أعلنت مجموعة “ستورموس” “Stormous”، إحدى أبرز عصابات الفدية الإلكترونية في العالم، عن تنفيذ هجوم سيبراني واسع ضد مجموعة “مرجان هولدينغ“، أكبر فاعل في قطاع التجارة والتجزئة بالمغرب. وجاء الإعلان عبر صفحات تابعة للمجموعة في شبكة الإنترنت المظلمة أو ما يُعرف بـالدارك ويب، حيث أفصحت عن تمكنها من اختراق أنظمة داخلية حساسة للشركة، وأعلنت عن بدء ما وصفته بمرحلة التفاوض، وهي المرحلة التي تسبق عادة تسريب البيانات المسروقة في حال رفض الضحية دفع الفدية.
بداية الاختراق، حسب ما توصلنا إليه، لم تكن وليدة الصدفة ولا سريعة التنفيذ، بل نتيجة عملية دقيقة استمرت أسابيع من الرصد والتسلل الصامت. استخدم المهاجمون مزيجاً من تقنيات الاختراق المتطورة واستغلال الثغرات البرمجية للوصول إلى حسابات داخلية عبر بروتوكولات SSH وSFTP وشبكات VPN التي تصل فروع مرجان ببنيتها التحتية المركزية. كما تمكنوا من الوصول إلى منصات العمل الداخلية التي تعتمدها الشركة في إدارة مشاريعها مثل Jira وConfluence التابعة لشركة Atlassian، وهي أدوات تحتوي عادة على معلومات تقنية ووثائق تشغيلية بالغة الحساسية.
مصادر مقربة من التحقيق أشارت إلى أنه خلال التدقيق في السجلات تبيّن أن بعض حسابات المستخدمين الداخليين استُعملت من عناوين إنترنت خارج المملكة، ما يرجّح حصول القراصنة على بيانات دخول حقيقية تعود لموظفين حاليين أو سابقين. ويُعرف هذا الأسلوب في عالم الأمن الرقمي باسم استغلال الحسابات الصالحة، وهي تقنية تتيح للمهاجم التحرك بحرية داخل الشبكة وكأنه مستخدم موثوق، ما يجعل اكتشافه أكثر صعوبة.
وفي هذا الصدد قال الطيب هزاز، خبير الأمن السيبراني: “في التقييم التقني الأولي للهجوم الذي استهدف مجموعة مرجان، تشير المعطيات إلى أن المهاجمين اعتمدوا على تقنيات سيبرانية موصوفة ضمن إطار MITRE ATT&CK. أبرز هذه التكتيكات شملت استغلال “حسابات صالحة” عبر بيانات مسروقة (T1078)، واستخدام خدمات الوصول عن بُعد مثل SSH أو VPN (T1021.004)، إضافة إلى إمكانية استغلال ثغرة في أحد التطبيقات المتاحة عبر الإنترنت كمدخل أول للهجوم (T1190). التقييم حذّر من التصعيد نحو مرحلة “تسريب مؤكد” في حال نشر القراصنة بيانات العملاء أو العملاء، ونبّه أيضاً لاحتمال توسع الهجوم إلى حملات تصيّد تستغل اسم مرجان عبر البريد الإلكتروني أو الرسائل النصية لاستهداف الزبناء مباشرة”.
وأوصى الخبير السيبراني “بضرورة بتنفيذ مراجعة فورية وحازمة لجميع حسابات الوصول (SSH، SFTP، VPN، Atlassian)، وفرض تغيير كلمات المرور وتفعيل المصادقة المتعددة العوامل حيثما أمكن، مع تعطيل الحسابات غير النشطة أو المشبوهة. كما يجب تدقيق سجلات الدخول لرصد أي اتصالات أو محاولات دخول غريبة، وتطبيق سياسة الفصل في الصلاحيات خاصة على الحسابات الحساسة. كما أوصى الخبير بإعداد خطة استجابة للحوادث تشمل سيناريو التصعيد إلى تسريب علني وخطة للتواصل مع الجمهور وإدارة الأزمة في حال فشل المفاوضات مع الجهة المهاجمة”.
العملية التي نفذتها “ستورموس” تعكس مستوى عالياً من التنظيم. فقد استندت إلى ثلاثة مسارات متكاملة: الأول يتمثل في استغلال الثغرات التقنية في الأنظمة المكشوفة على الإنترنت، والثاني في الاستحواذ على صلاحيات تمكنهم من حرية التنقل داخل الشبكات ونسخ البيانات، أما الثالث فهو استخدام تلك المعلومات لاحقاً كأداة تفاوض مالية مع الضحية. وتوضح التحليلات الأولية أن مرجان لم تفقد السيطرة الكاملة على أنظمتها، لكنها تواجه تهديدا فعليا بتسريب بيانات حساسة متى ما توقفت المفاوضات أو رُفضت مطالب المهاجمين. فالمسار المعروف عن هذه المجموعة يبدأ بالضغط النفسي، يليه التهديد العلني، ثم نشر العينات أو البيانات كاملة إن لم يتحقق المطلوب.
مرجان، التي توسعت خلال العقدين الأخيرين لتغطي بخدماتها أغلب المدن المغربية، تعتمد بشكل أساسي على بنية رقمية متكاملة في التسيير والتوزيع، ما يجعل تعرضها لمثل هذا الهجوم تحديا حقيقيا لاستمرارية نشاطها. تطبيقها الهاتفي وموقعها الإلكتروني يُعدّان جزءاً جوهرياً من علاقتها بزبنائها، إذ يُستخدمان لإدارة المشتريات والعروض والبرامج الترويجية. ومن ثم فإن أي اختراق للبنية التقنية الداخلية قد يُعرّض قاعدة بياناتها للخطر ويهدد سلامة معلومات المستهلكين.
حتى الآن لم تصدر الشركة تصريحاً يؤكد أو ينفي بشكل تفصيلي مدى التأثر، غير أن المعطيات المتوفرة تفيد بوصول المهاجمين إلى بيانات ما لا يقل عن مئة مستخدم داخلي، بينهم موظفون تقنيون. وقد تضم هذه البيانات وثائق إدارية أو معلومات عن البنية التقنية نفسها، مما يزيد احتمالات امتداد الخطر إلى حسابات المستخدمين العاديين في حال ترابط أنظمة التطبيق والخوادم الداخلية.
في مثل هذه الحالات، تصبح بيانات مثل البريد الإلكتروني، أرقام الهواتف، وسجلات المشتريات هدفاً مغرياً يمكن تداوله في منتديات القرصنة أو استغلاله في حملات تصيد إلكتروني تطال الزبناء أنفسهم. هذا الاحتمال وحده كافٍ لخلق أزمة ثقة، لأن الضرر في الهجمات الرقمية لا يقتصر على خسائر مادية فحسب، بل يمتد إلى مشاعر الأمان والانطباع العام تجاه العلامة التجارية.
مجموعة ستورموس التي اعترفت بتنفيذ الهجوم ليست جهة مجهولة في عالم الجريمة الإلكترونية. فمنذ ظهورها في 2021 ارتبط اسمها بعشرات الحالات التي استهدفت مؤسسات حكومية وشركات احتكارية في قطاعات الاتصالات والطاقة حول العالم. تعمل بطريقة لامركزية يصعب تتبعها، فلا قيادة معروفة ولا هوية محددة لأعضائها. تعتمد نظاماً مشفراً للمراسلة في الفضاء المظلم يتيح إخفاء هوياتها تماماً. فلسفتها قائمة على مفهوم واحد: سرقة البيانات، ثم التفاوض، وبعدها النشر في حال تعذّر الوصول إلى اتفاق. وغالباً ما تطلب فدية مالية مقابل «مفتاح فك التشفير» وإزالة الملفات المسروقة من حيازتها. إلا أن التجارب السابقة تؤكد أن كثيراً من الضحايا الذين دفعوا المال لم يسلموا في النهاية من تسريب بياناتهم.
حادثة مرجان جاءت في سياق ارتفاع واضح في موجة الهجمات الرقمية بالمغرب والمنطقة خلال العامين الأخيرين. توسع نطاق الرقمنة الوطنية واعتماد المؤسسات العمومية والخاصة على التقنيات السحابية والتطبيقات التفاعلية جعل المملكة هدفاً متكرراً لمجموعات قرصنة دولية تبحث عن مؤسسات ذات قاعدة بيانات ضخمة وقيمة اقتصادية مرتفعة. وقد اتخذت السلطات المغربية خطوات استباقية متعددة لتعزيز الأمن السيبراني عبر المركز الوطني للاستجابة لحوادث الحاسوب، إلا أن طبيعة الهجمات الحديثة المتطورة تجعل مهمة الحماية أشبه بسباق مستمر بين الترقيع والمراقبة من جهة، والاختراق والتجريب من جهة أخرى.
ولا يستبعد الخبراء أن يكون سبب اختراق بيانات مجموعة مرجان مزيجا من نقاط ضعف متراكمة، مثل وجود ثغرات غير مرقعة في البرامج الداخلية، أو تسرب كلمات مرور قديمة، أو خطأ بشري ناتج عن فتح روابط خبيثة في رسائل احتيالية أُرسلت للموظفين، إضافة إلى احتمال سوء إعداد الشبكات أو غياب التحقق المتعدد للعوامل في حسابات الدخول الحساسة. وغالباً ما تؤدي مجموعة من هذه العوامل معاً إلى فتح الباب أمام المتسللين واستغلالها في التوسع داخل النظام.
أسلوب التفاوض الذي تتبعه ستورموس يضيف بعداً نفسياً بالغ القسوة. فهي لا تتواصل مباشرة مع الإدارات أو عبر البريد الإلكتروني، بل تُصدر إعلاناً عاماً على مواقعها في الدارك ويب تعلن فيه امتلاكها بيانات مؤسسة معينة، ثم تدعو الطرف المتضرر للتواصل عبر قناة مشفرة محددة. ومن هناك تبدأ المساومات ليلاً ونهاراً حول المبلغ وطريقة الدفع بالعملات المشفرة. في هذه المرحلة الحساسة تكون الشركة الضحية في موقف صعب، إذ يتعين عليها اتخاذ قرار سريع بين رفض الدفع وتحمل خطر التسريب، أو الموافقة حفاظاً على صورتها وبياناتها. بعض الشركات تلجأ إلى وسطاء متخصصين في التفاوض مع قراصنة الفدية، لكن النتيجة تبقى دائماً محفوفة بالمخاطر.
من الناحية الاقتصادية، مثل هذه الهجمات تهدد استقرار الأنشطة التجارية للشركات الكبرى. مرجان تعتمد على شبكة رقمية في عمليات الشراء والتوزيع والتخزين، وأي خلل مفاجئ في الأنظمة قد يسبب تأخيرات في الإمداد أو تعطلاً جزئياً في الخدمات داخل المتاجر. كما أن احتمال تعطل الاتصالات أو فقدان بعض البيانات التشغيلية ينعكس مباشرة على ثقة الموردين والشركاء. أما على المستوى الاجتماعي، فإن مجرد تداول خبر اختراق قاعدة بيانات ضخمة كهذه يثير القلق لدى المستهلكين الذين يطالبون بمزيد من الشفافية حول نوع المعلومات المخزنة وكيفية حمايتها.
