مستوى الأزمة: في 20 فبراير 2026، أكدت سنغافورة رسمياً أن شبكاتها الأساسية الأربع قد تعرضت لاختراق من قبل مجموعة APT الصينية. استخدم المهاجمون ثغرات SS7 و BGP لتجاوز أنظمة الكشف (IDS) المعتمدة على الذكاء الاصطناعي في الـ 5G.
١. مقدمة: تشريح اليوم الذي سقط فيه حصن آسيا الرقمي المنيع
لفهم حجم الكارثة التي وقعت في ٢٠ فبراير ٢٠٢٦، يجب أن نعترف أولاً بالموقع الاستراتيجي لسنغافورة على الخريطة الرقمية العالمية. في عالم التكنولوجيا، سنغافورة ليست مجرد دولة؛ إنها تعادل "فورت نوكس" للبيانات العالمية. دولة قامت – من خلال تأسيس وكالة الأمن السيبراني (CSA) وضخ عشرات المليارات من الدولارات – بهندسة إحدى أكثر شبكات الدفاع السيبراني تعقيداً وتعددية للطبقات في العالم. تعبر الحركة المالية، والخوادم السحابية لعمالقة مثل أمازون وجوجل، والبيانات الحساسة لنصف الشركات التكنولوجية في العالم عبر الألياف الضوئية والكابلات البحرية التابعة لها.
لذلك، لم يكن البيان الأمني في ٢٠ فبراير ٢٠٢٦ مجرد أخبار اختراق بسيطة؛ لقد حطم هذا البيان وهم "الأمن المطلق" في جميع أنحاء العالم. إن التأكيد الرسمي لاختراق متزامن لقلب أربعة مشغلي هواتف محمولة واتصالات (Singtel و StarHub و M1 و SIMBA) في هذا البلد من قبل قراصنة مدعومين من الحكومة الصينية هو أكثر بكثير من مجرد حادث سيبراني؛ هذا الحدث هو بداية رسمية لمرحلة هجومية في "الحرب الباردة الرقمية".
في «تيكين أناليسيز» (Tekin Analysis)، لا نكتفي بعناوين الأخبار للوكالات العامة. إن اختراق مشغل الهاتف المحمول يختلف اختلافاً جوهرياً عن اختراق موقع ويب أو حتى بنك تجاري. عندما يصل المهاجمون إلى الشبكة الأساسية (Core Network)، فإنهم لا يقومون فقط بنسخ البيانات من قاعدة البيانات؛ بل يكتسبون القدرة على إعادة توجيه حركة المرور لبلد كامل، والتنصت الفوري على المحادثات المشفرة، وتسميم بيانات التوجيه، وفي النهاية شل البنية التحتية الحيوية للطاقة والنقل. في هذا الملف الخاص، نقوم باستخدام عدستنا الرقمية المكبرة لتشريح كيف تخطى التنين الأحمر جدران حماية الـ 5G ولماذا يجب أن يحرم هذا الحدث مديري الاتصالات في الشرق الأوسط وأوروبا من النوم.
٢. ملف تعريف المهاجم: الظلال الخفية لجيش التحرير الشعبي الصيني
عندما يتعلق الأمر بالهجمات السيبرانية الصينية، فإننا لا نتعامل مع قراصنة سريين يبحثون عن فدية بالبيتكوين. نحن نتعامل مع إدارات عسكرية منظمة للغاية لها هياكل تنظيمية، وميزانيات حكومية، ونوبات عمل منتظمة. تُظهر التحقيقات الجنائية الرقمية (Forensic) المشتركة التي أجرتها فرق الاستجابة السريعة السنغافورية (SingCERT) والمحللون المستقلون أن هذه العملية المعقدة لم تكن عملاً لمجموعة واحدة. نشهد «عملية مشتركة» (Joint Operation) بين اثنتين من أخطر الأذرع السيبرانية لبكين:
- مجموعة APT41 (Double Dragon): هذه المجموعة، التي تتمتع بتاريخ طويل في التجسس السيبراني، كانت مكلفة بالاختراق الأولي وتجاوز أجهزة حافة الشبكة (Edge Devices). تتخصص APT41 بشكل كبير في استخدام البرامج الضارة الخالية من الملفات (Fileless Malware) وسلاسل الاستغلال المعقدة (Exploit Chains).
- مجموعة Volt Typhoon: تعمل هذه المجموعة مباشرة تحت قيادة جيش التحرير الشعبي للقيادة الصينية (PLA)، وتخصصها الرئيسي ليس سرقة البيانات، بل تدمير واختراق البنية التحتية الحيوية (Critical Infrastructure). يُظهر بوضوح وجود آثار Volt Typhoon في شبكات الجيل الخامس في سنغافورة أن الهدف من هذا الهجوم كان الاستعداد للحروب المادية المستقبلية (خاصة في سيناريو تايوان).
٣. تشريح الاختراق: القتال في الظلام وتجاوز أنظمة كشف التسلل بالذكاء الاصطناعي
كيف تمكنت هذه الفرق من القراصنة من تجاوز حواجز أمنية متعددة الطبقات تكلف مليارات الدولارات في سنغافورة؟ تظهر مراجعات سجلات الخادم أن Dwell Time (وقت البقاء والوجود الخفي للمخترق في الشبكة قبل اكتشاف الاختراق) في هذا الهجوم تجاوز 280 يوماً! هذا يعني أن القراصنة الصينيين كانوا يتجولون في أكثر شبكات الاتصالات أماناً في آسيا لحوالي تسعة أشهر ولم يلاحظ أحد وجودهم.
مرحلة الوصول الأولي (Initial Access): نقطة ضعف جدران الحماية
لم يبدأ الهجوم من الخوادم المركزية. قام المهاجمون أولاً بمسح بيئة الشبكة المحيطية. أدركوا أن بوابات خوادم VPN وجدران الحماية للشبكة (Edge Routers) في مشغلين من أصل أربعة (ربما أجهزة Fortinet أو Pulse Secure القديمة) تعاني من ثغرات يوم الصفر (Zero-Day) ويوم-N غير المُصححة. دخل القراصنة منطقة DMZ (المنطقة المنزوعة السلاح) عبر هذه الثغرات البرمجية.
استراتيجية التمويه: العيش من الأرض (LotL)
بعد دخول الشبكة، حققت مجموعات APT41 و Volt Typhoon أكبر إنجاز لها. لم يقوموا بتنزيل أي برامج ضارة تقليدية أو فيروسات حصان طروادة (Trojan) أو برامج تجسس يمكن لبرامج مكافحة الفيروسات أو أنظمة EDR (Endpoint Detection and Response) اكتشافها. بدلاً من ذلك، استخدموا تقنية Living off the Land. في هذه الاستراتيجية المرعبة، يستخدم المهاجمون أدوات ومخططات نظام التشغيل المشروعة لتعزيز أهدافهم.
من خلال استخدام أوامر PowerShell المشفرة بشكل كبير، وأداة Windows Management Instrumentation (WMI)، وبروتوكولات الإدارة عن بُعد، قاموا بتنفيذ أوامرهم. عندما راقب نظام اكتشاف التسلل المعتمد على الذكاء الاصطناعي حركة مرور الشبكة، كل ما شاهده هو قيام مسؤولي النظام باستخدام أدوات Windows و Linux القياسية! تم تصنيف هذه الحركة تلقائياً بقوائم بيضاء. وبفضل هذه الطريقة، أجروا تحركات جانبية (Lateral Movement) بوتيرة بطيئة ومحسوبة للغاية حتى تمكنوا من عبور شبكات الدعم والإدارة والوصول إلى معقل دماغ الشبكة: 5G Core (5GC).
٤. الدخول إلى قلب الظلام: انهيار نواة الـ 5G وكارثة بروتوكولات SS7
أكبر كذبة وتضليل تجاري يتم بيعه للحكومات من قبل شركات الهاتف والمعدات (مثل Ericsson و Nokia و Cisco و Huawei) هي: "شبكات 5G منيعة تماماً بفضل هندستها السحابية والتشفير من طرف إلى طرف". نعم، التشفير الراديوي بين هاتفك الذكي وبرج المحمول التابع (RAN) آمن تماماً. لكن الكارثة تحدث على بعد أميال داخل الشبكة الأساسية (Core Network).
عندما دخل قراصنة الصين عبر جدران الحماية، توجهوا فوراً إلى الـ AMF لشبكة اتصالات المحمول. النقطة الفاصلة هنا كانت عندما اضطرت تلك الشبكة الحديثة للسفر عبر نفق الزمن للارتباط ببروتوكولات بالية وقديمة كخدمات الـ SS7 (تم تصميمه في 1975). استطاعت الصين استغلال "الثقة العمياء" في هذه البروتوكولات وبدأت بإرسال رسائل التحديث اللوجستي للحصول على رموز 2FA، وقاموا باستهداف المثلث الخلوي للمراقبة والموقع الدقيق للأشخاص في سنغافورة.
٥. اختطاف التوجيه BGP: سرقة المرور في منتصف النهار
استخدم قراصنة الصين حيلة كبرى باختطاف بروتوكول توجيه البيانات العالمي (BGP). قاموا بإعلام روترات الإنترنت أن أسرع طريق من سنغافورة لأمريكا هي عبر بوابات "تشاينا تيليكوم" في بكين. هكذا سرقت الصين المرور وسجلتها على سيرفراتها في هجوم "رجل في المنتصف" جيوسياسي.
٦. الحكم النهائي لتيكين: دليل البقاء في عصر الحرب السيبرانية
إن سقوط حصن التكنولوجيا السنغافوري في 20 فبراير عام 2026 يوجه رسالة حادة وعظيمة للجميع: عصر الأمن بمفاهيمه الكلية لـ "الأسوار" قد انتهى. الآن الحرب الباردة تعتمد على هجمات BGP و 5G.
- بنية الصفر للثقة المطلقة (Zero Trust): لا تصدق أي مستخدم ولا معدات من دون إعداد تفتيش وتحقق مئة بالمئة.
- استخدام الذكاء الاصطناعي (AI-NDR): للحماية من هجمات LotL، وتتبع ومراقبة أي عوارض ميكروسانية شاذة.
- تشفير الحماية الكمومية: يجب التحرك نحو توفير حماية تشفير من اختراقات المستقبل للكمبيوتر الكمومي للجهات الفاعلة المدعومة من الدول.
الخلاصة النهائية
القرار النهائي لغرفة العمليات في تيكين
- الاختراق المتقدم: تم تفادي أنظمة الذكاء الاصطناعي من خلال استهداف القواعد الضعيفة كـ SS7 وتسميم توجيهات BGP.
- خطر يتجاوز الابتزاز: هدف الصين هو المراقبة والسيطرة وتجهيز ساحات القتال لحرب مستقبلية بمنطقة بحر الصين والمضائق المحيطة.
- درس حيوي لدول الخليج: إن البنية التحتية لشركات الاتصالات والخليجية بحاجة لإصلاح كبير، وإلا ستحدث أزمة قومية.
ما رأيك بخطورة الموقف؟ هل مزودو الخدمة المحليون لديك قادرون على مواجهة مثل هذا الهجوم؟ شاركنا برأيك أدناه.