يقول جنرال إيراني إن بلاده تحل في المرتبة الرابعة في ترتيب القوى السيبرانية العالمي، بينما يحذر معهد دراسات الأمن القومي الإسرائيلي من القدرات الإيرانية المتنامية منذ 2013.

طوَّرت إيران هذه القدرات بجدية بعد هجوم «ستكسنت» الذي اكتُشف عام 2010، وسبب ضررًا في بعض أجهزة الطرد المركزي لتخصيب اليورانيوم في منشآت إيرانية، ويعتقد أن الهجوم جرى بتعاون أمريكي إسرائيلي.

ضاعفت إيران منذ ذلك الحين اهتمامها بقدراتها السيبرانية، حتى أصبحت اليوم واحدةً من القوى العالمية في المجال، ويسردُ هذا التقرير رحلة إيران السيبرانية التي بدأت بتخريب بعض المواقع، حتى تمكّنت من مهاجمة منشآت، وبنوك، وشركات في الشرق الأوسط، وأوروبا، وأمريكا، في غضون سنوات قليلة.

انتبهت إيران مبكرًا لأهمية الإنترنت، فدخلت الخدمة البلاد عام 1992، وبحلول عام 2002 استخدم الإنترنت أكثر من مليون إيراني، نفس الوقت الذي بدأ فيه بعضهم محاولات استكشاف جانب آخر لهذا الاختراع الجديد.

أنشئت منتديات الإنترنت لتجمع رواد الشبكة بمختلف اهتماماتهم، ومنهم المهتمين بالاختراق الإلكتروني، الذين اجتمعوا في ثلاثة مواقع إيرانية بشكل رئيس، «سيمرغ»، و«شبگارد»، و«آشيانه»، والأخير هو أول هذه المواقع وأشهرها، التي أصبحت جميعًا أدوات للحكومة الإيرانية في حربها السيبرانية لاحقًا، بالإضافة لأدوات أخرى.

تكنولوجيا

منذ سنة واحدة
احترس منها.. 4 دول ستكون الأكثر تطورًا في تقنيات التجسس العقد المقبل

كان المنتدى يتبع فريق «آشيانه» للأمن الرقمي، الذي أسسه بهروز كماليان عام 2002، الشاب المقرّب من الحرس الثوري الإيراني، وابن حسين كماليان، سفير البلاد السابق في البحرين واليمن وأربع بلدان أخرى. وتركزت عمليات الفريق في السنوات الأولى حتى عام 2009 على تخريب المواقع المعادية لإيران في نظرهم، وقال الفريق إنه اخترقَ مواقع تتبع جهاز الاستخبارات الإسرائيلي «الموساد»، ووكالة الفضاء الأمريكية «ناسا».

ظهرَت في إيران «الحركة الخضراء» في 2009 احتجاجًا على نتائج الانتخابات الرئاسية الإيرانية في ذلك العام، وكانت تلك الأحداث نقطة فاصلة في تعامل الحكومة مع الإنترنت، إذ بدأت في استخدام قوتها السيبرانية داخليًّا، بحجب ومهاجمة المواقع الداعمة للحركة التي تعارض النظام الحاكم. وهاجمت مجموعةٌ إيرانية منصة تويتر في ديسمبر (كانون الأول) 2009 لتعطلها عن العمل لوقت قصير، أعلنت المجموعة عن نفسها باسم «الجيش السيبراني الإيراني»، وتُتهم بارتباطها بالحرس الثوري الإيراني.

ولكن لا يوجد دليل مباشر على علاقة الحرس الثوري بفريق «آشيانه»، إلا أنّه «يعمل ضمن إطار تحدده أهداف الدولة»، بحسب تصريح كماليان، مؤسس الفريق. وبجانب «آشيانه»، انبثقت من منتديات الأمن الرقمي الأخرى مجموعات يقال إنها تعمل لحساب الحرس الثوري.

وفضلًا عن شركات وفرق الأمن السيبراني، استعانت إيران لاحقًا بجامعاتها في هذه الحرب، خاصة جامعة «الإمام الحسين»، التي أسسها الحرس الثوري، وجامعة «شهيد بهشتي»، التي تضم معهدًا لأبحاث الفضاء السيبراني، وتضم الجامعتان مجموعة من أبرز الأكاديميين الإيرانيين في مجالات العلوم والتكنولوجيا.

«ستكسنت».. الدودة التي فتحت عين إيران على الخطر السيبراني

كانت «ستكسنت» أولى الهجمات السيبرانية الأمريكية، بحسب قول الصحافي الأمريكي ديفيد سينجر في كتابه «القوة المثالية»، وبدأ العمل عليها بعد أن رفض الرئيس الأمريكي جورج بوش الابن الأخذ بأحد الحلين المُتاحين له وهما: إما حصول إيران على القنبلة، وإما قصفها لمنع ذلك.

Embed from Getty Images
منشأة نطنز لتخصيب اليورانيوم، التي استهدفتها دودة «ستكسنت»

على الجانب الآخر، لم يفت الإيرانيين حماية المفاعل من هجمات مثل هذه، ففصلوه عن الإنترنت لحظر الوصول إليه إلا بدخول المنشأة شديدة الحراسة، فاحتاجت الولايات المتحدة لمساعدة إسرائيلية، وقد سبق أن برهنت إسرائيل في حوادث الاغتيال وتسريب المستندات على إمكانية وصولها لتلك المنشآت من خلال عناصر بشرية. وبالفعل نجحت إسرائيل في زراعة البذرة التي ستسمح بالتعرف على خريطة الأجهزة داخل المفاعل، مستخدمةً مهندسي «سايمنس» الألمانية طعمًا، ولكن دون معرفتهم.

بدأت الدولتان في تطوير «ستكسنت» في نسخته النهائية، وبعد شهور في 2007 عملت «الدودة» على تخريب أجهزة الطرد المركزي واحدًا تلو الآخر، تاركة الإيرانيين في حيرة من أمرهم لسنوات.

ولم تكتشف طهران الأمر إلا في 2010، بعد وقوع ضرر كبير طال قرابة ألف من 6 آلاف جهاز طرد مركزي، بحسب صحيفة «واشنطن بوست»، عدا عن تأخّر تقدّم عمليات هذه المنشآت، ورغمَ كشف إيران للهجوم، أمرَ باراك أوباما، الرئيس الأمريكي حينها، باستكمال برنامج الهجوم السيبراني الذي تضمّن دودة «ستكسنت»، واسم البرنامج الحركي «الألعاب الأوليمبية».

بلا ارتباط مباشر بالحكومة.. أبرز مجموعات الاختراق الإيرانية

تحرص إيران – مثل أغلب الدول – على إخفاء علاقاتها بحوادث الاختراق الإلكتروني لأسباب سياسية، ولذلك تخرج أغلب هجماتها من مجموعات مختلفة، لا ترتبطُ مباشرةً بالحرس الثوري، أو قوات الباسيج، أو وزارة الأمن والمخابرات وغيرها من المؤسسات الحكومية المسؤولة عن الأمن السيبراني، والتي يُعتقد أنها تشرف على العمليات السيبرانية الإيرانية، وإن كانت الأدوات والوسائل والأهداف تكشف للمُحللين الأمنيين توجه تلك المجموعات ووجود دعمٍ حكومي لها.

وفيما يلي نستعرض بعض أبرز هذه المجموعات بحسب تصنيف شركة «فاير آي» الأمريكية والمتخصصة في الأمن السيبراني، والتي تقول تقديرات أنّ عددها يفوق 50 مجموعة، ونستعرض أشهر الهجمات التي نفذتها كلٌ منها.

«APT39»: مجموعة تختص بسرقة البيانات الشخصية

تحمل المجموعة الكود 39 بين مجموعات الهجوم السيبراني العالمية، وفقًا لتصنيف شركة «فاير آي» المتخصصة في الأمن السيبراني، ويعتقد أنها نفسها المجموعة التي تحمل اسم «شيفر».

نفذت المجموعة عدة هجمات ضد شركات الاتصالات وخطوط الطيران وشركات التكنولوجيا والهندسة، في السعودية والإمارات والكويت والأردن، وفي إسرائيل، بهدف جمع المعلومات، وتعمل المجموعة منذ 2014، ووفقًا للحكومة الأمريكية، تتبع المجموعة وزارة الأمن والمخابرات الإيرانية، وتعمل من خلال شركة «رنا» التي تعد واحدةً من واجهات الوزارة.

Embed from Getty Images
حاولت إيران، ونجحت أحيانًا، في اختراق بعض رواد مؤتمر ميونيخ للأمن عام 2020، وهو من أهم المؤتمرات الأمنية السياسية في العالم ويحضره العديد من قادة الدول

«APT35»: «القطة الفاتنة» تحاول اختراق الدبلوماسيين في مؤتمر ميونيخ للأمن

تحمل هذه المجموعة أسماءً عدة، منها «أجاكس سكيوريتي»، و«فسفورس»، و«نيوز بيف»، بجانب «تشارمنج كيتين (القطة الفاتنة)»، وأخيرًا «APT35».

ضلعت المجموعة في هجمات عدة لتحصيل معلومات استخباراتية، كان أبرز عملياتها الهجوم على مرشحين للانتخابات الرئاسية الأمريكية عام 2020، وقد يكون دونالد ترامب، الرئيس الأمريكي السابق، هو المُستهدف، ولكن لم يُفصح عن الاسم.

ودبَّرت المجموعة محاولات أخرى لسرقة بيانات المشاركين في مؤتمر ميونيخ للأمن، أحد أهم المؤتمرات الأمنية والسياسية العالمية، ومؤتمر «ثينك 20» الذي كان سيعقد في السعودية، وبدأ المحللون في تتبع نشاطات المجموعة منذ 2014.

ويُعتقد أنها تلقت مساعدة من الضابطة الأمريكية مونيكا ويت، التي انشقت عن الجيش الأمريكي وهربت إلى إيران في 2013، ثم اتهمتها الحكومة الأمريكية بمساعدة الإيرانيين على اختراق زملاء سابقين لها.

«APT34»: «القطة اللولبية» تركُّز عملها في الشرق الأوسط

يشار لهذه المجموعة بأسماء أخرى مثل: «كرامبوس»، و«أويل ريج»، بجانب «APT34»، و«هيليكس كيتين (القطة اللولبية)».

وتركز المجموعة عملها على أهداف في الشرق الأوسط، ولكنها استهدفت مؤسسات خارج المنطقة أيضًا، وكانت أبرز هجماتها ضد مؤسسات حكومية واقتصادية وشركات الطاقة والاتصالات، وهاجمت عدة مؤسسات اقتصادية وتكنولوجية وشركات عسكرية سعودية في مايو (أيار) 2016.

ويُعتقد أن هذه المجموعة كانت وراء هجوم على مؤسسة حكومية لبنانية، وفتحت ثغرة تقرأ منها الرسائل الإلكترونية.

«APT33» تخترق شركات الطيران والطاقة

تعرف المجموعة بأسماء أخرى منها: «هولميوم»، و«إلفن»، و«ريفايند كيتين (القطة الرقيقة)».

أظهرت هذه المجموعة اهتمامًا خاصًّا بقطاع الطيران والطاقة، واخترقت عدة شركات في الولايات المتحدة، والسعودية، وكوريا الجنوبية، وتعتقد شركةُ الأمن الأمريكية «فاير آي» أنَّ تخصّص المجموعة نابعٌ من رغبة إيران في منافسة البلدين في صناعتي الطيران والبتروكيماويات.

وبحسب تحليل لشركة «مكافي» للأمن السيبراني، طورت المجموعة – أو مجموعة أُخرى تحاول محاكاتها – نسخةً متحورة من فيروس «شمعون»، الذي عرف لأول مرة عام 2012، حين أصاب شركة «أرامكو» وأتلف نحو 30 ألف كمبيوتر.

تحاول المجموعة اختراق أجهزة التحكم الصناعي للعديد من المؤسسات الغربية وفقًا للباحث في شركة «مايكروسوفت»، ند موران، فيما ينبئ باحتمال تمكن إيران من إحداث ضرر مادي في هجماتها المقبلة.

جماعات متفرقة وهجمات خطيرة

أظهرت مجموعات إيرانية أخرى براعة في توظيف الهجمات السيبرانية وأهدافها، فهاجمت مجموعة تسمى «عز الدين القسام» نحوَ 46 من البنوك الأمريكية في الفترة من 2011 وحتى 2013، وأدانت محكمة أمريكية مجموعة من المخترقين الإيرانيين في الهجوم، وحدّدت شركتين خاصتين إيرانيتين باسم: «مرصاد» و«آي تي سك»، وقالت أنهما تعملان لصالح الحرس الثوري.

Embed from Getty Images
مسؤول في وزارة العدل الأمريكية يعرض صور سبعة إيرانيين متهمين باختراق البنوك الأمريكية

وفي عام 2012، نفذت إيران إحدى الهجمات التي تعد من الأكبر في العالم ضد شركة النفط السعودية «أرامكو»، وعطّل الهجوم نحو 30 ألف كمبيوترًا في الشركة، ونفَّذ الهجوم المسمى «شمعون» جماعةٌ باسم «سيف العدالة القاطع»، وهي جماعة لم تظهر قبل هذه العملية ولا بعدها، فيما ربطت بعض التحليلات هذا الهجوم بمجموعة «APT33». وضربت نسخة أخرى من الفيروس مؤسسات حكومية عامَ 2016، كان من بينها هيئة الطيران المدني.

وفي عام 2018 اتهمت محكمة أمريكية تسعة إيرانيين، قالت إنهم استولوا على معلومات من 144 جامعة أمريكية، و176 جامعة خارج أمريكا، إلى جانب هيئات حكومية ودولية، واتهمت الحكومة شركة «معهد مبنى» بالعمل لصالح الحرس الثوري الإيراني، والاستيلاء على 31 تيرابايت من «البيانات القيمة»، وتابعت الشركة تنفيذ هجمات مشابهة في السنوات اللاحقة.

أداةٌ للتعويض عن العقوبات والردّ على الخصوم

تتعدد أهداف إيران من تطوير قدراتها السيبرانية، ففي ظلّ العقوبات الأمريكية الصارمة على الاقتصاد الإيراني تكون عملياتها السيبرانية بوابةً للنمو الاقتصادي والتقدم العلمي، إذ يهدف جزء من عمليات المجموعات المرتبطة بالحكومة الإيرانية إلى سرقة أحدث الأبحاث والتقنيات لإتاحتها للباحثين والشركات الخاصة للإسهام في النمو الاقتصادي في ظرف العقوبات، فمثلًا حاولت مجموعة إيرانية اختراق شركة «جيلياد ساينسز» التي عملت على تطوير لقاح لفيروس «كوفيد-19» في عام 2020.

لا تحتملُ إيران كلفة المواجهة العسكرية المباشرة مع الولايات المتحدة وحلفائها المُتحلّقين من حولها في الشرق الأوسط، ولذا تتجهُ استراتيجيتها العسكرية لتوظيف أدوات الحرب غير المتكافئة، مثل تنشأة ميليشيات مسلحة تقومُ بالقتال وكيلةً عن إيران في دول مختلفة، مثلما نشهد اليوم في العراق وإيران. وفي نفس التوجّه، تسخّر إيران قوتها السيبرانية للهجوم على أعدائها بطريقة لا تستدعي ردّ فعل لا تقدرُ طهران على تحمله، خاصة في حالة الولايات المتحدة.

وبجانب هجومها على البنوك الأمريكية و«أرامكو» السعودية، هاجمت إيران منشآت المياه في إسرائيل مرتين عام 2020، وبعد اغتيال قاسم سليماني، قائد فيلق القدس في الحرس الثوري، رأى كثيرٌ من المحللين والخبراء الأمريكيين أن الرد سيكون بهجوم سيبراني.

وفي بداية العام الحالي 2021، قالت شركة الأمن السيبراني، «تشيك بوينت» الأمريكية الإسرائيلية، أن إيران استخدمت قدراتها السيبرانية للتجسس على نحو ألف معارض في الخارج في إحدى عملياتها، واستخدمت برنامج تجسس على الحواسب والهواتف لتسجيل المكالمات وملفات الوسائط مثل الصور والفيديوهات.

ولكن.. هل تشكل إيران خطرًا حقيقيًّا؟

يقلل بعض المحللين من قدرات إيران السيبرانية، حتىى وصفها البعض بأنها قوة «من الدرجة الثالثة»، ويعزز هذا التحليل الهجمات المتكررة التي تعرضت لها إيران منذ 2007، وهو الوقت الذي زُرعت فيه دودة «ستكسنت» التي خربت بعض أجهزة الطرد المركزي في مفاعل نطنز، ولم تكتشفها إيران سوى بعد ثلاث سنين في عام 2010.

ولم تتوقف الهجمات وعادت إسرائيل وهاجمت المنشأة مجددًا في 2020، وعانت إيران في العام نفسه من هجمات أخرى على مؤسسات حكومية لم تسمها، ولم تسمِ الفاعل أيضًا بشكل رسميّ.

دولي

منذ 3 شهور
«جيروزاليم ب.»: إلى أي مدى تشعر إسرائيل وأمريكا بالتهديد بسبب «الدرونز» الإيرانية؟

ورغم هذه الهجمات، قالت إيران في ديسمبر 2020 إنّها استطاعت كبح هجوم سيبراني على «البنية التحتية الإلكترونية»، ولم تذكر تفاصيل أكثر.

وفي حين أثبتت إيران قدراتها السيبرانية في مجالات مثل اختراق الشركات والأفراد وبعض المنشآت الحكومية، إلا أنها لم تُظهر حتى الآن قدرة على تدمير البنية التحتية أو إحداث ضرر كبير، ويرى آخرون، مثل جاكولين شنايدر، باحثةٌ مختصة بالأمن السيبراني في جامعة ستانفورد، أنّ إيران لا تملك مثل هذه القدرات حتى الآن، ورغم ذلك تظلُّ تشكل تهديدًا كبيرًا لأعدائها، فالنمو المتسارع لقدراتها والكشف عن أدوات جديدة تملكها يثبت أنها خطر، وإن كان لا يمكن تحديد حجمه بشكل قاطع.

المصادر

عرض التعليقات
تحميل المزيد