اختيار الأهداف: ليه انت بالذات؟ ولو معاك مليون دولار، هتضرب مين؟

طب ليه شركة معيّنة بتتضرب وغيرها لأ؟ هل ده عشوائي؟ حد قاعد بيرمي عشوائياً؟ ولا في حد قاعد على مكتب، شارب قهوة، وعنده list فيها اسمك؟

التانية. للأسف.

في عالم الـ nation-state targeting، مفيش حاجة اسمها صدفة. فيه collection plan. فيه requirements. فيه priority. الموضوع شغل استخباراتي بحت، مكتوب على ورق، عنده budget، وعنده KPIs. زيك زي أي شغل، بس هدف الـ deliverable هو معلومة عن دولة تانية.

[!danger] تنبيه الكلام ده للمدافعين عشان يفهموا الـ adversary، وللـ red teams الـ authorized عشان يبنوا scenarios واقعية. أي استخدام تاني؟ القانون مش بيهزر.

السوق نايم؟ ولا انت اللي مش بتشوف؟

وحدة هجوم في دولة كبيرة بتشتغل بـ tasking. القيادة السياسية بتقول: "عايزين نعرف موقف الدولة X من ملف Y". الـ tasking بيتترجم لـ requirements تقنية. الـ requirements بتتترجم لـ targets. الـ targets بتتترجم لـ TTPs.

الهدف مش "سيرفر". الهدف "معلومة":

عايز خطط عسكرية؟ هتروح لـ defense contractors والمعاهد البحثية.
عايز نفوذ اقتصادي؟ هتروح لـ central banks، oil & gas، sovereign funds.
عايز ترصد معارضين؟ هتروح للصحفيين، المنظمات، المحامين.
عايز تعرف مفاوضات؟ هتروح لـ law firms اللي بتمثّل الطرف التاني.

في 2016 الـ DNC اتضرب. في 2020 SolarWinds. في 2023 وزارة الخارجية الأمريكية على Microsoft cloud. كل واحدة كان فيها tasking واضح ورا.

قائمة الـ targeting بتتبني إزاي؟

زي ما بتدوّر على شغل، بالظبط.

الترجمة: السؤال السياسي يتحوّل لهدف تقني. "ايه رأي الوزير في الملف؟" يتحوّل لـ "نوصل لإيميل السكرتير اللي بيكتب له briefings".
OSINT: كل حاجة public. domains، subdomains، IP ranges، leaked credentials، GitHub commits، LinkedIn profiles.
الـ human map: مين بيشتغل فين؟ مين تابع لمين؟ مين بيسافر فين؟ مين بيشتري حاجاته من فين؟ مين عنده مشكلة مادية؟
الـ supply chain: مين بيخدم الهدف؟ المحاسب؟ الـ IT MSP؟ شركة التنظيف؟ شركة الـ catering اللي عندها employee badge؟

[!info] ليه الأهداف الجانبية؟ تخترق وزارة الخارجية مباشرة؟ غالي ومعقد و noisy. تخترق إيميل زوجة الدبلوماسي الشخصي؟ تخترق MSP صغير بيدير الـ Exchange بتاع الوزارة؟ تخترق شركة لوجستيات ورقمها مسجّل في travel itinerary؟ ده اللي بيشتغل فعلاً. SolarWinds مكنش هدف — كان السكة للـ 18,000 هدف اللي وراه.

الـ funnel: من الاستراتيجية للتكتيك

استراتيجي:   "عايزين نعرف اللي بيحصل في الكابلات البحرية"
                       v
تشغيلي:      "هنخترق شركة الصيانة Acme Subsea"
                       v
تكتيكي:      "spear-phish للمهندس اللي ماسك الـ NOC على Outlook"

كل مستوى بيغذّي اللي تحته. لو الـ tasking اتغيّر فوق، التكتيك كله بيتغيّر.

المعادلة اللي بتحرّك الـ adversary

الـ operator مش بيشتغل بـ "حماس". بيحسبها:

الأولوية = (قيمة المعلومة × سهولة الاختراق) / (التكلفة + المخاطرة + احتمال الفضيحة)

ده ليه بعض الأهداف "المهمة جداً" بتفضل سايبة لشهور — لأن الـ blowback لو اتكشفوا أكبر من قيمة المعلومة. وده ليه أهداف "متوسطة" بتتضرب أسرع — لأنها سهلة، رخيصة، ومفيش حد هيعمل قضية دولية عشانها.

غلطات الـ junior

بيقول "إحنا مش مهمين". لا. انت ممكن مش الهدف الأخير، بس انت الـ stepping stone.
بيركّز كل الـ defense على الـ crown jewels وينسى الـ HR system والـ vendor portal. الـ adversary بيدخل من اللي مش متوقع.
بيفتكر إن الـ APTs بتدخل بـ 0-day. لا. 80% من الوقت بيدخلوا بـ phishing وبـ credentials مسرّبة من breach تاني.

للمدافع: شوف نفسك بعين الـ adversary

 bash
# OSINT على نفسك. ليه؟ عشان تعرف انت بتبان إزاي من برّه.
amass enum -d yourcompany.gov -passive
# ايه الـ leaks اللي عندي؟ DeHashed, IntelX, BreachDirectory
# مين بيبصّ فين؟ Shodan favicon hash, Censys queries
shodan search "ssl.cert.subject.cn:yourcompany.gov"

اسأل نفسك:

مين الـ APTs اللي بيستهدفوا قطاعنا؟ MITRE Groups + Mandiant reporting.
ايه الـ TTPs اللي بيستخدموها؟ ATT&CK Navigator.
ايه الـ third parties اللي عندهم access لشبكتنا؟ كل واحد فيهم = طريق دخول.
لو معايا 1000 دولار وأسبوع، أزاي هدخل شركتنا؟

الخلاصة الناشفة

الدنيا مش نايمة. ومحدش متحصّن 100%. الفرق بين اللي بيتضرب واللي بيقاوم = الـ awareness. هل انت عارف انت ايه في عيون اللي قدامك؟

لو انت لسه فاكر إنك "صغير" أو "مش مهم"، يبقى انت ما اتعرّفتش لسه. والمشكلة إن اللي قدامك متعرّف عليك. ومستني.

ابدأ تشوف نفسك بعينه. النهاردة.