في صباح يوم حار من أغسطس 2012، دخل المهندس التقني إلى مكتب تكنولوجيا المعلومات في مقر أرامكـــ ـــو بالدمام، مثل أي يوم آخر. كان كل شيء يبدو عاديًا: أصوات الطابعات، رسائل البريد الإلكتروني تنهال على الشاشات، وضجيج الموظفين في الممرات.
محمد فريد يكتب: الهجوم على أرامكــ ـو.. عندما اهتز عرش النفط
في تمام العاشرة صباحًا، بدأ يحدث شيء غريب: توقفت بعض أجهزة الكمبيوتر عن الاستجابة، وظهرت وجوه خضراء غريبة تبتسم بسخرية على الشاشات. في البداية، اعتقد بعضهم أنها مزحة من أحد الزملاء، لكنهم لم يدركوا حجم الكارثة.
كانت “شمعون” – هجمة سيبرانية شرسة – قد بدأت في تدمير جميع البيانات المخزنة على أكثر من 35 ألف جهاز كمبيوتر في الشركة. تم محو كافة البيانات لتلك الأجهزة في دقائق، ملفًا تلو الآخر. بدأ الموظفون يشعرون بالارتباك، خاصة حين وجدوا الرسائل الإلكترونية، وسجلات العقود، والتقارير الخاصة باستخراج النفط تختفي بلا أثر.
حاولت فرق تكنولوجيا المعلومات إيقاف النزيف. فصلوا الأجهزة عن الشبكة، وأطفؤوا الخوادم، لكن الفيروس كان قد وُضع بعناية ليضرب في لحظة محددة وعلى نطاق واسع. خلال ساعات، توقفت نظم الاتصال الداخلية، وتوقف العمل الإداري، وأصبح من المستحيل إرسال أو استقبال حتى رسالة واحدة. لم تكن الضربة مجرد مشكلة تقنية، بل أزمة وطنية حقيقية.
الموظفون فقدوا الثقة، وبدأ القلق يتسلل إلى بيوتهم. كبار المسؤولين التزموا غرف اجتماعاتهم الطارئة، يناقشون كيف يمكن إعادة الأمور إلى نصابها وحماية أسرار الدولة.
الأسواق العالمية اهتزت، فلا أحد ينكر خطورة تهديد عملاق الطاقة الأكبر في العالم.
لكن خلف الفوضى، تكتشفت التفاصيل. كيف دخل البريد الإلكتروني الخبيث بسبب ثغرة أو غفلة من أحد الموظفين. وكيف تمكنت البرمجية الخبيثة من القضاء على سنوات من العمل والبيانات في لحظات.
نجح الهجوم في استغلال:
ثغرات في الشبكة: تبيّن لاحقًا أن الشبكة الداخلية لم تكن معزولة بالشكل الكافي، وأن بعض أجهزة الحاسوب الإدارية كانت مرتبطة مباشرة بأنظمة تحكم التشغيل (OT)، ما سهل انتشار البرمجية الخبيثة بسرعة استثنائية.
هندسة اجتماعية متطورة: وصلت رسالة بريد إلكتروني خبيثة إلى عدة موظفين وتم فتحها بدافع الفضول أو الثقة الزائدة لتفعيل الشيفرة الخبيثة. لم يكن هناك تدريب متكرر للموظفين حول أساليب التصيد (Phishing Awareness).
عدم وجود نسخ احتياطية حديثة: بعض البيانات التي مسحها الفيروس لم تكن لها نسخ احتياطية محدثة ومنفصلة عن الشبكة، مما عقد جهود استرداد البيانات.
تمت الاستجابة من قبل فريق الأمن السيبراني بفصل فوري عن الإنترنت، وعزل الشبكة للحد من انتشار البرمجية الخبيثة، وإغلاق آلاف الحواسيب يدويًا. كان هذا إجراء شاقًا، لكنه خفف من حجم الدمار. كما تم الاستعانة بخبراء عالميين في الأمن السيبراني من شركات عدة للمساعدة في تحليل البرمجية واستعادة الأنظمة.
الهجوم على أرامكو أوضح أن أبسط ثغرة أو تصرف غير محسوب من موظف قد يشعل أكبر أزمة. فالعمل في قطاع البترول بات يعتمد على الوعي السيبراني، وضرورة الاستعداد الدائم، والتدريب على حماية الأنظمة. لأن الخطر ليس بعيدًا… بل ربما بدأ من أقرب الناس إلى الشبكة.
