موجة من الحرمان من الخدمة أدت هجمات حجب الخدمة (DoS) ضد مؤسسات المملكة المتحدة، والتي يُزعم أنها دبرتها جهات فاعلة روسية في مجال التهديد القرصنة، إلى ظهور المركز الوطني للأمن السيبراني (NCSC) لإصدار تحذير تحذيري للهيئات المعرضة للخطر، وخاصة الحكومة المحلية ومشغلي البنية التحتية الوطنية الحيوية (CNI)، لدعم دفاعاتهم.
على الرغم من أنها غير معقدة نسبيًا، إلا أن هجمات رفض الخدمة يمكن أن تكون مدمرة للغاية – فإلى جانب تعطيل العمليات الحيوية التي تواجه الجمهور دون اتصال بالإنترنت، فإنها تتسبب أيضًا في تقييد ضحاياها أنفسهم في تحليل هذه الهجمات والدفاع عنها والتعافي منها، مما يؤدي إلى خسارة الوقت والمال والتركيز التشغيلي.
وقال المركز إن الموجة الحالية من الهجمات كانت مدفوعة بالأيديولوجية ودعم المملكة المتحدة لأوكرانيا، وليس المكاسب المالية. ومع ذلك، أكدت الوكالة السيبرانية أن المجموعات المسؤولة بشكل رئيسي لا تعمل بناءً على طلب من موسكو نفسها، بل إنها تتماشى بشكل مستقل مع أهدافها.
وقال جوناثان إليسون، مدير المرونة الوطنية في NCSC: “ما زلنا نرى مجموعات القرصنة المتحالفة مع روسيا تستهدف المنظمات البريطانية، وعلى الرغم من أن هجمات حجب الخدمة قد تكون بسيطة من الناحية الفنية، إلا أن تأثيرها يمكن أن يكون كبيرًا”.
“من خلال اجتياح مواقع الويب والأنظمة عبر الإنترنت المهمة، يمكن لهذه الهجمات أن تمنع الأشخاص من الوصول إلى الخدمات الأساسية التي يعتمدون عليها كل يوم.
“نحث جميع المنظمات، وخاصة تلك التي تم تحديدها في تنبيه اليوم، على التحرك الآن من خلال مراجعة وتنفيذ إرشادات NCSC المتاحة مجانًا للحماية من هجمات DoS والتهديدات السيبرانية الأخرى.”
تكتيكات مكافحة DoS
يشجع NCSC أي منظمة قد تكون معرضة للخطر على اتخاذ احتياطات كافية ضد هجمات القرصنة التخريبية.
يتضمن ذلك العمل مع موفري خدمات الإنترنت الأولية لتحديد إجراءات تخفيف رفض الخدمة التي قد تكون موجودة بالفعل لحمايتك وما يُسمح لهم بفعله للحد من مؤسستك لحماية عملائهم الآخرين في حالة تعرضك للهجوم.
ومن الجدير أيضًا النظر إلى الطرف الثالث الحرمان من الخدمة الموزعة خدمات التخفيف (DDoS) و شبكات توصيل المحتوى (شبكات CDN) لأي خدمات قائمة على الويب.
يمكن للمؤسسات أيضًا الاستعداد مسبقًا للتعامل مع الهجمات التي لا يستطيع مقدمو الخدمات الأولية التعامل معها من خلال إنشاء تطبيقاتهم وخدماتهم للتوسع بسرعة، والتأكد من وجود سعة أجهزة احتياطية كافية للتعامل مع الأحمال الإضافية.
ومن المهم أيضًا إعداد خطة استجابة وتحديدها بحيث تكون لديك فرصة قوية للحفاظ على تشغيل خدماتك في حالة حدوث الأسوأ. في كتاب اللعب الخاص بـ NCSC، يجب أن تتضمن هذه الخطط ما يلي: تدهور رشيق للأنظمة والخدمات، والقدرة على التعامل مع تكتيكات الجهات التهديدية المتغيرة، والتأكد من قدرتك على الاحتفاظ بحق الوصول الإداري أثناء الهجوم، والحصول على خطة احتياطية قابلة للتطوير للخدمات الأساسية.
وغني عن القول أنه يجب اختبار هذه الدفاعات بانتظام حتى تتمكن فرق الأمن من اكتشاف الهجمات التي تبدأ والحماية منها.
وقال غاري بارليت: “إن سلاسل التوريد الحديثة والبنية التحتية الحيوية مترابطة بشكل عميق، مما يجعل التعطيل أسهل من أي وقت مضى. وقد نجح الناشطون في استهداف الخدمات الأساسية في جميع أنحاء أوروبا لسنوات، ومع تصاعد التوترات الجيوسياسية في عام 2026، فمن المرجح أن تتصاعد هذه الهجمات”. إليوميو كبير مسؤولي التكنولوجيا في القطاع العام.
“إن التوقف هو القوة الدافعة ليس فقط وراء نشاط القرصنة، ولكن وراء معظم حملات الجرائم الإلكترونية. نحن بحاجة إلى طريقة جديدة للتعامل مع هجمات حجب الخدمة. لقد ركزنا لفترة طويلة جدًا على الوقاية فقط، ولكن هذا النهج لم ينجح.
“تشير نصيحة NCSC إلى حدوث تغيير من خلال التوصية بأن تتضمن الخطط الاحتفاظ بإمكانية الوصول الإداري وتنفيذ خطط احتياطية واسعة النطاق. ومع ذلك، يجب أن يكون هناك تحول كامل في العقلية داخل مؤسسات البنية التحتية الحيوية للتركيز على إعطاء الأولوية لتخفيف التأثير والحفاظ على الخدمة وجاهزية التشغيل.”
الجهات الفاعلة الرئيسية
الشهر الماضي NCSC شارك في ختم استشاري منفصل حول نشاط القرصنة جنبًا إلى جنب مع الوكالات الشريكة من أستراليا والتشيك وفرنسا وألمانيا وإيطاليا ولاتفيا وليتوانيا ونيوزيلندا ورومانيا وإسبانيا والسويد والولايات المتحدة.
سلط هذا الاستشارة الضوء على الأنشطة الشائنة للعديد من عمليات القرصنة المتحالفة مع روسيا، وأشهرها NoName057(16)، التي تدير أداة خاصة لرفض الخدمة الموزعة (DDoS) تسمى DDoSIA وكانت موضوعًا لـ إجراء إنفاذ رئيسي لليوروبول في يوليو 2025.
وقالت الوكالات إن NoName057(16) كان على الأرجح جزءًا من مركز دراسة ومراقبة شبكة بيئة الشباب (CISM) – وهي “منظمة غير حكومية” مدعومة من الكرملين – واتهمت كبار عملاء المنظمة وموظفيها بتمويل المجموعة والمساعدة في تطوير البرامج الضارة والمهام الإدارية.
وفقًا للتقرير الاستشاري السابق، يتعاون NoName057(16) أيضًا مع عمليات القرصنة الأخرى، بما في ذلك أعضاء الجيش السيبراني لروسيا Reborn (CARR)، مجموعة تم تشغيلها أيضًا التي ربما اختلفت مع مؤيديها.
وفي أواخر عام 2024، شكلت المجموعتان معًا مجموعة أخرى تُعرف باسم Z-Pentest، والتي يقال إنها متخصصة في استهداف التكنولوجيا التشغيلية (OT) داخل مؤسسات CNI وما يسمى بهجمات الاختراق والتسريب وتشويه مواقع الويب. يبتعد Z-Pentest إلى حد كبير عن أنشطة DDoS.
وهناك مجموعة أخرى، تم تشكيلها منذ حوالي 12 شهرًا، وهي القطاع 16 – الذي وصفه NCSC وشركاؤه بـ “المبتدئين”. من خلال العمل جنبًا إلى جنب مع Z-Pentest، تعد هذه العملية صاخبة نسبيًا عبر الإنترنت، وتدير قناة عامة على Telegram حيث تفتخر بمآثرها وتزعم الهجمات السيبرانية على البنية التحتية الأمريكية. وقالت الوكالات إن القطاع 165 ربما يتلقى دعمًا غير مباشر من الحكومة الروسية مقابل شن هجمات تتماشى مع الأهداف الجيوسياسية لموسكو.
