اختطاف DNS الخاص بماليزيا إيرلاينز: "404 — الطائرة مش موجودة"

الطائرة ما اتلقتش. وفي يناير 2015، الموقع كمان ما اتلقيش.

في صباح 26 يناير 2015، أي حد كتب malaysiaairlines.com في متصفحه ما وصلش للشركة. وصل لهاكر. صفحة الحجز المعروفة اختفت وحلّت محلها صورة سحلية لابسة طربوش وعدسة مكبّرة، وتحتها عنوان واحد قاسي: "404 — الطائرة مش موجودة." وتحته: "Hacked by Lizard Squad — Official Cyber Caliphate." وفي شريط عنوان المتصفح ظهر ببساطة: "ISIS will prevail."

كانت دعابة قبر. قبل أقل من سنة، اختفت طائرة ماليزيا إيرلاينز الرحلة 370 من الرادار وعلى متنها 239 شخصًا. وبعد أربعة أشهر، أُسقطت الرحلة 17 فوق أوكرانيا. والآن، مجموعة من الشباب حوّلوا حزن الشركة نكتة مركّبوها على بابها الرئيسي — من غير ما يلمسوا سيرفراتها أصلًا.

وده بالظبط هو جوهر القصة. ماليزيا إيرلاينز اتعرضتش لـ"هاكينج" بالمعنى اللي بيتخيّله معظم الناس. أنظمة الحجز كانت شغّالة. بيانات الركاب ما اتمستش. اللي المهاجمون استولوا عليه كان حاجة أساسية أكتر، وأسهل في الأخد: اسم الدومين نفسه — العنوان اللي بيقول للإنترنت كله فين "ماليزيا إيرلاينز" موجودة.

ده تحليل Domain Mayday عن الجزء من البنية التحتية اللي في الغالب ما بتفكرش فيه — لحد ما بيبدأ يشير لمكان تاني.

شركة الطيران = الدومين بتاعها

بالنسبة لشركة طيران عالمية، الموقع مش كتيّب دعايا. ده ماكينة تذاكر، وكاونتر تسجيل دخول، ومركز خدمة عملاء، كلهم معلّقين على سلسلة نص واحدة: malaysiaairlines.com.

كل حجز، وكل دخول لبرنامج الولاء، وكل رابط "إدارة رحلتي" في أي إيميل تأكيد، كله بيمرّ عبر الدومين ده. لمّا راكب في كوالالمبور أو لندن بيكتبه، فيه سلسلة غير مرئية بتشتغل: المتصفح بيسأل نظام أسماء النطاقات (DNS) "فين يعيش malaysiaairlines.com؟"، الـ DNS بيردّ بعنوان IP، والمتصفح بيتصل. العلامة التجارية للشركة، وإيراداتها، وثقة عملائها — كلها متعلّقة بإن هذا البحث الواحد يرجع بالإجابة الصح.

الـ DNS هو دفتر عناوين الإنترنت. وهو في نفس الوقت، بالنسبة لمعظم المنظمات، أقل باب مراقَب في المبنى. ممكن تنفق الملايين في تأمين سيرفراتك وتشفير قواعد بياناتك وتدريب موظفيك على الفيشينج — وكل ده مش هيفيدك في حاجة لو حد قدر يغيّر سطرًا واحدًا في دفتر العناوين اللي بيقول فين اسمك بيشير. غيّر العنوان، وأنت كده غيّرت الشركة كلها، من غير ما تكسر باب واحد.

وده بالظبط اللي حصل.

الاختطاف: سحلية مكان شركة طيران

التشويه اتصمّم بأقصى قدر من القسوة. صورة السحلية بالبدلة الرسمية كانت البطاقة الشخصية لـ Lizard Squad؛ المجموعة دي أمضت ديسمبر السابق في تعطيل Xbox Live و Sony PlayStation Network طول أيام العيد. وبحلول يناير، كانت لفّت نفسها في صورة "Cyber Caliphate"، تتوقع كونها موالية لـ ISIS رغم أن الباحثين تعاملوا مع الادعاء ده بشك كبير.

الموقع، كما وجده الزوار، عرض صورة سحلية في طربوش وعدسة مكبّرة، بالإضافة للنص "404-Plane Not Found". وتوثيق ويكيبيديا للمجموعة يسجّل نفس المشهد: المستخدمين أُعيد توجيههم لصفحة أخرى تحمل صورة سحلية لابسة بدلة رسمية، والصفحة حملت عنوان "404 - Plane Not Found"، في إشارة واضحة لفقدان الشركة للرحلة MH370 في السنة السابقة.

القسوة كانت مقصودة. الرحلة MH370 اختفت من الرادار في 8 مارس 2014، و239 شخص على متنها تم اعتبارهم متوفّين في النهاية ولم يتم تحديد موقع الحطام قطعيًا. والرحلة MH17 أُسقطت بصاروخ أرض-جو Buk 9M38 على يد قوات مدعومة روسيًا في 17 يوليو 2014، وقتلت جميع الـ 298 على متنها. وضع "Plane Not Found" على الصفحة الرئيسية للشركة كان استخدامًا لأسوأ سنة في تاريخها كسلاح — ونشره على كل عميل بيحاول يوصل للموقع.

وجه التهديد. المجموعة نشرت على تويتر إنها هتقوم قريبًا بتسريب "بعض الغنائم اللي لقيناها على سيرفرات www.malaysiaairlines.com"، بل نشرت لقطة شاشة زعمت إنها تظهر خطط سفر ركاب. لشركة طيران غارقة أصلًا في سنة من الكوارث، مجرد فكرة إن بيانات العملاء ضاعت كانت كارثة من نوعها.

كيف حصل ده: دفتر العناوين مش المبنى

هنا قلب الموضوع التقني، والسبب اللي بيخلي القضية دي تنتمي لسلسلة أمن الدومينات مش للاختراقات العادية.

بيان ماليزيا إيرلاينز نفسه، اللي تكرّر في كل التغطيات، فرّق بين الأمرين بدقة: ماليزيا إيرلاينز تؤكد إن نظام DNS الخاص بيها اتعرض للاختراق حيث يتم تحويل المستخدمين لموقع هاكر لمّا بيكتبوا عنوان www.malaysiaairlines.com. الشركة أصرّت على إن الموقع لم يتعرض للاختراق وهذه العطلة المؤقتة لا تؤثر على الحجوزات وبيانات المستخدمين لا تزال آمنة، وأضافت إن سيرفرات الويب سليمة.

الاتنين كانوا صح في نفس الوقت: الموقع اتدمّر، والسيرفرات بخير. المهاجمون ما احتاجوش للسيرفرات أصلًا. زي ما وصفته The Register، سجلات DNS للموقع اتعبث بيها عشان مستخدمين يتحوّلوا لموقع تحت سيطرة هاكر. غيّروا سجل دفتر العناوين، مش المبنى اللي بيشير إليه. حتى الاستهزاء اتخبّى في البيانات الوصفية: بحث Whois وقتها كشف إن ISIS will prevail مكتوبة كعنوان للموقع.

فين كان دفتر العناوين ده؟ عند الـ registrar. دومين شركة الطيران يبدو إنه مسجّل عند Web Commerce Communications Limited — المعروفة بـ Webnic — واللي عندها مكاتب في سنغافورة وماليزيا والصين. الاسم ده مهم، لأن Webnic كانت على وشك تصبح مشهورة بالأسباب الغلط.

بعد شهر واحد بس، نفس الـ registrar ده كان في مركز حادثة أضخم بكتير. زي ما Brian Krebs أفاد، المهاجمون سيطروا على Webnic.cc، الـ registrar الماليزي اللي بيخدم الدومينين دول وأكتر من 600,000 دومين تاني، ثم استغلّوا وصولهم لـ Webnic.cc لتغيير سجلات DNS لـ Lenovo وGoogle Vietnam. الآلية، زي ما Krebs أفاد، كانت ثغرة command injection في Webnic.cc لتحميل rootkit — وصول دائم لنفس النظام اللي بيتحكم في مكان مئات الآلاف من الدومينات.

مش محتاج تخترق Google عشان تحوّل google.com.vn. ومش محتاج تخترق شركة طيران عشان تحوّل صفحتها الرئيسية. كل اللي عليك تعمله هو اختراق الطبقة اللي بتمتلك الإجابة على "فين الدومين ده بيعيش؟" — حساب الـ registrar وسجلات الـ DNS وراءه. الطبقة دي موجودة خارج المحيط اللي معظم الشركات فعلًا بتحميه.

التأثير والاستجابة

بالنسبة للشركة، الضرر كان في السمعة والعمليات أكتر من سرقة البيانات. العملاء اللي حاولوا يحجزوا أو يسجّلوا دخولهم صِدموا بالتشويه. عناوين الأخبار حول العالم ربطت "ماليزيا إيرلاينز" بـ"اختُرقت" — علامة تجارية في أزمة أصلًا، بقت مرتبطة بسحلية بتسخر من طائرتها الضايعة.

الشركة اتحرّكت للسيطرة على الموقف بالطريقة الوحيدة الممكنة لاحتواء اختطاف DNS: بالتعامل مع الطبقة اللي اتعرضت للاختراق. قالت إنها حلّت المشكلة مع مزوّد الخدمة وإن النظام متوقع يرجع بالكامل خلال 22 ساعة. الجدول الزمني ده في حد ذاته دليل على طبيعة الـ DNS: حتى بعد تصحيح السجلات، الإجابة الغلط ممكن تفضل متخزّنة في كاشات حول العالم لحد ما تنتهي مدتها. الاختطاف سريع في التنفيذ وبطيء في الإزالة الكاملة.

على موضوع تهديد تسريب البيانات، الشركة تمسّكت بموقفها — الحجوزات ما اتأثرتش، بيانات المستخدمين محمية — والتسريب الكارثي اللي المجموعة اتبجّحت بيه ما حصلش كما وُصف. لكن "إحنا اتعرضناش لاختراق حقيقي، المهاجمون فقط تحكّموا في هويتنا العامة كلها ليوم تقريبًا" ده رسالة صعبة توصّلها للمسافرين. للعميل اللي بيبص على "404 — الطائرة مش موجودة"، الفرق بين اختراق السيرفر واختطاف DNS مش واضح. الموقع كان هو الشركة. وليوم كامل، الموقع كان بيخص حد تاني.

اللي القضية دي بتعلّمه عن الـ DNS كبابك الرئيسي

اختطاف ماليزيا إيرلاينز درس نموذجي بالظبط لأن ما حدثش أي اختراق بالمعنى التقليدي. الدروس المستخلصة تنطبق على تقريبًا كل مؤسسة على الإنترنت:

1. الدومين بتاعك نقطة فشل واحدة مش بتتحكم فيها لوحدك. الـ registrar بيمتلك السجل الرئيسي لفين اسمك بيشير. لو أمان حسابه — أو برنامجه — فشل، سيرفراتك المحصّنة بشكل كامل مش مهمة. Webnic أثبتت ده مرتين في شهر واحد: مع شركة طيران ومع Google وLenovo.

2. اختطاف الـ DNS مش محتاج تتعرض للاختراق أنت. المهاجمون حوّلوا دفتر العناوين مش المبنى. الدفاعات اللي بتراقب سيرفراتك وكودك وشبكتك ممكن تفوّتها هجوم بيحصل بالكامل على مستوى التسمية.

3. اقفل السجلات اللي ممكن تحرّك اسمك. Registry Lock وأقفال مستوى الـ registrar موجودة تحديدًا لمنع التغييرات غير المصرح بيها على سجلات DNS والـ nameserver — بيضيفوا خطوة يدوية خارج النطاق قبل ما أي حد يقدر يعيد توجيه الدومين بتاعك. لدومين عالي القيمة، دي مش اختيارية.

4. اعتمد DNSSEC و2FA عند الـ registrar. تأمين قوي لحساب الـ registrar وتوقيع DNSSEC على المنطقة بيرفعوا تكلفة عملية تغيير السجلات الصامتة بالظبط زي اللي شوّهت ماليزيا إيرلاينز.

5. الاسترداد أبطأ من الهجوم. الـ TTLs والكاشات العالمية بتعني إن الاختطاف بيستمر بعد الإصلاح. خطّط لفترة التنظيف مش بس للتصحيح.

الملخص المزعج: معظم الشركات بتحرس المبنى وتسيب ورقة لاصقة على الباب بتقول للناس أي مبنى يدخلوا. غيّر الورقة، وأنت كده نقلت الشركة.

زاوية Namefi

اختطاف ماليزيا إيرلاينز، في جوهره، سؤال عن مين مسموحله يغيّر مكان ما بيشير إليه الاسم — وبسهولة قد أيه الصلاحية دي ممكن تتسرق بهدوء على مستوى الـ registrar. الهجوم ما هزمش التشفير ولا كسر قاعدة بيانات. هزم نظام التحكم الناعم المعتمد على الحسابات اللي بيحدد الحقيقة الأهم عن أي دومين: فين بيحلّ.

Namefi مبني على فكرة إن ملكية الدومين والتحكم فيه لازم يتصرّفوا كأصل قابل للتحقق وأصيل على الإنترنت بدل ما يكونوا مجرد بند في قاعدة بيانات registrar ممكن حساب مخترق واحد يعيد كتابته. الملكية المُرمَّزة بتحوّل سؤال "مين بيتحكم في الدومين ده، وهل التحكم ده انتقل للتو؟" لسؤال قابل للتدقيق وواضح التلاعب، مع الحفاظ على التوافق مع الـ DNS. الدفاع ضد الاختطاف مش بس كلمات مرور أقوى — ده بيخلي التغييرات غير المصرح بيها مرئية وقابلة للإثبات بدل ما تكون صامتة.

ماليزيا إيرلاينز ما خسرتش سيرفراتها. خسرت الإجابة على سؤال واحد — فين بيشير الاسم ده؟ — لمدة يوم تقريبًا. الطائرة ما اتلقيتش. الموقع كان ما ينفعش يتضيّع كمان. الدرس من Domain Mayday إن دفتر العناوين جزء من المحيط الأمني، واليوم اللي بتنسى فيه ده هو اليوم اللي سحلية في طربوش تسكن على بابك الرئيسي.

المصادر والقراءة الإضافية

• TechCrunch — Malaysia Airlines Site Hacked By Lizard Squad
• The Register — Lizard Squad threatens Malaysia Airlines with data dump
• BankInfoSecurity — Malaysia Airlines Website Hacked
• Computerworld — Malaysia Airlines claim DNS hijacked, site not hacked, but attackers threaten data dump
• Infosecurity Magazine — Malaysia Airlines Site Back Up as Hackers Threaten Data Dump
• Krebs on Security — Webnic Registrar Blamed for Hijack of Lenovo, Google Domains
• Help Net Security — Lenovo.com hijacking made possible by compromise of Webnic registrar
• ABC News — Malaysia Airlines Hit by Lizard Squad Hack Attack
• NBC News — Lizard Squad Claims It Hacked Malaysia Airlines Website
• IT Security Guru — Lizard Squad hijacks Malaysia Airline DNS
• Wikipedia — Lizard Squad
• Wikipedia — Malaysia Airlines Flight 370
• Wikipedia — Malaysia Airlines Flight 17