حصلت خدمة التجسس الكندية على إذن من القاضي للوصول إلى الخوادم المصابة وأجهزة التوجيه المنزلية ومعدات إنترنت الأشياء الموجودة على الأراضي الكندية وتحييد شبكتين من شبكات الروبوت التي يتم تشغيلها في الخارج.
أصدرت المحكمة الفيدرالية نسخة عامة من الحكم في 15 يونيو/حزيران. وهذه هي المرة الأولى التي يستخدم فيها جهاز المخابرات الأمنية الكندي سلطاته الخاصة بخفض التهديد بهذه الطريقة.
يسمح المذكرة لـ CSIS بتغيير بيانات الروبوتات الموجودة على الأجهزة المصابة وتحطيمها وتدميرها وقطع الأجهزة عن الشبكات.
كانت الأهداف عبارة عن خوادم مقرها كندا، وأجهزة توجيه للمكاتب الصغيرة والمكاتب المنزلية (SOHO)، وأجهزة إنترنت الأشياء: أجراس الأبواب من Ring، والكاميرات الأمنية، وأجهزة التلفزيون، وغيرها من الأجهزة التي تدعم تقنية Wi-Fi.
أصدرت القاضية كاثرين كين مذكرة التوقيف في 1 مايو/أيار 2024، وجددتها في أغسطس/آب من ذلك العام، وأصدرت الأسباب السرية في فبراير/شباط 2026. وظلت مذكرة التوقيف بعيدة عن الرأي العام لأكثر من عامين، حتى الإصدار المنقح هذا الشهر.
احتاجت CSIS إلى الأمر لأن عملية التنظيف كانت ستصبح على الأرجح جريمة بدونها. يعد الوصول إلى جهاز شخص آخر ومسح البيانات بمثابة ضرر للكمبيوتر بموجب القانون الجنائي، لذلك تحتاج الخدمة إلى موافقة القاضي قبل لمس الأجهزة.
وجدت المحكمة أن التهديد الذي تتعرض له كندا واضح ووشيك، وأن الإجراءات ضرورية ومعقولة ومتناسبة. وشددت على أن العملية استهدفت الأجهزة، وليس الأشخاص: لم يتم البحث عن هويات المستخدمين، ولم يتم اعتراض أي محتوى، وتم تدمير أي بيانات شخصية عن طريق الخطأ.
قامت شبكتا الروبوت بتشغيل قواعد تشغيل التتابع القياسية. أصدرت طبقة القيادة الأوامر؛ تقوم طبقة من الأجهزة المصابة بنقل حركة المرور. من خلال التوجيه عبر الأجهزة الكندية المختطفة، يمكن لدولة أجنبية أن تبدو وكأنها اتصال عادي، أو عامل منزلي، أو عميل مزود خدمة الإنترنت، بينما تقوم بالتحقق من البنية التحتية الحيوية والشبكات الحكومية والعسكرية.
يُترك مالك جرس الباب المصاب مسؤولاً عن حركة المرور التي لم يرسلها مطلقًا. وحددت المحكمة قطاع الطاقة ضمن الأهداف وحذرت من أن الخصوم يمكن أن يوجهوا شبكات الروبوت للتحقيق وربما تعطيل البنية التحتية الكندية.
الحكم العام يحسم الأمر: خصمان أجنبيان يشكلان تهديدًا لأمن كندا، كما وجدت المحكمة بوضوح. ما يجرد هو من. يتطابق التوقيت والتقنية مع لحظة محددة في أوائل عام 2024، لكن المكتب، الذي كشف الحكم، يقول إنه لا يستطيع معرفة من خلال الأسباب المنقحة ما إذا كانت شبكتي الروبوتات في كندا كلاهما صينيتين أو روسيتين أو واحدة من كل منهما. إن يد الدولة الأجنبية هي نتيجة. العلم هو التنقيح.
نفس التكتيك، سلطة مختلفة
كانت تلك اللحظة عبارة عن سلسلة من عمليات تنظيف الروبوتات بأمر من المحكمة في الولايات المتحدة. في عملية ديسمبر 2023، استخدم مكتب التحقيقات الفيدرالي قناة الأوامر الخاصة بشبكة الروبوتات لحذف البرامج الضارة KV-botnet من مئات أجهزة توجيه SOHO الأمريكية، ومعظمها من صناديق Cisco وNetGear المنتهية الصلاحية التي كان يستخدمها Volt Typhoon المرتبط بالصين لإخفاء الوصول الذي زرعه قبل أزمة محتملة داخل أنظمة الاتصالات والطاقة والمياه والنقل الأمريكية.
وبعد أسابيع، نفذت عملية شبه متطابقة ضد شبكة منفصلة من أجهزة توجيه Ubiquiti التي حولتها GRU الروسية، مجموعة APT28، إلى شبكة تجسس.
انضم المركز السيبراني الكندي إلى تحذيرات الحلفاء بشأن إساءة استخدام الجهات الحكومية لمعدات SOHO وإنترنت الأشياء. نفس الشكل الذي أمرت به المحكمة في المرتين: معدات استهلاكية مهملة، ومشغل حكومي، وقاض يوقع على التطهير عن بعد.
الفرق هو من يحمل المذكرة. كانت العمليات الأمريكية عبارة عن سلطات إنفاذ القانون ومكتب التحقيقات الفيدرالي ووزارة العدل التي تعمل تحت سلطة التفتيش والمصادرة.
كندا هي جهاز استخبارات يستخدم تدابير الحد من التهديدات، وقوة CSIS لتعطيل التهديد بشكل فعال بدلاً من مجرد جمع المعلومات الاستخبارية عنه، وقد تمت كتابتها في قانون CSIS منذ سنوات وأعيدت صياغتها في قانون الأمن القومي لعام 2017، والذي دخل حيز التنفيذ في عام 2019. ولم يصل CSIS إلى هذا الحد حتى الآن.
لا يزال الأمر يتعلق بأجهزة التوجيه القديمة
الدرس الذي يجب على المدافعين تعلمه هو الدرس الممل. تتغذى شبكات الروبوت على المعدات التي لا يحتفظ بها أحد: أجهزة التوجيه المنتهية الصلاحية التي لا تزال موصلة بالشبكة، ومجموعات إنترنت الأشياء التي لم تحصل مطلقًا على آخر تحديث للبرامج الثابتة الخاصة بها، وأي شيء موجود على بيانات الاعتماد الافتراضية مع لوحة إدارة تواجه الإنترنت.
التنظيف الحكومي لا يمس ذلك. في عمليات الولايات المتحدة، ظهرت البرامج الضارة، لكن نقاط الضعف ظلت قائمة، وقد تؤدي إعادة التشغيل أو إعادة ضبط المصنع إلى التراجع عن الإصلاح وإعادة فتح الباب أمام الإصابة مرة أخرى. إن إيقاف تشغيل الأجهزة الميتة وتأمين ما تبقى يقع على عاتق المالك، وليس على الوكالة التي قامت بالتنظيف من بعدهم.
إحدى النهايات الفضفاضة التي لم يغلقها الحكم العام: الطلب، من خلال حساب المكتب، يعتمد على عناوين IP التي جمعتها CSIS دون أمر قضائي، بعد أسابيع من حكم المحكمة العليا في كندا في قضية R. v. Bykovets بأن عنوان IP يحمل توقعًا معقولًا للخصوصية.
سواء كان ذلك متوافقًا مع سلطات التجميع التابعة لـ CSIS، وما إذا تم إخبار أصحاب الأجهزة المطهرة على الإطلاق، فابقوا مفتوحين.
