بعد مرور أربعة أشهر على اليوم الذي أشعل فيه توغل حماس عبر الحدود الإسرائيلية في غزة حربًا أسفرت عن مقتل الآلاف من الإسرائيليين وعشرات الآلاف من الفلسطينيين، شاركت مايكروسوفت معلومات استخباراتية جديدة حول كيفية ارتباط الجهات الفاعلة في مجال التهديد بإسرائيل أو دعمها لها. وقد كثفت الحكومة الإيرانية العمليات السيبرانية الهجومية ضد إسرائيل.
وشنت إيران، حليفة حماس، سلسلة من الهجمات السيبرانية وعمليات التأثير بهدف دعم وكيلها وإضعاف إسرائيل وحلفائها وشركائها التجاريين، وقد تم تنفيذ الكثير منها بطريقة متسرعة وفوضوية.
“على عكس بعض ادعاءات وسائل الإعلام الحكومية الإيرانية، فإن المعلومات الإلكترونية والإلكترونية الإيرانية [influence operations] كتب كلينت واتس، المدير العام لمركز تحليل التهديدات في مايكروسوفت (MTAC): “كانت الجهات الفاعلة متفاعلة في المرحلة الأولى من الحرب بين إسرائيل وحماس”.
“لاحظت MTAC قيام وسائل الإعلام الحكومية الإيرانية بإصدار تفاصيل مضللة عن الهجمات المزعومة وإعادة استخدام الجماعات الإيرانية لمواد مؤرخة من العمليات التاريخية والمبالغة في النطاق العام وتأثير الهجمات السيبرانية المزعومة. وبعد مرور ثلاثة أشهر، تشير كثرة البيانات إلى أن الجهات الفاعلة السيبرانية الإيرانية كانت رد فعل، وسرعان ما عززت عملياتها السيبرانية وتأثيرها بعد هجمات حماس لمواجهة إسرائيل.
وقال: “منذ اندلاع الحرب بين إسرائيل وحماس في 7 أكتوبر/تشرين الأول، زادت إيران من عمليات نفوذها وجهود القرصنة ضد إسرائيل، مما خلق بيئة تهديد شاملة”.
“كانت هذه الهجمات رد فعل وانتهازية في الأيام الأولى للحرب، ولكن بحلول أواخر أكتوبر/تشرين الأول، كان كل نفوذها تقريبًا والجهات الفاعلة السيبرانية الرئيسية تستهدف إسرائيل. أصبحت الهجمات السيبرانية مستهدفة ومدمرة بشكل متزايد، وأصبحت حملات المعلومات على نحو متزايد أكثر تعقيدًا وغير موثوقة، ونشرت شبكات من حسابات “الدمية جورب” على وسائل التواصل الاجتماعي.
ومع ذلك، قال واتس إن عمل إيران نيابة عن حماس يبدو أنه يتعلق بإعطاء مظهر النفوذ العالمي بقدر ما يتعلق بإحداث تأثير ملموس ومدمر، مشيرًا إلى أنه من المحتمل أن تستخدم مجموعات التهديد المستمر المتقدمة الإيرانية (APT) وسائل مماثلة. التكتيكات ضد الانتخابات الرئاسية الأمريكية المقبلة.
التكتيكات السيبرانية الإيرانية في حرب غزة
وفقًا لـ MTAC، مرت عمليات التأثير الإلكترونية الإيرانية عبر ثلاث مراحل رئيسية منذ 7 أكتوبر. ويصف تقريرها هذه المراحل بالتالي:
- رد الفعل ومضللة.
- التدريب العملي على سطح السفينة؛
- النطاق الجغرافي الموسع.
في المرحلة الأولى، استفادت إيران من الوصول الموجود مسبقًا، مثل مدى وصول محطات البث التابعة للدولة مثل شبكة Press TV – المحظورة في المملكة المتحدة منذ عام 2012 – ولكنها مالت إلى الاعتماد على المواد القديمة للتسريبات، ولم تستخدم سوى الحد الأدنى من الجوارب. الدمى، ومنعهم من حملات الرسائل القصيرة أو البريد الإلكتروني الجماعية.
تشمل بعض النقاط البارزة في هذه المرحلة الأولى ادعاءات من وكالة أنباء “تسنيم” المرتبطة بالحرس الثوري الإيراني، والتي تزعم أن مجموعة تسمى “Cyber Avengers” (وهي موجودة بالفعل) قد هاجمت البنية التحتية للطاقة الإسرائيلية خلال التوغل في 7 أكتوبر. كانت الأدلة المقدمة عبارة عن تقارير منذ أسابيع عن انقطاع التيار الكهربائي ولقطة شاشة لانقطاع غير مؤرخ على الموقع الإلكتروني للضحية المفترضة.
وقام عامل آخر، يُعرف باسم فريق مالك، والذي تديره على الأرجح وزارة المخابرات والأمن في طهران، بتسريب بيانات مسروقة من جامعة إسرائيلية في 8 أكتوبر، لكن هذه البيانات لم يكن لها أي صلة حقيقية بما كان يحدث في غزة في تلك المرحلة، مما يشير إلى كان الاستهداف انتهازيًا ويعتمد على الوصول الموجود مسبقًا.
بحلول منتصف أكتوبر/تشرين الأول، كانت إيران تنتقل إلى المرحلة الثانية، حيث لاحظت MTAC تضاعفًا تقريبًا في عدد المجموعات التي تستهدف إسرائيل، وتحولًا إلى هجمات مدمرة ومنسقة أحيانًا ضد نفس الأهداف التي تضمنت رسائل مؤيدة لحماس. .
البرامج الضارة المخصصة
ومن بين الحوادث الملحوظة بشكل خاص التي وقعت في 18 تشرين الأول/أكتوبر قيام مشغل الشهيد كاوه المدعوم من الحرس الثوري الإيراني بنشر برامج ضارة مخصصة ضد الكاميرات الأمنية في إسرائيل. ثم استخدمت شخصية تدعى “جنود سليمان” لتزعم كذبا أنها قامت بفدية الكاميرات الأمنية والبيانات في قاعدة نيفاتيم الجوية، وهي منشأة كبيرة بالقرب من بئر السبع في صحراء النقب الجنوبية. ومع ذلك، أظهر الفحص الدقيق للقطات المسربة أنها التقطت من شارع نيفاتيم الواقع في بلدة شمال تل أبيب، وليس من القاعدة الجوية على الإطلاق.
وعلى الجانب المتعلق بالمعارضة، ارتفع استخدام الدمى الجوربية إلى عنان السماء ـ وأعيد استخدام الكثير منها ـ كما حدث مع حملات الرسائل القصيرة والبريد الإلكتروني الجماعية، وبدأ الإيرانيون في تكثيف انتحال هوية الناشطين الإسرائيليين والفلسطينيين.
بدأت المرحلة الثالثة من النشاط في أواخر نوفمبر/تشرين الثاني، عندما بدأ الإيرانيون في توسيع نفوذهم السيبراني خارج إسرائيل لاستهداف الدول الصديقة لإسرائيل و/أو المعادية لإيران. ويتماشى ذلك مع تكثيف الحوثيين المدعومين من إيران والمتمركزين في اليمن هجماتهم الهجمات على السفن في البحر الأحمر.
ويبرز هنا حادثان بارزان بشكل خاص، أحدهما استهدف عددًا من المؤسسات في ألبانيا في يوم عيد الميلاد – وهو ما قد يبدو اختيارًا غريبًا للهدف في البداية، ولكن تذكر أن ألبانيا في الواقع قطع العلاقات الدبلوماسية مع إيران عام 2022 بسبب هجوم سيبراني.
واستهدفت هجمات أخرى الحكومة البحرينية والمؤسسات المالية، حيث كانت البحرين من الدول الموقعة على اتفاقيات إبراهيم لعام 2020 التي أدت إلى تطبيع العلاقات بين إسرائيل وبعض الدول العربية، والبنية التحتية الوطنية الحيوية (CNI) في الولايات المتحدة، بما في ذلك الحادث الذي وقع في أواخر نوفمبر/تشرين الثاني والذي استهدف بطاريات قابلة للبرمجة إسرائيلية الصنع. وحدات التحكم المنطقية (PLCs) هيئة المياه البلدية في أليكيبا، بنسلفانيا.
ماذا تريد إيران؟
وقال واتس إن إيران لديها أربعة أهداف رئيسية في حملتها المستمرة لتقويض إسرائيل ومؤيديها، والتسبب في الارتباك والإضرار بالثقة.
- يتلخص أول هذه الأهداف في فتح وتفاقم الخلافات السياسية والاجتماعية الداخلية، على سبيل المثال، مع التركيز على الانقسامات التي نشأت حول الكيفية التي تعاملت بها الحكومة الإسرائيلية مع محاولة استعادة الرهائن الذين تحتجزهم حماس.
- والثاني هو الانتقام من إسرائيل، حيث استهدفت مجموعة Cyber Avengers على وجه التحديد CNI الإسرائيلي ردًا على الهجمات الإسرائيلية على مثل هذه المنشآت في غزة، مستشهدة بالقول المأثور القديم “العين بالعين”.
- والثالث هو تخويف المواطنين الإسرائيليين وتهديد عائلات الجنود الذين يخدمون في جيش الدفاع الإسرائيلي.
“نحن نقدر أن التقدم الذي تم إظهاره حتى الآن في المراحل الثلاث للحرب سيستمر. وفي ظل تزايد احتمالات اتساع نطاق الحرب، نتوقع أن تظل عمليات النفوذ الإيراني والهجمات السيبرانية أكثر استهدافًا وأكثر تعاونًا وأكثر تدميراً مع استمرار الصراع بين إسرائيل وحماس. وكتب أن إيران ستواصل اختبار الخطوط الحمراء، كما فعلت بالهجوم على مستشفى إسرائيلي وشبكات المياه الأمريكية في أواخر نوفمبر.
“إن التعاون المتزايد الذي لاحظناه بين مختلف الجهات الفاعلة الإيرانية في مجال التهديد سيشكل تهديدات أكبر في عام 2024 للمدافعين عن الانتخابات الذين لم يعد بإمكانهم الحصول على العزاء في تتبع مجموعات قليلة فقط. وبدلاً من ذلك، فإن العدد المتزايد من وكلاء الوصول ومجموعات التأثير والجهات الفاعلة السيبرانية يخلق بيئة تهديد أكثر تعقيدًا وتشابكًا.
