شهدت الحرب التي اندلعت لمدة 12 يوماً بين إيران وإسرائيل هذا الصيف تصعيد في النشاط السيبراني من جماعات قرصنة مؤيدة لإيران، بحسب تقرير حديث أصدرته شركة “سيكيوريتي سكوركارد”. وبيّن التقرير أن الشركة حللت نحو 250 ألف رسالة على تطبيق تيليغرام لتحديد أنماط النشاط التي شملت جمع معلومات استخباراتية، ونشر دعاية موجهة، وشنّ هجمات مباشرة على البنية التحتية الحيوية والجهات العامة.
وشاركت في هذه الأنشطة مجموعة متنوعة من الأطراف، منها جماعات مدعومة من الدولة، ومجموعات تعمل بالوكالة، وتكتلات غير رسمية من “هاكتفيست” يتبنون أهدافاً أيديولوجية متماشية مع المصالح الإيرانية. وقد تم توظيف هذه الأنشطة لتعزيز أهداف الحرب من الناحيتين السيبرانية والميدانية، وهو ما يبرز عمق التكامل بين المجالين في النزاعات الحديثة.
شملت هذه الأنشطة نشر دعاية مؤيدة لإيران عبر ما لا يقل عن 178 مجموعة على تيليغرام، دمجت بين الرسائل العقائدية والعمليات السيبرانية المنسقة، عبر قنوات مثل “الجيش الإسلامي للهاكرز”، و”توست المقاومة”، و”توست القسام”.
وأطلقت جماعات قرصنة مرتبطة بفلسطين، مثل “المقاومة السيبرانية الإسلامية” و”فريق الفتح السيبراني”، إلى جانب “فريق فاطميون السيبراني” من أفغانستان، و”قوة الماسكرز السيبرانية التونسية”، حملات هجمات حجب الخدمة (DDoS) وهجمات تصيّد، وتسريبات بيانات، تم تمريرها ضمن روايات محلية تعكس تظلمات إقليمية.
كما تم تسجيل اختراقات لمواقع إلكترونية، وتعطيل للخدمات، وبث دعاية ورسائل لرفع المعنويات من قبل جماعة “المقاومة السيبرانية الإسلامية”، بينما تورطت “قوة الماسكرز السيبرانية التونسية” في تسريب بيانات وبيع ثغرات من نوع Zero-Day ضمن أهداف مالية.
ومن أخطر هذه الأنشطة، سرقة وتسريب آلاف السجلات التي تضمنت معلومات شخصية حساسة مرتبطة بـ”دورة الألعاب السعودية”، نفذها “فريق الفتح السيبراني” عبر اكتشاف واستغلال ثغرات في المواقع الإلكترونية.
هجمات متقدمة بقيادة مجموعات مدعومة من الدولة الإيرانية خلال التصعيد الإقليمي
بالتزامن مع هذه الأنشطة غير النظامية، شنّت مجموعة APT المعروفة باسم “تورتويس شيل” – المعروفة أيضاً باسم “كوبويد ساندستورم” و”ييلو ليديرك” و”إمبيريال كيتن” – عمليات أكثر تعقيداً ودقة.
بدأت هذه المجموعة في تسجيل أسماء نطاقات جديدة مرتبطة بالصراع، مثل: nowsupportisrael[.]com، وsupportisraelfunding[.]com، وstoprirannukes[.]com، ثم استأجرت خوادم افتراضية لاستضافة تلك المواقع. واستخدمت هذه البنية التحتية لتشغيل أطر تصيّد متقدمة من نوع Evilginx، لاستهداف متحدثي اللغة العبرية بنماذج دعم مزيّفة تُحاكي حملات تضامن مع إسرائيل، مستغلة الذكرى السنوية لهجوم 7 أكتوبر الذي شنته حماس في عام 2023.
بعد الإيقاع بالضحايا، قامت المجموعة بزرع برمجية خبيثة من نوع RemCosRAT على أجهزتهم، ما أتاح لها القدرة على التحكم الكامل في الأنظمة المستهدفة.
أشار التقرير إلى أن الجهات الفاعلة في هذا النزاع السيبراني أظهرت تبايناً في مستوى التعقيد والتنظيم، ومدى التنسيق مع الحرس الثوري الإيراني، لافتاً إلى ضرورة التفريق بين المجموعات المدعومة من الدولة وتلك الانتهازية لفهم تعقيدات الحرب السيبرانية والميدانية المتداخلة.
وأكد التقرير على أهمية تعزيز الوعي الداخلي في المؤسسات تجاه مخاطر التصيّد والهندسة الاجتماعية، خاصة خلال أوقات التوتر الجيوسياسي، مع ضرورة مطالبة مزوّدي الأمن السيبراني بتحديد ما إذا كانت المؤسسة ضمن نطاق الاستهداف المحتمل.
