اختيار الأهداف — عقلية الخصم ومنهجية الاستهداف

قبل أن يبدأ أي استغلال برمجـي، يقوم المهاجم بتحديد مَن سيضرب ولماذا. فهم هذه المنهجية يمثل نصف الطريق في الدفاع، وهو جوهر اللعبة الاستخباراتية في الهجوم. يعلمك هذا الدرس كيف تفكر كمشغل سيبراني محترف مدعوم من حكومة، يقرر أين سيوجه سلسلة استغلال (Exploit Chain) قد تبلغ تكلفتها ملايين الدولارات.

[!warning] للمدافعين وأعضاء الفرق الحمراء المصرح لهم يتم تدريس هذه المادة لتمكين الفرق الزرقاء من بناء نماذج تهديدات واقعية، ولتمكين الفرق الحمراء من بناء سيناريوهات اختراق تحاكي الواقع. لا تستخدم هذه المعلومات للتخطيط لعمليات غير قانونية.

ما الذي تبحث عنه الدول فعلياً؟

تعمل وحدات العمليات السيبرانية الحكومية وفق خطة جمع استخباراتي (Collection Plan) — وهي قائمة أولويات تحدد "فجوات المعلومات" التي ترغب القيادة السياسية في سدها. يتم اختيار الأهداف لأنها قادرة على الإجابة عن أحد هذه الأسئلة:

لاحظ أن الهدف الحقيقي هو الحصول على المعلومات والنفوذ الاستراتيجي. حتى هجمات الفدية (Ransomware) الصاخبة غالباً ما تكون غطاءً "قابلاً للإنكار" لمهمة استخباراتية أو تموضع خفي طويل الأمد.

كيف يتم بناء قائمة الأهداف؟

# الخطوة 1 — ترجمة المتطلب الاستخباراتي إلى "بذور استهداف"
# "ما موقف الدولة X من المعاهدة Y؟" ← استهداف الخارجية، رئاسة الوزراء، والوفد المفاوض.
# الخطوة 2 — إثراء هذه البذور بالسجلات العامة والرقمية
$ amass intel -org "Ministry of Foreign Affairs" -active
$ shodan search 'ssl:"Ministry of X" country:XX'
# الخطوة 3 — رسم خارطة العنصر البشري (سطح التصيد وتجنيد العملاء)
$ hunter.io domains/mfa.gov.xx
$ linkedin search "diplomat" "MFA" "X"
# الخطوة 4 — تقييم الأهداف بناءً على (احتمالية النفاذ × القيمة الاستخباراتية)

[!tip] لماذا تُعد "الأهداف اللينة" هي نقطة الدخول؟ زوجة دبلوماسي تستخدم بريد Gmail شخصياً، أو موظف في شركة متعاقدة مع الوزارة، أو مترجم يعمل من فندق — هؤلاء هم "المسار الأقل مقاومة" للوصول إلى الأهداف الحصينة. خطط الجمع الحديثة تضع هؤلاء الأشخاص والأنظمة المجاورة ضمن قائمة الاستهداف المباشر.

مسار قمع الاستهداف (The Targeting Funnel)

1. المستوى الاستراتيجي — بقرار من القيادة

يصدر كأحد مخرجات اجتماعات لجان الاستخبارات العليا: "نحتاج إلى رؤية واضحة حول الموقف النووي للدولة X بحلول الربع الثالث". يتحول هذا إلى متطلب جمع ذو أولوية عالية.

2. المستوى التشغيلي — يختاره مخططو العمليات

يتم ترجمة المتطلب الاستراتيجي إلى كيانات محددة: أشخاص، منظمات، أو شبكات تقنية. كما يتم تحديد مستوى "تحمل المخاطر" (هل الهجوم صاخب أم يجب أن يكون خفياً وغير قابل للإسناد؟).

3. المستوى التكتيكي — يختاره المشغل المباشر

المشغل هو من يختار حساب البريد الإلكتروني المحدد، أو الخادم المعين، أو الثغرة البرمجية المناسبة. القاعدة الذهبية هنا: "لا تحرق ثغرة 0-day غالية الثمن على هدف منخفض القيمة".

تقنيات الاستطلاع الميداني

تحديد الأثر الرقمي للمؤسسة (Footprinting)

# النطاقات والشركات التابعة
$ whois target.gov.xx
$ crtsh target.gov.xx | grep -Eo '[a-z0-9.-]+\.target\.gov\.xx' | sort -u
$ amass enum -passive -d target.gov.xx -d targetcorp.com
$ 
# الخدمات المتاحة للعموم
$ shodan search 'ssl:"target.gov.xx"'
$ fofa.info "domain=\"target.gov.xx\""
$ censys search 'services.tls.certificates.leaf_data.subject.common_name: "target.gov.xx"'
$ 
# استخدام أرشيف الإنترنت للبحث عن نقاط وصول منسية
$ waybackurls target.gov.xx | grep -E '\.(php|asp|jsp|json)' | sort -u

تحديد الأثر الرقمي للأشخاص

# البحث عن الكوادر البشرية في المنصة المهنية
$ linkedin people search "company:'Target Gov'"
# فحص التسريبات المرتبطة بالهويات المؤسسية
$ hibp domain target.gov.xx
$ dehashed search "@target.gov.xx"
# البحث عن تسريبات الأكواد والبيانات الحساسة
$ github search "target.gov.xx" path:.env
$ github search 'org:targetgov "AKIA"'

بناء مخطط العلاقات (Relationship Graph)

يحتفظ كل مشغل بملف استخباراتي (Dossier) يتضمن: الأسماء، الأدوار الوظيفية، الموردين، أنماط السفر، والروابط العائلية. كلما كان هذا المخطط ثرياً، زادت خيارات "الذرائع" المتاحة لعملية التصيد.

firstname.lastname@gmail.com

تقييم وتسجيل الأهداف (Target Scoring)

معادلة تقديرية بسيطة يستخدمها المشغلون:

الأولوية = (قيمة المعلومة × احتمالية الوصول) / (مخاطر العملية × التكلفة)

• قيمة المعلومة: مدى أهمية المتطلب للقيادة العليا.
• احتمالية الوصول: بناءً على إصدارات الأنظمة، عدد التسريبات، وسطح الهجوم للموردين.
• مخاطر العملية: احتمالية الانكشاف وما يتبعها من تداعيات دبلوماسية.
• التكلفة: استهلاك ثغرة 0-day، وقت تطوير الأدوات، والكوادر البشرية المطلوبة.

الأهداف التي لديها ثغرة "يوم واحد" (1-day) منشورة، أو بيانات دخول مسربة، تسبق في الأولوية الأهداف المحصنة جداً — حتى لو كانت الأخيرة أكثر "إثارة".

ماذا يتعلم المدافعون من هذا؟

[!info] قلب مسار الاستهداف كمدافع، يجب أن تعرف تحت أي متطلب جمع تقع مؤسستك. هل أنت جزء من القاعدة الصناعية الدفاعية؟ قطاع الطاقة؟ الأبحاث الدوائية؟ هذا سيعرفك بنوع المجموعات (APTs) المكلّفة باختراقك، والأساليب التي سيستخدمونها، وأين يجب أن تنفق ميزانيتك الدفاعية القادمة.

إجراءات عملية للمدافعين:

• ابنِ قائمة بالأشخاص المستهدفين: مَن هم الموظفون الذين يمتلكون وصولاً لـ "الأصول الحيوية" وسيكونون هدفاً للتصيد؟
• راقب أثرك الرقمي (OSINT) كما يفعل الخصم تماماً: الشهادات الرقمية، التسريبات، منشورات GitHub، وLinkedIn.
• قم بإجراء تمارين محاكاة (Tabletop) بناءً على خصم محدد (مثل APT29 أو Lazarus) وتتبع سلسلة هجماتهم المعروفة داخل بيئتك.

تمرين عملي — اختر هدفك كمشغل استخبارات

بناءً على المتطلب: "فهم موقف الدولة X من سياسة أمن الكابلات البحرية بنهاية الربع الثاني":

1. حدد أهم 5 منظمات يجب استهدافها.
2. حدد أهم 3 أشخاص بالاسم (أدوارهم الوظيفية).
3. حدد ناقلين (Vectors) للنفاذ الأولي لكل هدف. قارن قائمتك بتقارير مجموعات الـ APT المنشورة من قبل (Mandiant, Volexity, Microsoft) لحملات حقيقية مشابهة. ستجد أن التطابق مذهل.