حملة تسريبات مرتبطة بإيران تضع سلسلة إمداد الطاقة في الخليج تحت المجهر 

في مشهد يتسم بالتعقيد والتداخل بين الأمن السيبراني والجغرافيا السياسية، يكشف تقرير حديث صادر عن شركة Resecurity عن ملامح حملة سيبرانية تستهدف قطاع الطاقة في الخليج، لكن ليس عبر اختراقات كارثية مباشرة كما قد يُتوقع، بل من خلال نهج أكثر غموضاً وأصعب في الاحتواء: استغلال سلاسل الإمداد، وتسريبات انتقائية، وتوظيف مدروس لحرب المعلومات. 

التقرير، الذي نُشر في 23 مارس، يشير إلى أن مجموعة حديثة نسبياً يُعتقد ارتباطها بإيران تُعرف باسم Nasir Security، قد أعادت توجيه اهتمامها نحو مؤسسات النفط والغاز في الشرق الأوسط، مع اعتماد واضح على تضخيم ادعاءاتها إعلامياً لتعظيم الأثر السياسي والنفسي لنشاطها. 

اختراق غير مباشر، وتأثير مضاعف 

تكتسب هذه المقاربة أهمية خاصة، إذ يؤكد التقرير أن المجموعة لم تتمكن – على الأرجح – من اختراق شركات الطاقة الكبرى التي أعلنت استهدافها بشكل مباشر. وبدلاً من ذلك، قامت باختراق متعاقدين وموردين من الأطراف الثالثة يعملون في مجالات الهندسة والإنشاءات والسلامة، ثم أعادت تقديم وثائق حقيقية تم الحصول عليها باعتبارها دليلاً على اختراقات أوسع نطاقاً. 

ومن بين الجهات التي زعمت المجموعة استهدافها: شركة دبي للبترول (Dubai Petroleum) في الإمارات، وCC Energy Development في سلطنة عمان، إضافة إلى منظمة نفط وغاز في العراق، ولاحقاً شركة Al-Safi Oil Company التي تدير محطات وقود في المملكة العربية السعودية ومناطق أخرى. 

ماذا تم تسريبه فعلياً؟ 

تقع هذه الحملة في منطقة رمادية بين التجسس السيبراني وعمليات “الاختراق والتسريب” والدعاية الإعلامية. ووفقاً لمعلومات Resecurity، فإن البيانات المسروقة تشمل عقوداً ووثائق فنية وتقارير تقييم المخاطر. غير أن التقرير يشكك في حجم البيانات الذي أعلنت عنه المجموعة. 

فعلى سبيل المثال، ادعت Nasir Security أنها استخرجت أكثر من 413 غيغابايت من بيانات Dubai Petroleum، وفي مجمل ادعاءاتها تحدثت عن أكثر من 827 غيغابايت. لكن تقييم الشركة يشير إلى أن هذه الأرقام مبالغ فيها، وأن مصدر البيانات هو أطراف ثالثة، لا الشركات المستهدفة مباشرة. 

ومع ذلك، يحذر التقرير من التقليل من خطورة هذه الحملة لمجرد تضخيمها إعلامياً. فالبيانات الحقيقية – حتى وإن جاءت من متعاقدين – تظل ذات قيمة تشغيلية عالية. إذ يمكن لمخططات المنشآت، والسجلات الهندسية، ووثائق السلامة، وتقارير المخاطر، أن تساعد الخصوم على تحديد نقاط الضعف وفهم الاعتمادات التشغيلية، بل وتقدير المكونات الأكثر حساسية في حال حدوث اضطراب مادي أو رقمي. 

وفي بيئة البنية التحتية الحيوية، حيث تمتد دورات الصيانة لفترات طويلة، ويصعب الحصول على معدات متخصصة بسرعة، فإن حتى مكاسب استخباراتية محدودة قد تترتب عليها آثار كبيرة. 

الحلقة الأضعف: الأطراف الثالثة 

من أبرز التحذيرات التي يطرحها التقرير أن شركات النفط والغاز الكبرى تستثمر بكثافة في الدفاعات السيبرانية وتقسيم الشبكات والاستجابة للحوادث، بينما لا يحظى المتعاقدون والموردون بنفس المستوى من الحماية. 

فاختراق شركة متخصصة في أنظمة إنذار الحريق، أو جهة تكامل أنظمة السلامة، أو استشاري هندسي، أو مزود خدمات مدارة، قد يكون كافياً للحصول على معلومات حساسة، وإحراج شركة طاقة كبرى، وخلق ارتباك حول طبيعة الاختراق، بل وزرع الشك في الأسواق وبين الشركاء. 

وتشير Resecurity إلى أن هذا السيناريو تحقق بالفعل في بعض الحالات، ومنها حادثة Al-Safi Oil، حيث تبين أن مصدر البيانات كان مورداً لأنظمة إنذار الحريق ومعدات السلامة، وليس الشركة نفسها. 

نمط إيراني مألوف لكن بملامح متغيرة 

يضع التقرير نشاط Nasir Security ضمن سياق إقليمي أوسع تتداخل فيه العمليات السيبرانية مع الدعاية السياسية والإشارات الجيوسياسية. ويشير إلى أن هوية المجموعة ظلت غير مستقرة منذ ظهورها. 

ففي رسائل سابقة، عرفت نفسها باسم “Sons of Hezbollah Lebanon”، ثم استخدمت لاحقاً تسميات مثل “the Sons of Al-Nusayr” و”Al-Nasir Resistance”. ويرى التقرير أن هذه التبدلات، إلى جانب الأخطاء الإملائية المتعمدة وتغير المرجعيات الأيديولوجية، لا تهدف إلى التوضيح بل إلى تعقيد عملية الإسناد. 

وتؤكد Resecurity ضرورة توخي الحذر عند تحديد المسؤوليات، خاصة في أوقات النزاعات، حيث تنتشر عمليات “الراية الكاذبة” والحملات النفسية والتأثيرية. 

تاريخ من “التأثير الإعلامي” أكثر من التأثير الفعلي 

يشير التقرير إلى أن Nasir Security ظهرت لأول مرة في 5 أكتوبر 2025، مع نشاط محدود نسبياً، قبل أن تعود إلى الواجهة في مارس 2026 بادعاءات تتعلق بقطاع الطاقة. 

وكانت أبرز حوادثها السابقة مرتبطة بشركة Taldor الإسرائيلية، حيث نشرت المجموعة لقطات شاشة توحي بوصول غير مصرح به إلى أنظمة سحابية وشبكات مُدارة، وزعمت امتلاك معلومات تتعلق بجهات دفاعية وحكومية إسرائيلية بارزة. 

إلا أن Resecurity تؤكد عدم وجود دليل قاطع على حدوث اختراقات لاحقة لهذه الجهات، وأن الحادثة تم احتواؤها مبكراً. 

دوافع دعائية… لا مالية 

ومن اللافت أيضاً أن التقرير يشير إلى غياب عنصر الابتزاز المالي، حيث أفادت بعض الجهات المتأثرة بأنها لم تتلقَّ أي مطالب فدية أو تواصل من المجموعة. 

وهذا يعزز فرضية أن الدوافع أيديولوجية أو استراتيجية، وليست مالية. فبينما تسعى العصابات الإجرامية إلى تحقيق أرباح مباشرة، قد تسعى الجهات المرتبطة بدول أو أجندات سياسية إلى جذب الانتباه، أو الترهيب، أو السيطرة على السرد الإعلامي، أو ممارسة الضغط على خصومها. 

وفي هذا السياق، تبدو الحملة أقرب إلى جهد تأثيري واسع يهدف إلى إظهار القدرة على الرد، أو على الأقل خلق هذا الانطباع، عبر الفضاء السيبراني. 

ساحة المعركة تتسع 

بالنسبة لقطاع الطاقة في الخليج، ترتبط الدروس المستخلصة بالبيئة الأوسع التي تعكسها هذه الحملة. فساحة المواجهة تتجاوز فعلياً على شبكات المصافي أو أنظمة التحكم الصناعية أو البريد الإلكتروني المؤسسي، وتمتد لتشمل سلاسل التوريد، وموردي السلامة، والتخزين السحابي، وقنوات الصيانة عن بُعد، وحتى الفضاء المعلوماتي العام الذي يشكل إدراك الجمهور للحوادث. 

ما الذي ينبغي على الشركات فعله؟ 

تخلص Resecurity إلى نتيجة عملية وواضحة: قد تنظر إيران ووكلاؤها إلى سلسلة إمداد تكنولوجيا المعلومات والتقنيات التشغيلية كهدف عالي القيمة، لأنها تحقق نتائج “كمية” أكثر من كونها “نوعية” — أي عدد أكبر من الضحايا، وعناوين إعلامية أكثر، وانطباعاً أوسع بالانتشار، حتى وإن كانت الاختراقات محدودة. 

وعليه، فإن جوهر القصة ليس تعرض شركات الطاقة الخليجية لاختراقات مباشرة ضخمة، بقدر ما هو قدرة الخصوم على توظيف أجزاء حقيقية من البيانات المسروقة من محيطها لإرباك القطاع، وتعقيد تحديد المسؤوليات، وخلق إحساس بزخم سيبراني متصاعد. 

هذا الواقع يضع أطراف الدفاع أمام فكرة تتجدد باستمرار، وهي أن التهديد القادم قد لا يأتي عبر البوابة الرئيسية لشركة نفط وطنية، ولكن عبر ذلك المتعاقد المهمل، أو المورد ضعيف الحماية، أو الطرف الثالث الموثوق… الذي أصبح، دون أن يدرك، جزءاً من ساحة المعركة.