مع تطور الجرائم الإلكترونية، ظهرت الهجمات المتقدمة المستمرة (Advanced Persistent Threats – APT) كأحد أخطر التهديدات السيبرانية. تتميز هذه الهجمات بأنها منظمة، مخفية، وطويلة الأمد، وتُنفذ غالبًا من قبل جهات محترفة أو مدعومة من دول، بهدف التجسس أو سرقة البيانات الحساسة. كما أن عمليات التنصت الإلكتروني (Sniffing / Eavesdropping) تمثل أسلوبًا كلاسيكيًا لاستخلاص المعلومات من الشبكات دون علم المستخدمين. كلا النوعين من التهديدات يمثلان تحديًا كبيرًا في علم الأدلة الجنائية الرقمية.<br /><br />أولًا: ما هي الهجمات المتقدمة المستمرة (APT)؟<br />APT هي سلسلة من الهجمات السيبرانية المعقدة، يُخطط لها بعناية لاستهداف جهة معينة (مؤسسة، حكومة، منشأة أمنية).<br /><br />تهدف إلى التسلل بصمت، جمع البيانات، ثم الخروج دون أن تُكتشف.<br /><br />تستخدم وسائل متعددة مثل البريد الإلكتروني الخبيث، استغلال الثغرات، البرمجيات الخبيثة، والهندسة الاجتماعية.<br /><br />دور الأدلة الجنائية في كشف APT<br />تحليل السجلات الرقمية (Log Analysis):<br />متابعة سجل الأحداث داخل الشبكة والأنظمة، مثل عمليات الدخول غير المصرح بها، أو تحميل ملفات مشبوهة.<br /><br />مراقبة سلوك النظام (Behavioral Analysis):<br />رصد تصرفات غير اعتيادية للبرمجيات أو المستخدمين مثل إنشاء اتصالات خارجية غير مبررة.<br /><br />تحليل الحزم (Packet Capture):<br />استخدام أدوات مثل Wireshark لتحليل حركة الشبكة واكتشاف إرسال بيانات إلى عناوين IP خارجية مشبوهة.<br /><br />التراجع الزمني (Timeline Reconstruction):<br />إعادة بناء الخط الزمني للهجوم لتحديد نقطة الدخول، مسار التحرك داخل النظام، وأنشطة الاختراق.<br /><br />ثانيًا: التنصت على الشبكة (Sniffing)<br />التنصت هو اعتراض البيانات أثناء مرورها عبر الشبكة، ويتم غالبًا باستخدام:<br /><br />أدوات مثل tcpdump وWireshark<br /><br />وضع الشبكة في promiscuous mode لقراءة جميع الحزم<br /><br />وقد يُستخدم التنصت لسرقة:<br /><br />كلمات المرور<br /><br />الرسائل<br /><br />بيانات حساسة (بطاقات ائتمان، ملفات شخصية)<br /><br />كيفية كشف التنصت باستخدام التحليل الجنائي<br />تحليل التكوينات:<br />فحص إعدادات الشبكة للكشف عن وجود بطاقات شبكة في وضع التنصت.<br /><br />فحص الترافيك:<br />البحث عن أنماط مرور غير طبيعية أو مكررة تدل على مراقبة البيانات.<br /><br />مراقبة الأجهزة:<br />تحديد الأجهزة المتصلة بالشبكة ومحاولة اكتشاف السلوك الغريب مثل فتح المنافذ غير المعروفة.<br /><br />التحديات في كشف APT والتنصت<br />الخفاء العالي: تعتمد هذه الهجمات على تجنب الاكتشاف، باستخدام تشفير وعمليات بطيئة ومنتظمة.<br /><br />الاختراق طويل الأمد: قد تستمر APT لعدة شهور دون أن تُلاحظ.<br /><br />تعدد الأدوات والتقنيات: ما يجعل التحليل معقدًا ويتطلب خبرات متعددة (شبكات، أمن، تحليل بيانات).<br /><br />خاتمة<br />يمثل كشف APT والتنصت تحديًا بالغًا في التحقيقات الجنائية الرقمية، يتطلب توظيف أدوات متقدمة وتحليلًا دقيقًا للبيانات. ويجب أن يعمل خبراء الأدلة الجنائية بالتنسيق مع مهندسي الشبكات والأمن السيبراني لتوثيق الأدلة رقمياً، وضمان قابليتها للاستخدام القانوني، ومحاسبة الجناة، ومنع تكرار الهجوم.<br /><br />جامعة المستقبل الجامعة الاولى في العراق