هجمات سيبرانية إيرانية تتتبعها ضربات صاروخية تحوّل الفضاء السيبراني إلى ساحة استخبارات ميدانية

تنقل نايلة الصليبي في "النشرة الرقمية" تقرير شركة Check Point، المتخصصة في الأمن السيبراني، الذي كشف عن هجمات سيبرانية إيرانية منسّقة استهدفت في مارس ٢٠٢٦  أكثر من ٣٢٥ منظمة حكومية وبلدية في إسرائيل والإمارات و أوروبا والولايات المتحدة. تُشكّل هذه الحملة الإيرانية  نمطاً متطوراً من الحرب الهجينة.

الشرق الأوسط في المرمى.. كشف حملة تجسس سيبرانية إيرانية واسعة النطاق تستهدف السحابة

في غضون ثلاثة أسابيع متتالية من شهر مارس٢٠٢٦، شنّت مجموعات التهديد المستمر المتقدم Advanced Persistent Threat مرتبطة بإيران حملةً سيبرانية منسّقة وغير مسبوقة النطاق، استهدفت البنية التحتية السحابية لأكثر من ٣٢٥ منظمة في العالم، مع تركيز لافت على الكيانات الحكومية والبلديات في إسرائيل والإمارات العربية المتحدة.

هذا ما كشف عنه تقرير شركة Check Point Research المتخصصة في الأمن السيبراني ، معتبرا أن هذه الحملة لم تكن مجرد عملية اختراق رقمي، بل تُشكّل نمطاً متطوراً من الحرب الهجينة، إذ تتقاطع أهدافها تقاطعاً موثّقاً مع المدن التي تعرّضت للضربات الصاروخية الإيرانية في الفترة ذاتها، مما يُرجّح أن عمليات التجسس الإلكتروني كانت تغذّي قرارات ميدانية وتقييم أضرار القصف.

الخريطة الزمنية والجغرافية للهجمات

نفّذت المجموعات المهاجمة حملة الاختراق في ثلاث موجات متتالية وبإيقاع لافت:

الأولى في الثالث من مارس٢٠٢٦، والثانية في الثالث عشر منه، والثالثة في الثالث والعشرين من الشهر ذاته. وأوضح باحثو Check Point أن هذا التوقيت المنتظم يكشف عن تخطيط مسبق ودقيق، لا عن هجمات عشوائية أو فردية.

جغرافياً، تمحورت الضربة بصورة رئيسية حول إسرائيل التي تضرّرت منها أكثر من ٣٠٠ منظمة، تليها الإمارات العربية المتحدة بأكثر من ٢٥منظمة، بالإضافة إلى أهداف أقل حجماً في السعودية وأوروبا والمملكة المتحدة والولايات المتحدة. وأشار تقرير Check Point إلى أن القطاعات المستهدفة لم تكن عشوائية إطلاقا، بل ركّز المهاجمون بصورة لافتة على البلديات والحكومات المحلية، وهي الجهات المنوط بها الاستجابة الميدانية المباشرة لأضرار الضربات الصاروخية، إلى جانب قطاعات الدفاع والتعليم والخدمات المالية.

آلية الهجوم "رشّ كلمات المرور" سلاحاً للتسلل الهادئ

اعتمدت الحملة على أسلوب تقني يُعرف "رش كلمات المرور" Password Spraying، وهو يختلف عن هجمات "القوة الغاشمة" التقليدية brute-force attacks. بدلاً من استهداف حساب واحد بآلاف المحاولات، وهو ما تكشفه أنظمة الحماية بسهولة، يقوم أسلوب Password Spraying على تجربة عدد محدود من كلمات المرور الشائعة والضعيفة على آلاف الحسابات في آنٍ واحد، انطلاقاً من افتراض إحصائي بأن مستخدماً واحداً على الأقل في أي مؤسسة كبيرة يستخدم بيانات اعتماد هشة. تستهدف هذه العملية حسابات "مايكروسوفت ٣٦٥ " ومنصة" Azure" كونها بوابة للسيطرة على البنية التحتية السحابية للمؤسسات.

وتكشف الوثائق التقنية للحملة في تقرير Check Point عن بنية هجومية من ثلاث مراحل متسلسلة ومتكاملة: تبدأ بـمرحلة المسح، حيث تُنفَّذ موجات رش مكثّفة عبر شبكة " "Tor وهي شبكة توفر إخفاء الهوية على الإنترنت عبر تمرير اتصال المستخدم بين عدة خوادم مشفرة، مما يصعّب تتبع هوية المستخدم أو موقعه أو نشاطه الإلكتروني، وذلك مع تغيير مستمر للعقد للإفلات من أنظمة الحجب، كما تنتحل عملية المسح هذه هوية برنامج التصفح "إنترنت إكسبلورر١٠" لإيهام الأنظمة الأمنية بأنها نشاط عادي. وما إن تعثر على بيانات اعتماد صحيحة، تنتقل العملية إلى مرحلة الاختراق حيث يجري تسجيل الدخول من خلال خدمات VPN شبكة خاصة افتراضية تجارية معروفة مثل Windscribe وNordVPN، مع توجيه جغرافي يُحاكي الاتصالات المحلية لتفادي القيود الجغرافية. وتنتهي العملية:

•  بالاستطلاع جمع معلومات حول هيكل الشبكة والموظفين.
• التحرك الجانبي -Lateral Movement: استخدام الحساب المخترق لإرسال رسائل بريد إلكتروني احتيالية داخل المؤسسة للوصول إلى حسابات ذات صلاحيات أعلى.
• سرقة البيانات: استخراج رسائل البريد الإلكتروني والوثائق الحساسة المخزّنة على السحابة.

لماذا الاشتباه بأن الجهة خلف هذه العملية هي إيران؟

أعلن باحثو Check Point Research أنهم يُقدّرون "بثقة معقولة" ارتباط الحملة بجهات إيرانية، تعرف بـ Iran-Nexus، مستندين إلى ثلاثة محاور من الأدلة:

 يتمثّل المحور الأول في التطابق التقني لسجلات Microsoft 365 مع الأنماط الموثّقة لمجموعة Gray Sandstorm، وهي مجموعة إيرانية تتميّز باستخدام أدوات Red Team عبر عقد Tor، كما تتقاطع الأساليب المستخدمة مع مجموعتَي MuddyWater المرتبطة بوزارة الاستخبارات والأمن الإيرانية ومجموعة التهديد المتقدم APT33  المعروفة  بـ  Elfin Team .

يتجلّى المحور الثاني في توقيت العمليات المتوافق مع ساعات العمل الرسمية في إيران.

 أما المحور الثالث فهو الأكثر دلالة: التقاطع الموثّق بين الأهداف الإلكترونية والمدن التي تعرّضت للقصف الصاروخي الإيراني في الشهر ذاته، مما يُشير إلى أن المعلومات المستخلصة كانت تُوظَّف لتقييم أضرار الضربات وتوجيه عمليات لاحقة.

الخطر الحقيقي حين يُوجِّه الفضاء السيبراني المدافع الميدانية

يُنبّه الباحثون إلى أن الخطر الفعلي لهذه الحملة لا يكمن في الاختراق الإلكتروني بحدّ ذاته، بل في توظيف المعلومات المُسرَّبة لأغراض ميدانية، إذ إن امتلاك معلومات دقيقة عن حجم الأضرار التي لحقت بالبنية التحتية لمنطقة ما يمكن أن يُحدّد الضربات اللاحقة ويُحسّن دقتها. وهذا ما يجعل هذه الحملة نموذجاً استثنائياً لما يُعرف بـ"تقييم أضرار القصف"-   Battle Damage Assessment، الذي تحوّل فيه الاختراق السيبراني من غاية إلى وسيلة في خدمة استراتيجية عسكرية أشمل.

تُجسّد هذه الحملة تحوّلاً نوعياً في طبيعة الصراعات، حيث لم يعد الفضاء السيبراني ساحةً موازية للميدان العسكري، بل بات جزءاً عضوياً ومكمّلاً له.

في هذا السياق يوصي باحثو Check Point المؤسسات بضرورة اتخاذ الخطوات التالية لتأمين بيئاتها السحابية:

1. -تفعيل المصادقة الثنائية (MFA): لضمان عدم كفاية كلمة المرور وحدها للدخول.
2. -مراقبة سجلات الدخول: البحث عن محاولات تسجيل دخول فاشلة متكررة من عناوين IP غير معروفة أو عبر شبكة Tor.
3. -سياسات كلمة المرور: فرض كلمات مرور معقدة وتغييرها بشكل دوري.
4. -تقييد الوصول الجغرافي Geo-fencing: حظر تسجيل الدخول من دول لا تمارس فيها الشركة نشاطاً تجارياً إذا كان ذلك ممكناً.
5. - تفعيل سجلات التدقيق   Audit Logs لرصد محاولات رش كلمات المرور في السجلات التي أصبحت ضرورةً أمنية لا خياراً اختيارياً، لا سيّما للمؤسسات العاملة في البيئات ذات المخاطر المرتفعة.

ومع استمرار التصعيد الإقليمي، يبقى السؤال مطروحاً: كيف يمكن للدول والمؤسسات أن تُعيد تصوّر منظومة أمنها الوطني في ظل حروب لا تُفرّق بعد اليوم بين الطائرة المسيّرة والبيانات المُسرَّبة؟

يمكن الاستماع لـ "بودكاست النشرة الرقمية" على مختلف منصات البودكاست. الرابط للبودكاست على منصة أبل

للتواصل مع نايلة الصليبي عبر صفحة برنامَج"النشرة الرقمية"من مونت كارلو الدولية على لينكد إن وعلى تويتر salibi@  وعلى ماستودون  وبلوسكاي عبر موقع مونت كارلو الدولية مع تحيات نايلة الصليبي