أعدَّ مركز «ستراتفور» الأمريكي للدراسات الإستراتيجية والأمنية تقريرًا سلَّط فيه الضوء على الهجمات السيبرانية، التي تشنها إيران من خلال عدد من مجموعات القرصنة ضد أهداف أمريكية وإسرائيلية، وبعض منظمات الشرق الأوسط، مشيرًا إلى أن هذه الهجمات تستهدف تحقيق أهداف إيران الإستراتيجية. 

وفي مطلع تقريره يتوقع المركز الأمريكي تزايد وتيرة الهجمات السيبرانية التي يُنفذها قراصنة مدعومون من إيران بقصد استهداف المنظمات الأمريكية والإسرائيلية معتمدين على استخدام التشفير، و«برامج الفدية (برنامج خبيث يُقيِّد الوصول إلى نظام الحاسوب، ويطالب بدفع فدية لصانع البرنامج)»، حتى في ظل استمرار المباحثات الجارية بشأن الاتفاق النووي. وإذا فشلت تلك المحادثات فستجد إيران حافزًا أقوى لشن مزيد من الهجمات التخريبية. 

هجمات إيرانية سيبرانية

وأفادت صحيفة «ذا ريكورد» في 29 ديسمبر (كانون الأول) أن إحدى مجموعات القرصنة الإيرانية مصدر التهديد، المعروفة بـDEV-0270، هي المسؤولة عن تنفيذ هجوم «برنامج الفدية» ضد مجموعة «كوكس ميديا» الإعلامية ومقرها الولايات المتحدة خلال الصيف الماضي. وكانت عمليات البث المباشر من محطات تلفزيون وراديو كوكس تعطلت في 3 يونيو (حزيران)، وأكدت الشركة في أكتوبر (تشرين الأول) الماضي أن سبب توقف البث تعرضها لهجوم من «برنامج الفدية».

ومع ذلك لم تنشر وسائل الإعلام على نطاق واسع حتى الآن أي تقارير تفيد تورط إيران في هجوم كوكس السيبراني، والذي يأتي بعد شهور من التحذيرات التي أطلقتها «مايكروسوفت» والحكومة الأمريكية من أن مجموعات القرصنة الإيرانية مصدر التهديد تستخدم بصورة متزايدة برامج الفدية في هجماتها.

Embed from Getty Images

ويُوضح التقرير أن DEV-0270 هو عبارة عن التسمية المؤقتة التي يستخدمها «مركز معلومات التهديدات» التابع لمايكروسوفت (MSTIC) لتحديد المجموعات المستجدة من أنشطة الفضاء الإلكتروني حتى تصل إلى درجة اليقين بشأن أصل أو هوية الجهة مصدر التهديد قبل منحها تسمية دائمة؛ مما يدل على أن معلومات السجلات جاءت من مايكروسوفت. وفي تقرير الدفاع الرقمي الصادرة عن مايكروسوفت في أكتوبر 2021، ذكرت الشركة على الهامش أن DEV-0270 اخترق مجموعة «كوكس ميديا» الإعلامية في 17 مايو (آيار) ونسبت الهجوم على المجموعة إلى إيران.

وخلال مؤتمر «سايبر وار كون (CyberWarCon)»، الخاص بالحروب والقرصنة الإلكترونية، الذي عُقد في نوفمبر (تشرين الثاني)، قال باحثو «مركز معلومات التهديدات» التابع لـ مايكروسوفت إن DEV-0270 مرتبط ارتباطًا وثيقًا بمجموعة القرصنة الإيرانية المعروفة بـ«الفوسفور»، (وتعرف أيضًا باسم APT35 وCharming Kitten). وفي تقارير لاحقة أفاد الباحثون بـ«مركز معلومات التهديدات» التابع لمايكروسوفت أنهم لاحظوا منذ سبتمبر (أيلول) 2020 ست مجموعات قرصنة إيرانية مُهدِّدة، ومنها الفوسفور، الذي يستخدم برامج الفدية في الهجمات السيبرانية الرامية إلى تحقيق مزيد من أهداف إيران الإستراتيجية. 

وكان كلٌ من وكالة الأمن السيبراني، و«أمن البنية التحتية الأمريكية (CISA)»، و«مكتب التحقيقات الفيدرالي الأمريكي (FBI)»، و«المركز الأسترالي للأمن السيبراني (ACSC)»، والمركز القومي للأمن السيبراني في المملكة المتحدة قد أصدرت في 17 نوفمبر الماضي إنذارًا مشتركًا للأمن السيبراني مفاده أن جهة تهديد إيرانية لم تذكر اسمها كانت تشن هجمات برامج الفدية ضد مؤسسات أمريكية وأسترالية، كما أنها استغلت الثغرات المعروفة في برنامج «بروكسى شيل (ProxyShell)» في مايكروسوفت إكستشينج، و«برنامج فورتيوس (FortiOS)» التابع لشركة «فورتينت الأمريكية التي تقدم خدمات الأمن السيبراني، للمساعدة في تشفير الملفات باستخدام أداة بت لوكر (Bitlocker)» للتشفير الخاصة بويندوز.

وعلى الرغم من أن التحذير لم يذكر اسم المجموعة التي تشن هذه الهجمات، فإن الأدوات والتقنيات التي ذكرت الوكالات أن مجموعة القرصنة استخدمتها تتوافق مع تحليل «مركز معلومات التهديدات» التابع لمايكروسوفت لهجمات الفوسفور باستخدام برامج الفدية.

مخاطر تتحملها إيران لتحقيق أهدافها الإستراتيجية

يلفت التقرير إلى أن برامج الفدية وغيرها من الهجمات السيبرانية التخريبية، التي تشمل التشفير، تمنح إيران وسيلة للرد على الولايات المتحدة وإسرائيل بوصفه جزءًا من إستراتيجيتها غير المتكافئة للأمن القومي، مثل الهجمات الإيرانية على حركة الملاحة الإسرائيلية والبنية التحتية للطاقة في الشرق الأوسط. وتُعد التهديدات الفعلية التي تشكلها إيران على المصالح الأمريكية قاصرة إلى حد بعيد على الهجمات الداخلية، ومنها غارات الطائرات من دون طيار والصواريخ ضد القوات الأمريكية في العراق، بالإضافة إلى شن هجمات ضد شركاء الولايات المتحدة الإقليميين (مثل إسرائيل، والسعودية، والبحرين) والمنظمات الأمريكية في الشرق الأوسط الأوسع. 

Embed from Getty Images

وتُشكل قدرة مجموعات القرصنة الإيرانية المُهدِّدة على استهداف الكيانات الحكومية والمنظمات الرفيعة المستوى في الولايات المتحدة الوسيلة الوحيدة التي يُمكن لطهران من خلالها تهديد الأراضي الأمريكية تهديدًا مباشرًا، مما يجعلها إستراتيجية جذَّابة. وبالمقارنة مع الهجمات بالصواريخ التي قد تقتل الأفراد العسكريين الأمريكيين، تقل احتمالية أن تؤدي الهجمات الإلكترونية ضد منظمات، مثل مجموعة كوكس، إلى رد عسكري أمريكي فعلي (طالما أن تلك الهجمات الإلكترونية لم تُدمر البنية التحتية الحيوية أو تتسبب في مقتل مدنيين). ويُمثل هذا بحسب التقرير حافزًا كبيرًا لإيران لشن مزيد من هجمات برامج الفدية ووالخداع الإلكتروني، بالإضافة إلى نشر أدوات حذف البيانات وسرقة المعلومات المصرفية، من بين أساليب أخرى للحرب السيبرانية الإلكترونية.

وينقل التقرير عن باحثي «مركز معلومات التهديدات» التابع لمايكروسوفت قولهم إن مجموعة «طاقم موسى (Moses Staff)» هي واحدة من ست مجموعات قرصنة إيرانية مهدِّدة كانت تُنفذ هجمات برامج الفدية، لم تطلب الفدية في بعض هجماتها التي تستهدف المنظمات الإسرائيلية، بل شفرت البيانات، وهو نهج يُنفذ في هجمات برامج الفدية كأداة تخريبية. وأعلنت مجموعة «طاقم موسى» أنها كانت «تفضح جرائم الصهاينة في الأراضي المحتلة». ومع التركيز على التخريب (وليس تحقيق مكاسب نقدية) باعتباره هدفًا نهائيًّا لإيران من وراء شن الهجمات السيبرانية، قد لا تهتم مجموعات القرصنة الإيرانية الأخرى بطلبات الفدية وإذا دُفعت لهم الفدية فقد لا يهتمون بجودة أجهزة فك التشفير التي يمنحوها لضحاياهم.

وفي ظل الاستعداد الإيراني المتزايد للمخاطرة عند تنفيذ إستراتيجيتها غير المتكافئة للأمن القومي، تزداد احتمالية شن هجمات سيبرانية تخريبية أو مدمرة ضد المنظمات الأمريكية والمنظمات في الشرق الأوسط. وأظهرت الهجمات الإيرانية بالطائرات من دون طيار والصواريخ ضد منشأة بقيق السعودية لتكرير النفط، التي تعد أحد أهم منشآت النفط والغاز في العالم، في عام 2019 مستوى المخاطر التي كانت طهران مستعدة لتحملها من أجل تحقيق أهدافها الإستراتيجية. كما ارتبطت إيران بعدة هجمات نُفِّذت ضد ناقلات النفط في الشرق الأوسط في السنوات الأخيرة، بالإضافة إلى عدة محاولات مدمرة من الهجمات السيبرانية ضد إسرائيل. 

فشل محادثات الاتفاق النووي وإنذار بمزيد من الهجمات التخريبية

يُشير التقرير أن أحد المهاجمين الإيرانيين اخترق منشأة لمعالجة المياه الإسرائيلية في أبريل 2020، وحاول رفع مستويات الكلور في إمدادات المياه إلى مستويات خطيرة، على الرغم من اكتشاف الهجوم قبل تنفيذه. كما نشرت مجموعات التهديد الإيرانية بصورة متكررة سُلالات من «فيروس شمعون» على الأنظمة الحاسوبية بقصد استهداف المنظمات، التي تشمل الهجوم الذي شُن في عام 2012، وأدَّى إلى محو البيانات من أكثر من 30 ألف من الأنظمة الحاسوبية التابعة لشركة «أرامكو» السعودية العملاقة للنفط المملوكة لدولة السعودية.

ويخلُص التقرير إلى أنه إذا فشلت المباحثات الجارية بشأن الاتفاق النووي، فمن المحتمل أن تُصبح مجموعات القرصنة الإيرانية المُهدِّدة أكثر عدوانية ومجازفة عند تنفيذها هجمات سيبرانية تخريبية. وكانت الجولة الثامنة من المباحثات النووية الجارية بين إيران وبعض القوى العالمية قد بدأت في 27 ديسمبر، لكن عددًا من المسؤولين الأمريكيين اتهموا إيران بتعمد التباطؤ في المفاوضات منذ تولي إبراهيم رئيسي، الرئيس الجديد للبلاد ذو التوجه المحافظ، زمام السلطة. ولا يبدو في الأفق أن المفاوضات ستتمخض عن اتفاق محدود النطاق ترفع فيه الولايات المتحدة بعض العقوبات عن إيران مقابل تقليص طهران أنشطتها النووية.

بيد أن خطر فشل المحادثات دون التوصل إلى اتفاق في تزايد مستمر، خاصة إذا لم تشهد المحادثات قفزات خلال الأسابيع القليلة المقبلة. وفي ظل تصعيد إيران أنشطتها للتخصيب النووي وتركيب أجهزة طرد مركزي أكثر تقدمًا، حذَّر المسؤولون الأمريكيون والإسرائيليون من أنه قد لا يمر على محادثات الاتفاق النووي سوى «أسابيع» وليس «أشهر» لإحراز تقدم قبل أن يتخذ البلدان إجراءات أخرى ضد طهران، والتي قد تشمل زيادة الأنشطة السرية ضد برنامج إيران النووي. وقد يؤدي هذا التصرف إلى دفع فيلق الحرس الثوري الإيراني ووزارة الاستخبارات الإيرانية، اللذين يتبنيان سياستها السيبرانية الهجومية، للدعوة إلى شن مزيد من الهجمات السيبرانية التخريبية الموجهة ضد إسرائيل والولايات المتحدة.

الاستعداد الإيراني لتدمير البنية التحتية الأمريكية!

يُنوَّه التقرير إلى أنه لا يزال احتمال شن هجمات إيرانية تسفر بصورة مباشرة أو غير مباشرة إلى تعطيل قطاعات البنية التحتية الحيوية للولايات المتحدة، تحديدًا، احتمالًا قائمًا. وكانت مجموعات القرصنة الإيرانية مصدر التهديد قد طوَّرت كثيرًا من قدراتها لاستهداف أنظمة التحكم الصناعية للبنية التحتية الحيوية لتنفيذ هجماتها، على غرار محاولة الهجوم على محطة معالجة المياه الإسرائيلية. وعلى الرغم من أن مجموعات القرصنة الإيرانية مصدر التهديد قد لا تكون متقدمة مثل مجموعات القرصنة المُهدِّدة الصينية والروسية، فإن رغبتها في تعطيل البنية التحتية الحيوية للولايات المتحدة أقوى حاليًا. 

Embed from Getty Images

ومن المؤكد أن القراصنة الصينيين والروس يخترقون البنية التحتية الأمريكية الحيوية، ويُنفذون أنشطة استطلاعية ويزرعون برمجيات خبيثة مسبقًا لاستخدامها المحتمل في المستقبل، لكن بالمقارنة مع طهران، من غير المحتمل أن تُخرب بكين أو موسكو أجزاء أساسية من الاقتصاد الأمريكي. وحتى الهجوم الذي نفَّذه قراصنة روس (غير مرتبطين مباشرة بالكرملين) في مايو 2021 ضد شركة كولونيال بايبلاين في تكساس لم يكن يهدف إلى تعطيل أنشطة خط الأنابيب، رغم أن هذا ما حدث. 

ومع ذلك ستنظر إيران إلى هجوم كولونيال بايبلاين بوصفه دليلًا على أن هجمات برامج الفدية والتشفير لا تحتاج حتى إلى استهداف أنظمة التحكم الصناعية مباشرة ليكون تأثيرها مدمرًا جدًا. وبالفعل، ترى طهران أنه على الأرجح قد يُنظر إلى تعطيل بعض الخدمات الأساسية بصورة غير مباشرة في حالة شن هجوم ببرنامج الفدية على أنه عامل خارجي إيجابي؛ مما يجعل برامج الفدية والهجمات، التي تتضمن التشفير ضد المنظمات الحكومية وغير الحكومية التي تدير البنية التحتية الحيوية، أكثر إغراءً.

وفي ختام تقريره أشار المركز الأمريكي إلى أن «شبكات التكنولوجيا التشغيلية (OT)» كانت على مدار التاريخ مقسَّمة بمنأى عن الإنترنت ومعزولة عن شبكات تكنولوجيا المعلومات التي يمكن لمجموعات برامج الفدية الوصول إليها، لكن هذا التقسيم أصبح غير واضح بصورة متزايدة مع سعي الشركات لدمج أنظمة إعداد الفواتير الآلية واستخدام التقنيات الذكية وأجهزة إنترنت الأشياء في مرحلة التصنيع وفي الاستخدامات الصناعية.

هذا المقال مترجمٌ عن المصدر الموضَّح أعلاه؛ والعهدة في المعلومات والآراء الواردة فيه على المصدر لا على «ساسة بوست».

عرض التعليقات
تحميل المزيد