مشاريع كريبتو و DeFi كبرى — Compound Finance وCeler Network وPendle وUnstoppable Domains — وأعادوا توجيهها نحو مواقع تصيد لاستنزاف المحافظ. إليك كيف خلّفت عملية نقل "سلسة" مئات الأبواب الأمامية مفتوحة دون قفل، وما يمكننا تعلمه في مجال أمان مسجلي النطاقات والمصادقة الثنائية.
- هجوم BadgerDAO على الواجهة الأمامية: 120 مليون دولار اتسرّبت بسبب سكريبت واحد مُدرجفي ديسمبر 2021، اخترق المهاجمون حساب Cloudflare الخاص بـ BadgerDAO وحقنوا سكريبتًا خبيثًا في واجهة الموقع الأمامية. العقود الذكية المُدققة لم تُمسّ — لكن ~120 مليون دولار خرجت من الباب عبر موافقات المحافظ التي وقّعها المستخدمون دون أن يعلموا. تحليل معمّق لماذا الموقع الإلكتروني جزء من نطاق أمانك.