وكالات – كتابات :
أعدَّ مركز (ستراتفور) الأميركي للدراسات الإستراتيجية والأمنية؛ تقريرًا سلَّط فيه الضوء على الهجمات السيبرانية، التي تُشنها “إيران” من خلال عدد من مجموعات القرصنة ضد أهداف أميركية وإسرائيلية، وبعض منظمات الشرق الأوسط، مشيرًا إلى أن هذه الهجمات تستهدف تحقيق أهداف “إيران” الإستراتيجية.
وفي مطلع تقريره؛ يتوقع المركز الأميركي تزايد وتيرة الهجمات السيبرانية التي يُنفذها قراصنة مدعومون من “إيران” بقصد استهداف المنظمات الأميركية والإسرائيلية معتمدين على استخدام التشفير، و”برامج الفدية”؛ (برنامج خبيث يُقيِّد الوصول إلى نظام الحاسوب، ويطالب بدفع فدية لصانع البرنامج)، حتى في ظل استمرار المباحثات الجارية بشأن “الاتفاق النووي”. وإذا فشلت تلك المحادثات فستجد “إيران” حافزًا أقوى لشن مزيد من الهجمات التخريبية.
هجمات إيرانية سيبرانية..
وأفادت صحيفة (ذا ريكورد)؛ في 29 كانون أول/ديسمبر المنصرم؛ أن إحدى مجموعات القرصنة الإيرانية مصدر التهديد، المعروفة: بـ (DEV-0270)، هي المسؤولة عن تنفيذ هجوم “برنامج الفدية”؛ ضد مجموعة (كوكس ميديا) الإعلامية ومقرها “الولايات المتحدة”؛ خلال الصيف الماضي. وكانت عمليات البث المباشر من محطات تلفزيون وراديو (كوكس) تعطلت، في 03 حزيران/يونيو، وأكدت الشركة في تشرين أول/أكتوبر الماضي؛ أن سبب توقف البث تعرضها لهجوم من: “برنامج الفدية”.
ومع ذلك لم تنشر وسائل الإعلام على نطاق واسع، حتى الآن؛ أي تقارير تُفيد تورط “إيران” في هجوم (كوكس) السيبراني، والذي يأتي بعد شهور من التحذيرات التي أطلقتها “مايكروسوفت” والحكومة الأميركية من أن مجموعات القرصنة الإيرانية مصدر التهديد تستخدم بصورة متزايدة برامج الفدية في هجماتها.
ويُوضح التقرير أن (DEV-0270)؛ هو عبارة عن التسمية المؤقتة التي يستخدمها “مركز معلومات التهديدات”؛ التابع لـ”مايكروسوفت”، (MSTIC)؛ لتحديد المجموعات المستجدة من أنشطة الفضاء الإلكتروني حتى تصل إلى درجة اليقين بشأن أصل أو هوية الجهة مصدر التهديد قبل منحها تسمية دائمة؛ مما يدل على أن معلومات السجلات جاءت من “مايكروسوفت”. وفي تقرير الدفاع الرقمي الصادرة عن “مايكروسوفت”؛ في تشرين أول/أكتوبر 2021، ذكرت الشركة على الهامش أن؛ (DEV-0270) اخترق مجموعة (كوكس ميديا) الإعلامية، في 17 آيار/مايو؛ ونسبت الهجوم على المجموعة إلى “إيران”.
وخلال مؤتمر (سايبر وار كون-CyberWarCon)»، الخاص بالحروب والقرصنة الإلكترونية، الذي عُقد، في تشرين ثان/نوفمبر، قال باحثو “مركز معلومات التهديدات”؛ التابع لـ”مايكروسوفت”؛ إن (DEV-0270) مرتبط إرتباطًا وثيقًا بمجموعة القرصنة الإيرانية المعروفة: بـ”الفوسفور”، (وتُعرف أيضًا باسم: “APT35 وCharming Kitten”). وفي تقارير لاحقة أفاد الباحثون بـ”مركز معلومات التهديدات”؛ التابع لـ”مايكروسوفت”؛ أنهم لاحظوا منذ أيلول/سبتمبر 2020؛ ست مجموعات قرصنة إيرانية مُهدِّدة، ومنها: “الفوسفور”، الذي يستخدم برامج الفدية في الهجمات السيبرانية الرامية إلى تحقيق مزيد من أهداف “إيران” الإستراتيجية.
وكان كلٌ من “وكالة الأمن السيبراني”، و”أمن البنية التحتية الأميركية”؛ (CISA)، و”مكتب التحقيقات الفيدرالي الأميركي”؛ (FBI)، و”المركز الأسترالي للأمن السيبراني”؛ (ACSC)، و”المركز القومي للأمن السيبراني”؛ في “المملكة المتحدة”، قد أصدرت في 17 تشرين ثان/نوفمبر الماضي؛ إنذارًا مشتركًا للأمن السيبراني مفاده أن جهة تهديد إيرانية، لم تذكر اسمها؛ كانت تُشن هجمات برامج الفدية ضد مؤسسات أميركية وأسترالية، كما أنها استغلت الثغرات المعروفة في برنامج (بروكسى شيل-ProxyShell)، في “مايكروسوفت إكستشينغ”، و”برنامج فورتيوس”؛ (FortiOS)، التابع لشركة “فورتينت” الأميركية التي تُقدم خدمات الأمن السيبراني، للمساعدة في تشفير الملفات باستخدام أداة “بت لوكر”؛ (Bitlocker)، للتشفير الخاصة بـ (ويندوز).
وعلى الرغم من أن التحذير لم يذكر اسم المجموعة التي تشن هذه الهجمات، فإن الأدوات والتقنيات التي ذكرت الوكالات أن مجموعة القرصنة استخدمتها تتوافق مع تحليل “مركز معلومات التهديدات”؛ التابع لـ”مايكروسوفت”، لهجمات (الفوسفور) باستخدام برامج الفدية.
مخاطر تتحملها “إيران” لتحقيق أهدافها الإستراتيجية..
يُلفت التقرير إلى أن برامج الفدية وغيرها من الهجمات السيبرانية التخريبية، التي تشمل التشفير، تمنح “إيران” وسيلة للرد على “الولايات المتحدة” و”إسرائيل”؛ بوصفه جزءًا من إستراتيجيتها غير المتكافئة للأمن القومي، مثل الهجمات الإيرانية على حركة الملاحة الإسرائيلية والبنية التحتية للطاقة في الشرق الأوسط. وتُعد التهديدات الفعلية التي تُشكلها “إيران” على المصالح الأميركية قاصرة إلى حدٍ بعيد على الهجمات الداخلية، ومنها غارات الطائرات من دون طيار والصواريخ ضد القوات الأميركية في “العراق”، بالإضافة إلى شن هجمات ضد شركاء “الولايات المتحدة” الإقليميين؛ (مثل إسرائيل، والسعودية، والبحرين)، والمنظمات الأميركية في الشرق الأوسط الأوسع.
وتُشكل قدرة مجموعات القرصنة الإيرانية المُهدِّدة؛ على استهداف الكيانات الحكومية والمنظمات الرفيعة المستوى في “الولايات المتحدة”، الوسيلة الوحيدة التي يُمكن لـ”طهران” من خلالها تهديد الأراضي الأميركية تهديدًا مباشرًا، مما يجعلها إستراتيجية جذَّابة. وبالمقارنة مع الهجمات بالصواريخ؛ التي قد تقتل الأفراد العسكريين الأميركيين، تقل احتمالية أن تؤدي الهجمات الإلكترونية ضد منظمات، مثل مجموعة (كوكس)، إلى رد عسكري أميركي فعلي؛ (طالما أن تلك الهجمات الإلكترونية لم تُدمر البنية التحتية الحيوية أو تتسبب في مقتل مدنيين). ويُمثل هذا، بحسب التقرير؛ حافزًا كبيرًا لـ”إيران” لشن مزيد من هجمات برامج الفدية والخداع الإلكتروني، بالإضافة إلى نشر أدوات حذف البيانات وسرقة المعلومات المصرفية، من بين أساليب أخرى للحرب السيبرانية الإلكترونية.
وينقل التقرير عن باحثي “مركز معلومات التهديدات”؛ التابع لـ”مايكروسوفت”، قولهم إن مجموعة (طاقم موسى-Moses Staff)؛ هي واحدة من ست مجموعات قرصنة إيرانية مهدِّدة كانت تُنفذ هجمات برامج الفدية، لم تطلب الفدية في بعض هجماتها التي تستهدف المنظمات الإسرائيلية، بل شفرت البيانات، وهو نهج يُنفذ في هجمات برامج الفدية كأداة تخريبية. وأعلنت مجموعة (طاقم موسى) أنها كانت: “تفضح جرائم الصهاينة في الأراضي المحتلة”. ومع التركيز على التخريب؛ (وليس تحقيق مكاسب نقدية)، باعتباره هدفًا نهائيًّا لـ”إيران” من وراء شن الهجمات السيبرانية، قد لا تهتم مجموعات القرصنة الإيرانية الأخرى بطلبات الفدية؛ وإذا دُفعت لهم الفدية فقد لا يهتمون بجودة أجهزة فك التشفير التي يمنحوها لضحاياهم.
وفي ظل الاستعداد الإيراني المتزايد للمخاطرة عند تنفيذ إستراتيجيتها غير المتكافئة للأمن القومي، تزداد احتمالية شن هجمات سيبرانية تخريبية أو مدمرة ضد المنظمات الأميركية والمنظمات في الشرق الأوسط. وأظهرت الهجمات الإيرانية بالطائرات من دون طيار والصواريخ ضد منشأة (بقيق) السعودية لتكرير “النفط”، التي تُعد أحد أهم منشآت “النفط” و”الغاز” في العالم، في عام 2019؛ مستوى المخاطر التي كانت “طهران” مستعدة لتحملها من أجل تحقيق أهدافها الإستراتيجية. كما إرتبطت “إيران” بعدة هجمات نُفِّذت ضد ناقلات “النفط” في الشرق الأوسط؛ في السنوات الأخيرة، بالإضافة إلى عدة محاولات مدمرة من الهجمات السيبرانية ضد “إسرائيل”.
فشل محادثات “الاتفاق النووي” وإنذار بمزيد من الهجمات التخريبية..
يُشير التقرير أن أحد المهاجمين الإيرانيين اخترق منشأة لمعالجة المياه الإسرائيلية؛ في نيسان/إبريل 2020، وحاول رفع مستويات (الكلور) في إمدادات المياه إلى مستويات خطيرة، على الرغم من اكتشاف الهجوم قبل تنفيذه. كما نشرت مجموعات التهديد الإيرانية بصورة متكررة سُلالات من (فيروس شمعون) على الأنظمة الحاسوبية؛ بقصد استهداف المنظمات، التي تشمل الهجوم؛ الذي شُن في عام 2012، وأدَّى إلى محو البيانات من أكثر من: 30 ألف من الأنظمة الحاسوبية التابعة لشركة “آرامكو” السعودية العملاقة لـ”النفط”، المملوكة لدولة “السعودية”.
ويخلُص التقرير إلى أنه إذا فشلت المباحثات الجارية بشأن “الاتفاق النووي”، فمن المحتمل أن تُصبح مجموعات القرصنة الإيرانية المُهدِّدة أكثر عدوانية ومجازفة عند تنفيذها هجمات سيبرانية تخريبية. وكانت الجولة الثامنة من المباحثات النووية الجارية بين “إيران” وبعض القوى العالمية؛ قد بدأت في 27 كانون أول/ديسمبر، لكن عددًا من المسؤولين الأميركيين اتهموا “إيران” بتعمد التباطؤ في المفاوضات؛ منذ تولي، “إبراهيم رئيسي”، الرئيس الجديد للبلاد ذو التوجه المحافظ، زمام السلطة. ولا يبدو في الأفق أن المفاوضات ستتمخض عن اتفاق محدود النطاق ترفع فيه “الولايات المتحدة” بعض العقوبات عن “إيران”؛ مقابل تقليص “طهران” أنشطتها النووية.
بيد أن خطر فشل المحادثات دون التوصل إلى اتفاق في تزايد مستمر، خاصة إذا لم تشهد المحادثات قفزات خلال الأسابيع القليلة المقبلة. وفي ظل تصعيد “إيران” أنشطتها للتخصيب النووي وتركيب أجهزة طرد مركزي أكثر تقدمًا، حذَّر المسؤولون الأميركيون والإسرائيليون من أنه قد لا يمر على محادثات “الاتفاق النووي” سوى: “أسابيع” وليس “أشهر” لإحراز تقدم قبل أن يتخذ البلدان إجراءات أخرى ضد “طهران”، والتي قد تشمل زيادة الأنشطة السرية ضد برنامج “إيران” النووي. وقد يؤدي هذا التصرف إلى دفع فيلق (الحرس الثوري) الإيراني و”وزارة الاستخبارات” الإيرانية، اللذين يتبنيان سياستها السيبرانية الهجومية، للدعوة إلى شن مزيد من الهجمات السيبرانية التخريبية الموجهة ضد “إسرائيل” و”الولايات المتحدة”.
الاستعداد الإيراني لتدمير البنية التحتية الأميركية !
يُنوَّه التقرير إلى أنه لا يزال احتمال شن هجمات إيرانية تُسفر بصورة مباشرة أو غير مباشرة إلى تعطيل قطاعات البنية التحتية الحيوية لـ”الولايات المتحدة”، تحديدًا، احتمالًا قائمًا. وكانت مجموعات القرصنة الإيرانية مصدر التهديد قد طوَّرت كثيرًا من قدراتها لاستهداف أنظمة التحكم الصناعية للبنية التحتية الحيوية لتنفيذ هجماتها، على غرار محاولة الهجوم على محطة معالجة المياه الإسرائيلية. وعلى الرغم من أن مجموعات القرصنة الإيرانية، مصدر التهديد؛ قد لا تكون متقدمة مثل مجموعات القرصنة المُهدِّدة الصينية والروسية، فإن رغبتها في تعطيل البنية التحتية الحيوية لـ”الولايات المتحدة” أقوى حاليًا.
ومن المؤكد أن القراصنة الصينيين والروس يخترقون البنية التحتية الأميركية الحيوية، ويُنفذون أنشطة استطلاعية ويزرعون برمجيات خبيثة مسبقًا لاستخدامها المحتمل في المستقبل، لكن بالمقارنة مع “طهران”، من غير المحتمل أن تُخرب “بكين” أو “موسكو” أجزاء أساسية من الاقتصاد الأميركي. وحتى الهجوم الذي نفَّذه قراصنة روس؛ (غير مرتبطين مباشرة بالكرملين)، في آيار/مايو 2021؛ ضد شركة “كولونيال بايبلاين”، في “تكساس”، لم يكن يهدف إلى تعطيل أنشطة خط الأنابيب، رغم أن هذا ما حدث.
ومع ذلك ستنظر “إيران” إلى هجوم “كولونيال بايبلاين” بوصفه دليلًا على أن هجمات برامج الفدية والتشفير لا تحتاج حتى إلى استهداف أنظمة التحكم الصناعية مباشرة ليكون تأثيرها مدمرًا جدًا. وبالفعل، ترى “طهران” أنه على الأرجح قد يُنظر إلى تعطيل بعض الخدمات الأساسية بصورة غير مباشرة في حالة شن هجوم ببرنامج الفدية على أنه عامل خارجي إيجابي؛ مما يجعل برامج الفدية والهجمات، التي تتضمن التشفير ضد المنظمات الحكومية وغير الحكومية التي تُدير البنية التحتية الحيوية، أكثر إغراءً.
وفي ختام تقريره؛ أشار المركز الأميركي إلى أن: “شبكات التكنولوجيا التشغيلية”؛ (OT)، كانت على مدار التاريخ مقسَّمة بمنأى عن الإنترنت ومعزولة عن شبكات تكنولوجيا المعلومات التي يمكن لمجموعات برامج الفدية الوصول إليها، لكن هذا التقسيم أصبح غير واضح بصورة متزايدة مع سعي الشركات لدمج أنظمة إعداد الفواتير الآلية واستخدام التقنيات الذكية وأجهزة إنترنت الأشياء في مرحلة التصنيع وفي الاستخدامات الصناعية.
