مقدمة
في أواخر عام 2024، كشف مسؤولون أمريكيون عن معلومات مذهلة: قراصنة مرتبطون بالحكومة الصينية تسللوا إلى ما لا يقل عن تسع شركات اتصالات أمريكية كبرى — بما في ذلك Verizon وAT&T وT-Mobile وLumen وSpectrum وغيرها — وحافظوا على وصول مستمر إلى شبكاتها لأشهر أو سنوات. نفّذ المهاجمون، وهم مجموعة يُطلق عليها مجتمع الأمن السيبراني اسم Salt Typhoon، شيئاً بالغ الخطورة: فقد وصلوا إلى الأنظمة التي تستخدمها أجهزة إنفاذ القانون والاستخبارات الأمريكية لعمليات التنصت المأذون بها قضائياً.
بحلول أغسطس 2025، أفاد مكتب التحقيقات الفيدرالي (FBI) أن Salt Typhoon استهدفت منظمات في أكثر من 80 دولة. وتم إخطار ما لا يقل عن 600 منظمة حول العالم بأن المجموعة أبدت اهتماماً فعلياً بأنظمتها. وكانت المكالمات الهاتفية لمسؤولين أمريكيين كبار — بمن فيهم الرئيس Trump ونائب الرئيس Vance — قابلة للوصول من قبل الاستخبارات الصينية. وصفها خبراء بأنها واحدة من أخطر حملات التجسس في التاريخ الأمريكي.
Salt Typhoon ليست حالة شاذة. إنها نموذج دراسي يكشف عن شكل العمليات السيبرانية الحديثة المدعومة من الدول — مستمرة، صبورة، موجهة بدقة، وصعبة الكشف بشكل استثنائي.
من هي Salt Typhoon؟
يُعتقد أن Salt Typhoon تعمل تحت إشراف أو بالارتباط مع وزارة أمن الدولة الصينية (MSS) — وكالة الاستخبارات الصينية المسؤولة عن جمع المعلومات الاستخباراتية الخارجية. المجموعة نشطة منذ عام 2019 على الأقل وتم تتبعها سابقاً تحت تسميات بديلة منها Earth Estries وGhostEmperor وFamousSparrow وUNC2286.
تتخصص المجموعة فيما يُعرف في الأوساط الاستخباراتية بعمليات التهديد المتقدم المستمر (APT — Advanced Persistent Threat) — وهي حملات تتميز بـ:
فترات بقاء طويلة: حافظت Salt Typhoon على الوصول إلى بعض شبكات الاتصالات لأشهر، وربما لسنوات، قبل اكتشافها. هذا الصبر يُمكّن من جمع كميات هائلة من المعلومات الاستخباراتية دون تفعيل أنظمة الكشف الآلية التي تُثيرها الهجمات السريعة والعنيفة.
العيش من أدوات النظام: بدلاً من نشر برمجيات خبيثة مميزة، تستخدم Salt Typhoon بشكل أساسي أدوات إدارية مشروعة، وبيانات اعتماد مسروقة، وقدرات نظام التشغيل المدمجة. هذا يجعل الكشف صعباً للغاية لأن النشاط الخبيث لا يمكن تمييزه تقنياً عن العمل الإداري المشروع.
الاستهداف الدقيق: يتركز اهتمام المجموعة بالبنية التحتية للاتصالات تحديداً على أنظمة الاعتراض القانوني (Lawful Intercept) — وهي القدرات التقنية التي تسمح للحكومات بمراقبة الاتصالات بموجب أوامر قضائية. الوصول إلى هذه الأنظمة يوفر معلومات استخباراتية حول من يخضع للمراقبة، وما يتم التقاطه، وربما محتوى تلك الاتصالات.
كيف نُفّذ الهجوم
كشف التحليل الجنائي المفصّل لاختراقات Salt Typhoon، الذي نُشر في عام 2025، عن منهجية الهجوم:
الوصول الأولي: في معظم الحالات، حصلت المجموعة على بيانات اعتماد مشروعة — من خلال التصيد الاحتيالي (Phishing)، أو حشو بيانات الاعتماد من قواعد بيانات مسروقة سابقاً، أو الوصول من الداخل. في حالة موثّقة واحدة، استغل المهاجمون ثغرة في أجهزة التوجيه من Cisco (CVE-2023-20198) كانت موجودة في قاعدة بيانات الثغرات الوطنية (NIST) لمدة سبع سنوات دون أن يتم إصلاحها في المنظمة الضحية.
الانتقال الجانبي: بمجرد الدخول، انتقل المهاجمون بشكل جانبي عبر الشبكة باستخدام أدوات إدارية مشروعة (PowerShell، WMI، سطح المكتب البعيد، برامج الإدارة المشروعة) للوصول إلى الأهداف الأعلى قيمة — البنية التحتية للاعتراض القانوني.
الاستمرارية: تم إنشاء آليات استمرارية متعددة، باستخدام برامج مشروعة معدّلة، ومهام مجدولة، ومفاتيح سجل النظام التي تنجو من إعادة التشغيل وعمليات الفحص الأمني الروتينية.
تسريب البيانات: تم تسريب بيانات الاتصالات وسجلات المكالمات عبر قنوات مشفرة إلى بنية تحتية يتحكم فيها المهاجمون، مصمّمة للاندماج مع حركة مرور الشبكة العادية.
يعكس تطور العملية ليس فقط خبرة تقنية بل معرفة مؤسسية واسعة بكيفية تصميم أنظمة الاتصالات الأمريكية، وما هي ثغراتها الدفاعية، وأي وصول يوفر أعلى قيمة استخباراتية.
Volt Typhoon: التموضع في البنية التحتية
تتزامن حملة التجسس التي تنفذها Salt Typhoon مع عملية صينية مدعومة من الدولة بشكل موازٍ تُسمى Volt Typhoon — بهدف مختلف جذرياً. بينما تجمع Salt Typhoon المعلومات الاستخباراتية، يبدو أن Volt Typhoon تعمل على التموضع المسبق داخل البنية التحتية الحيوية الأمريكية — شبكات الكهرباء وأنظمة المياه وشبكات النقل — بما يمكن تفعيله خلال نزاع مستقبلي.
أصدرت وكالة الأمن السيبراني وأمن البنية التحتية (CISA) ومكتب التحقيقات الفيدرالي (FBI) تحذيراً مشتركاً في عام 2024 يُفيد بأن Volt Typhoon حافظت على الوصول إلى بعض شبكات البنية التحتية الحيوية لمدة خمس سنوات أو أكثر — ليس لجمع البيانات بشكل فعّال، بل للحفاظ على موطئ قدم يمكن أن يُمكّن من شن هجمات تعطيلية خلال أزمة مضيق تايوان أو أي أزمة جيوسياسية أخرى.
هذا التمييز بالغ الأهمية للاستراتيجية الدفاعية. فاكتشاف وطرد عناصر التجسس (الذين يسعون للبقاء غير مرئيين) أمر صعب. واكتشاف عناصر ينوون البقاء غير مرئيين حتى يُنفّذوا هجمات تدميرية أصعب بكثير. إن الجمع بين تموضع Volt Typhoon في البنية التحتية وجمع Salt Typhoon للمعلومات الاستخباراتية يُمثّل بناء قدرات شاملاً قبل النزاع يصفه مسؤولو الأمن الأمريكيون بأنه غير مسبوق.
النطاق العالمي: 80 دولة و600 منظمة
وضع تقييم مكتب التحقيقات الفيدرالي في أغسطس 2025 بأن Salt Typhoon استهدفت منظمات في أكثر من 80 دولة الحملة في سياقها العالمي. تم استهداف شركات اتصالات في أوروبا وآسيا وأمريكا اللاتينية إلى جانب شركات النقل الأمريكية. واهتمام المجموعة بأنظمة الاعتراض القانوني لا يقتصر على قدرات المراقبة الأمريكية — بل يمتد إلى الأنظمة المكافئة في كل دولة.
من بين الأهداف البارزة خارج الولايات المتحدة:
المملكة المتحدة: أفادت مجموعة BT Group بأنها تحقق في احتمال تعرض بنيتها التحتية للشبكة لاختراق من Salt Typhoon في أواخر عام 2024.
كندا: أصدرت وكالات أمن الاتصالات الكندية تحذيرات بشأن نشاط Salt Typhoon الذي يستهدف شركات الاتصالات الكندية.
جنوب شرق آسيا: تم استهداف عدة شركات اتصالات في تايلاند وفيتنام وإندونيسيا وماليزيا — مما يعكس الأهمية الاستراتيجية للمنطقة لمراقبة المصالح الصينية في الخارج، وروابط الأعمال التايوانية، والاتصالات العسكرية الأمريكية.
يعكس اتساع نطاق الاستهداف جهداً منهجياً لبناء قدرة عالمية لجمع المعلومات الاستخباراتية من الاتصالات بدلاً من هجوم انتهازي على هدف واحد.
إعلان
الاستجابة السياسية: هل جاءت متأخرة وغير كافية؟
كانت استجابة الحكومة الأمريكية للكشف عن Salt Typhoon واسعة النطاق لكنها انتُقدت من قبل العديد من خبراء الأمن باعتبارها غير كافية بالنسبة لحجم المشكلة.
اقترحت لجنة الاتصالات الفيدرالية (FCC) قواعد جديدة للأمن السيبراني لشركات الاتصالات الأمريكية في ديسمبر 2024 — تُلزم الشركات بالتصديق على أنها نفّذت إجراءات أمنية للحماية من الوصول غير المأذون به إلى أنظمة التنصت. ستفرض القواعد تحديثات سنوية لخطط الأمان وتُنشئ التزامات بالإبلاغ عن الاختراقات.
أصدرت وكالة CISA إرشادات محدّثة حول تعزيز أمن الاتصالات، مع توصيات محددة لحماية أنظمة الاعتراض القانوني. ونشرت وكالة الأمن القومي (NSA) إرشادات حول أمن أجهزة الشبكات تعالج بشكل مباشر ثغرات Cisco التي استغلتها Salt Typhoon.
كشفت جلسات الاستماع في الكونغرس عن حقيقة مقلقة: أنظمة الاعتراض القانوني التي وصلت إليها Salt Typhoon صُمّمت في التسعينيات، بموجب قانون مساعدة الاتصالات لإنفاذ القانون (CALEA)، في وقت لم يكن فيه نموذج التهديد يتضمن خصوماً حكوميين متطورين يستهدفون البنية التحتية للمراقبة نفسها. لم يُصمّم المعمار الأمني لهذه الأنظمة لبيئة التهديدات في عام 2025.
شهد خبراء بأن شبكات الاتصالات الأمريكية لا تزال معرّضة للخطر رغم الاختراقات المُعلنة — وهو تصريح أثار جدلاً سياسياً حاداً لكنه يتوافق مع الواقع التقني بأن معالجة وصول خصم متطور ومستمر تستغرق وقتاً.
تحديات الإسناد: مشكلة القرصنة المدعومة من الدول
تُوضح قضية Salt Typhoon تحدياً جوهرياً في الأمن السيبراني: الإسناد (Attribution) — عملية تحديد هوية من يقف وراء الهجوم — معقدة تقنياً وسياسياً.
يعتمد الإسناد التقني على مؤشرات تشمل:
- خصائص البرمجيات الخبيثة وتشابه الشيفرة مع أدوات جهات تهديد معروفة
- إعادة استخدام البنية التحتية (عناوين IP، نطاقات استُخدمت في حملات سابقة)
- أنماط تشغيلية (ساعات عمل متوافقة مع مناطق زمنية محددة، اختيار أهداف يتطابق مع مصالح جيوسياسية معروفة)
- أخطاء في الأمن العملياتي (OPSEC) تكشف هويات أو مواقع المهاجمين
الإسناد السياسي — تسمية دولة رسمياً كمسؤولة — يتضمن الموازنة بين مستوى الثقة في الأدلة التقنية والاعتبارات الدبلوماسية والاستخباراتية والسياسية. أسندت الحكومة الأمريكية Salt Typhoon رسمياً إلى الصين؛ ونفت الصين أي تورط.
يُنشئ تحدي الإسناد عدم تماثل جوهري في العمليات السيبرانية المدعومة من الدول: يمكن للمهاجمين الحذرين الحفاظ على إنكار معقول، مما يمنع الضحايا من اتخاذ نوع الردود السياسية والدبلوماسية التي سيُطلقها هجوم عسكري تقليدي. جعل هذا عدم التماثل العمليات السيبرانية المدعومة من الدول أداة مفضّلة في فن إدارة الدول — توفر جمع المعلومات الاستخباراتية والوصول إلى البنية التحتية بتكاليف جيوسياسية أقل بكثير من تلك المترتبة على عمليات تقليدية مكافئة.
ما يمكن للمنظمات فعله: دروس من Salt Typhoon
تُقدّم حملة Salt Typhoon عدة دروس عملية للمنظمات التي تدير أمن الشبكات:
التحديث الفوري: ثغرة Cisco التي استُغلت في أحد اختراقات Salt Typhoon كانت معروفة علنياً لمدة سبع سنوات. إدارة التحديثات الأمنية — خاصة لأجهزة الشبكات المتصلة بالإنترنت — هي الممارسة الدفاعية الأساسية الأعلى تأثيراً. تظل نسبة المنظمات التي تقع ضحية لهجمات تستغل ثغرات معروفة ومُصلحة مرتفعة بشكل محرج.
تدقيق المصادقة: وصلت Salt Typhoon بشكل أساسي من خلال بيانات اعتماد مسروقة. المصادقة متعددة العوامل (MFA)، وإدارة الوصول المتميز، ومراقبة بيانات الاعتماد (التنبيه عند ظهور بيانات الاعتماد في قواعد بيانات الاختراقات) هي ضوابط أساسية.
تجزئة الشبكة: القدرة على الانتقال جانبياً من نقطة الوصول الأولية إلى أهداف عالية القيمة مثل أنظمة الاعتراض القانوني تعكس عدم كفاية تجزئة الشبكة. يجب عزل الأنظمة الحيوية في أجزاء من الشبكة تتطلب مصادقة إضافية للوصول — وليس أن تكون قابلة للوصول من خلال بيانات اعتماد إدارية قياسية.
المراقبة السلوكية: أدوات الأمان التقليدية القائمة على التوقيعات غير فعّالة ضد هجمات “العيش من أدوات النظام” التي تستخدم أدوات مشروعة. التحليلات السلوكية — الكشف عن أنماط نشاط شاذة حتى عندما تكون الأدوات الفردية مشروعة — ضرورية لتحديد التهديدات المتقدمة المستمرة.
افتراض الاختراق: الموقف الأمني المتمثل في “افتراض الاختراق” — التخطيط على أساس أن خصوماً متطورين قد يكونون موجودين بالفعل في الشبكة — يُغيّر أولويات الأمان من الدفاع المحيطي إلى الحد من الأضرار، وتسريع الكشف، وتبسيط المعالجة.
الصورة الأكبر: الفضاء السيبراني كساحة للتنافس بين القوى الكبرى
Salt Typhoon وVolt Typhoon ليستا حوادث معزولة — بل هما القمة المرئية لجهد شامل متعدد السنوات لتحقيق التفوق السيبراني كعنصر من عناصر التنافس بين القوى الكبرى.
تُشغّل الولايات المتحدة والصين وروسيا وإيران وكوريا الشمالية ودول أخرى جميعها برامج سيبرانية مدعومة من الدولة ذات قدرات هجومية. ما يُميّز اللحظة الراهنة هو الحجم والتطور ودمج العمليات السيبرانية في المنافسة الاستراتيجية الأوسع — ليس كمكمّل للقوة العسكرية التقليدية بل كأداة أساسية في فن إدارة الدول.
التداعيات على كل منظمة — حكومية أو عسكرية أو تجارية أو بنية تحتية حيوية — هي أن الجهات الفاعلة المدعومة من الدول تُمثّل ملف مخاطر مختلف جوهرياً عن المهاجمين الإجراميين. فالجهات الحكومية تمتلك موارد أكثر، وصبراً أكبر، وحرفية أكثر تطوراً، وأهدافاً أكثر تحديداً وغالباً غير مالية. الموقف الدفاعي المطلوب لمقاومة حملات APT المدعومة من الدول أكثر تطلباً بكثير مما هو مطلوب لمقاومة الهجمات الإجرامية الانتهازية.
خاتمة
تُمثّل Salt Typhoon لحظة فاصلة في تاريخ الصراع السيبراني — ليس لأن القرصنة المدعومة من الدول جديدة، بل لأن حجم هذه الحملة بالذات ودقتها وعواقبها الاستراتيجية غير مسبوقة. ستُشكّل استجابة الحكومات وشركات الاتصالات وفرق الأمن مستقبل أمن البنية التحتية للاتصالات العالمية لسنوات.
الدرس ليس أن التكنولوجيا الأفضل وحدها قادرة على حل هذه المشكلة. نجحت عملية Salt Typhoon جزئياً لأن ثغرة عمرها سبع سنوات لم تُصلح في شركة اتصالات كبرى. أكثر الدفاعات السيبرانية تطوراً في العالم لا يمكنها تعويض إخفاقات النظافة الأمنية الأساسية. الأساسيات مهمة — على كل مستوى من مجلس الإدارة إلى مركز عمليات الشبكة.
إعلان
رادار القرار (عدسة جزائرية)
| البُعد | التقييم |
|---|---|
| الأهمية بالنسبة للجزائر | عالية — تعتمد شركات الاتصالات الجزائرية (Algérie Télécom، Djezzy، Ooredoo، Mobilis) على نفس مصنّعي معدات الشبكات (Cisco، Huawei) وهندسة الاعتراض القانوني التي استهدفتها Salt Typhoon. شراكات الجزائر المتنامية في البنية التحتية للاتصالات الصينية تزيد من التعرض لمخاطر سلسلة التوريد. |
| جاهزية البنية التحتية؟ | لا — تفتقر شبكات الاتصالات الجزائرية إلى تجزئة شبكية ناضجة ومراقبة سلوكية وقدرات مركزية لإدارة التحديثات الأمنية. المعدات القديمة ذات الثغرات غير المُصلحة منتشرة على نطاق واسع عبر الشبكات الثابتة والمتنقلة. |
| المهارات المتاحة؟ | جزئياً — تمتلك الجزائر كفاءات في الأمن السيبراني عبر CERIST والبرامج الجامعية، لكن البلاد تواجه نقصاً حاداً في الخبرات المتخصصة في تعقب التهديدات والاستجابة للحوادث واكتشاف APT اللازمة لمواجهة الحملات المدعومة من الدول. |
| الجدول الزمني للعمل | فوري — يجب أن تبدأ شركات الاتصالات تدقيقات أمنية لأجهزة الشبكات والبنية التحتية للاعتراض القانوني الآن. يجب تسريع تطوير الإطار الوطني للأمن السيبراني خلال 6-12 شهراً. |
| أصحاب المصلحة الرئيسيون | وزارة البريد والمواصلات السلكية واللاسلكية (MPTIC)، سلطة ضبط البريد والاتصالات الإلكترونية (ANPT)، Algérie Télécom، Djezzy، Ooredoo، Mobilis فرق الأمن، CERIST، وحدات الدفاع السيبراني العسكرية |
| نوع القرار | استراتيجي — يتطلب تنسيقاً على المستوى الوطني بين منظمي الاتصالات والمشغّلين ووكالات الأمن لتقييم التعرض وتعزيز البنية التحتية الحيوية للاتصالات ضد تهديدات على مستوى APT. |
خلاصة سريعة: يستخدم قطاع الاتصالات في الجزائر نفس معدات المصنّعين وهندسة الاعتراض التي استغلتها Salt Typhoon على مستوى العالم. مع وجود بنية تحتية صينية كبيرة وقدرات محدودة لاكتشاف APT، يجب على المشغّلين الجزائريين التعامل مع هذه الحملة كتحذير مباشر. الأولويات الفورية هي تدقيق تحديثات أجهزة الشبكات، وعزل أنظمة الاعتراض القانوني، وبناء قدرات الاستجابة الوطنية للحوادث قبل أن تصل حملات مماثلة إلى شمال أفريقيا.
المصادر والقراءات الإضافية
- Top 10 Cyber-Attacks of 2025 — Infosecurity Magazine
- Salt Typhoon Hackers Targeted Over 80 Countries, FBI Says — Nextgov/FCW
- Salt Typhoon Exploits Flaws in Edge Network Devices to Breach 600 Organizations — The Hacker News
- Salt Typhoon Telecom Hacks One of the Most Consequential Campaigns Against US — Cybersecurity Dive
- Biggest Cyber Attacks of 2025 — CM Alliance
- US Communications Networks Remain Vulnerable Following Salt Typhoon Hack — US Senate Commerce Committee
إعلان