طهران تستثمر التجسس الالكتروني والهجمات لدعم أولوياتها الأمنية
طهران تواصل التجسس والعمليات السيبرانية لدعم أولوياتها والتأثير في الأحداث
طهران تواصل التجسس والعمليات السيبرانية لدعم أولوياتها والتأثير في الأحداث
الثلاثاء - 08 يناير 2019
Tue - 08 Jan 2019
يشير تقييم التهديد العالمي الذي أصدرته الاستخبارات القومية إلى أن «طهران تواصل الاستفادة من التجسس الالكتروني والدعاية والهجمات لدعم أولوياتها الأمنية والتأثير في الأحداث والتصورات الأجنبية ومواجهة التهديدات، بما في ذلك ضد حلفاء الولايات المتحدة في المنطقة. كما استخدمت إيران قدراتها الالكترونية بشكل مباشر ضد الولايات المتحدة».
ولا يفاجأ متابع تطوير قدرات إيران الالكترونية بأنها أصبحت قوة كبيرة في الساحة الالكترونية ببطء.
في الآونة الأخيرة كشفت حملة تجسس إيرانية طويلة الأمد في الولايات المتحدة، استخدمت فيها «الهندسة الاجتماعية» والتصيد من أجل جمع المعلومات من مسؤولين مهمين في الولايات المتحدة وإسرائيل وبريطانيا وبلدان أخرى.
وعلى الرغم من أن هذه الحملة الأخيرة لا تشير إلى طفرة تكنولوجية في قدرات الحرب السيبرانية الإيرانية، إلا أنها تظهر مستوى عاليا من القدرات التشغيلية والاستخباراتية، كما تشير إلى أن إيران زرعت أهدافا استراتيجية على المدى الطويل في السنوات الأخيرة، وأنها أصبحت من أكثر اللاعبين نشاطا في الساحة الدولية للحرب السيبرانية.
العمليات السيبرانية الإيرانية
تنطوي العمليات السيبرانية على مخاطر أقل وتزويد طهران بخيارات لا توفرها العمليات الأخرى، وتدرس إيران استخدام الانترنت للقتال من أجل تعطيل الدفاعات الصاروخية للعدو، والقيادة والتحكم، والأنظمة الجوية غير البحرية، والخدمات اللوجستية - والتي تتم استضافتها في الولايات المتحدة على شبكات الكمبيوتر غير المصنفة. ويبدو أن أنشطة الاستطلاع التي تقوم بها الشبكة تشير إلى أنها تطور خطط طوارئ لمهاجمة البنية التحتية الحيوية لأعدائها. وقد تستهدف أيضا الكيانات التي تعتقد أنها تمكن أنشطة «الحرب الناعمة» في الولايات المتحدة، مثل:
وتختار إيران استهداف المنافذ الثقافية والإعلامية التي تعتقد أنها استهزأت أو أهانت مشاعر قيادة البلد على الرغم من تواتر الهجمات الالكترونية التي تستهدف البنى التحتية الحيوية، فإن هذه الصناعات التي تخضع لقيود شديدة لا تحتوي إلا على القليل من البروتوكولات للحماية من انتهاكات الأمن السيبراني. ووفقا لتقرير صادر عن مكتب المحاسبة الحكومي، فإن جميع صناعات البنية التحتية الحيوية تقريبا تفتقر إلى مقاييس أمان الانترنت الكافية. أصدرت فرقة عمل مجلس العلوم الدفاعية المعنية بالردع السيبراني تقريرا هذا العام ينص على أن «القوى الإقليمية لديها إمكانية متزايدة لاستخدام أدوات الانترنت المحلية أو المشتراة للقيام بهجمات كارثية على البنية التحتية الحيوية للولايات المتحدة. ويجب على حكومة الولايات المتحدة العمل مع القطاع الخاص لتكثيف الجهود للدفاع عن وتعزيز البنية التحتية للصمود في البنية التحتية الأمريكية الحاسمة لتجنب السماح بمزيد من الضعف لهذه الدول.
الفضاء السيبراني
إن استخدام الفضاء السيبراني لأغراض جمع المعلومات ورصدها ليس أمرا غريبا على إيران التي تستفيد بشكل كبير من التصيد والهندسة الاجتماعية لرصد أنشطة وآراء المواطنين الإيرانيين وللتعرف على خصوم النظام ونشطاء المعارضة. في يونيو 2013، وقت الانتخابات الرئاسية الإيرانية، أعلنت شركة قوقل أنها حددت وحجبت هجوما تصيديا نفذته عناصر داخل إيران كان موجها ضد عشرات الآلاف من حسابات البريد الالكتروني التي تخص مواطنين إيرانيين. واشتمل الهجوم على رسائل بريد الكتروني، ظهرت لتبدو رسائل صيانة Gmail، والتي دفعت المستخدمين إلى إدخال اسم المستخدم وكلمة المرور الخاصة بهم. تم تمرير المعلومات مباشرة إلى المهاجمين وأعطاهم ذلك حرية الوصول إلى حسابات البريد الالكتروني. ومع ذلك فإن الهجوم الحالي هو الأول الذي يتضمن التجسس الإيراني في الفضاء الالكتروني الدولي، حيث إن اللاعبين الرئيسيين اليوم روسيا والصين.
تاريخ التجسس
إن تاريخ إيران في التجسس الالكتروني يعرض الولايات المتحدة للخطر، ففي تقييم تهديد ODNI، يقول المسؤولون «ستواصل إيران تطوير قدراتها لعرقلة الاتصالات والملاحة العسكرية، وستحاول اختراق أجهزة صنع القرار الوطني الأمريكي وأجهزة المخابرات. كما ستستهدف الشركات والمؤسسات البحثية الأمريكية للتحايل على العقوبات والحصول على تقنيات الاستخدام المزدوج».
وكتشف تقرير صادر عن iSIGHT Partners في 2014 عن مجموعة باسم» Newscaster «، والتي وصفها التقرير بـ «حملة التطفل الأكثر صرامة على شبكة الانترنت التي نظمها القراصنة الإيرانيون باستخدام وسائل الإعلام الاجتماعية». ويذكر التقرير أن القراصنة استخدموا شبكة من الحسابات المزيفة على وسائل التواصل الاجتماعية الرئيسة للتجسس على المسؤولين الأمريكيين والموظفين السياسيين في جميع أنحاء العالم. «هناك نحو 2000 شخص / هدف وقعوا في الفخ ويرتبطون بالشخصيات الكاذبة».
تتبع نماذج نشاط مراقبة إيران من خلال وسائل الإعلام الاجتماعية ومنابر أخرى التوجهات التي تستخدمها إيران لمواطنيها، والتي تستفيد بشكل كبير من التصيد والهندسة الاجتماعية لرصد أنشطة وآراء المواطنين الإيرانيين وللتعرف على خصوم النظام ونشطاء المعارضة، ولا عجب أن يتمكنوا من تنفيذ هذه الأنشطة نفسها خارجيا أيضا.
وفي الآونة الأخيرة من هذا العام تم ربط مجموعة Newscaster، المعروفة أيضا باسم «Charming Kitten»، بقرصنة»Charming Kitten التي تم تتبعها أيضا تحت أسماء مختلفة، مثل:
الدول الأخرى
نشرت فاير إيي تقريرا يفيد بأن المتسللين المرتبطين بالحكومة الإيرانية أجروا عملية تجسس الكتروني طويلة الأمد ضد الحكومة والصناعة في إسرائيل والكويت ولبنان والسعودية والإمارات. وتشمل الأهداف الشرق أوسطية في معظمها الوكالات الحكومية والصناعات الخاصة، بما في ذلك قطاعات المالية والطاقة والكيماويات والاتصالات السلكية واللا سلكية. ويراقب خبراء الأمن ووكالات الاستخبارات تكثيفا كبيرا لحملات التجسس السيبرانية المرتبطة بالقرصنة الإيرانية.
وكشف باحثون أمنيون في بالو ألتو نتوركس عن حملة تجسس الكترونية جديدة مرتبطة بإيران استهدفت منظمات عدة في الشرق الأوسط. وضرب التهديد عددا من المنظمات في مجالات الطاقة والحكومة والتكنولوجيا، وجميع الضحايا يقعون أو لديهم مصلحة في السعودية. وسميت حملة القرصنة Magic Hound. ووفقا للمحللين فإنها تعود إلى منتصف 2016 على الأقل، ومن المثير للاهتمام ملاحظة أن المتطفلين الذين كانوا وراء حملة «ماجيك هاوند» استخدموا مجموعة واسعة من الأدوات المخصصة وأداة الوصول عن بعد مفتوحة المصدر (RAT) يطلق عليها اسم Pupy.
وفقا للمطور فإن PupyRAT هي «منصة متعددة المنصات (Windows، Linux، OSX، Android)، وأداة RAT متعددة الوظائف وما بعدها مكتوبة بشكل أساسي في Python.
«اكتشفت الوحدة 42 حملة هجوم مستمرة تعمل في المقام الأول في منطقة الشرق الأوسط يعود تاريخها إلى منتصف عام 2016، ويبدو أن هذه حملة هجوم ركزت على التجسس. واستنادا إلى رؤيتنا فقد استهدفت بشكل أساسي المؤسسات في قطاعات الطاقة والحكومة والتكنولوجيا التي هي إما في داخل المملكة أو في مصالحها التجارية، ويبدو أن الوثائق الخبيثة المستخدمة في الهجمات هي بطاقات المعايدة للعطلات، وعروض العمل، والوثائق الحكومية الرسمية من وزارة الصحة ووزارة التجارة في المملكة العربية السعودية».
وبناء على الأدلة فإن أنشطة إيران في الولايات المتحدة وكذلك في الشرق الأوسط نشطة وموجهة نحو دفع الأجندة الإيرانية وتقويض المعارضة. وإذا لم تتخذ الولايات المتحدة إجراءات مناسبة لمواصلة البقاء في طليعة أنشطة الانترنت الإيرانية، فقد تكون هناك آثار سلبية قد تضع أمام الولايات المتحدة عائقا قويا جغرافيا واستراتيجيا. ويجب على الولايات المتحدة أن تفكر في أن تكون أكثر استباقية في تطوير السياسات والخطوات لحماية، والدفاع، ومكافحة أي إجراء قد يتم اتخاذه ضدنا.
أقوال
«إذا كنا قد تحدثنا قبل ثلاثة أو أربعة أو خمسة أعوام، فقد قلت إنه ليس تهديدا كبيرا. اليوم سأخبركم فقط بأنني سوف أشبهه بالأطفال وهم يعبثون بالمصابيح الكهربائية المليئة بالنتروجلسرين. في أحد الأوقات سيفعلون شيئا خطيرا ويجبرون الزعماء الأجانب على أخذ ذلك في الاعتبار»
جيمس ماتيس
«هناك تقارير عن استخدام أدوات الانترنت ضد إيران، أيا كان من يستخدمها لا يمكن أن يفترضوا أنهم الأشخاص الأذكياء الوحيدون في العالم»
الجنرال مارتن ديمبسي - رئيس هيئة الأركان المشتركة
الاستنتاجات
- تزعزع التهديدات السيبرانية بالفعل ثقة الجمهور في المؤسسات العالمية، والحوكمة، والقواعد، بينما تفرض تكاليف على الاقتصاد الأمريكي والاقتصاد
العالمي
- تشكل التهديدات السيبرانية خطرا متزايدا على الصحة العامة والسلامة والازدهار، حيث تتكامل التقنيات الالكترونية مع البنية التحتية الحيوية في القطاعات
الرئيسية
- تنظر العديد من البلدان إلى القدرات السيبرانية كأداة قابلة للاستمرار لتوقع تأثيرها وستستمر في تطوير قدرات الانترنت، ولا يزال بعض الأعداء غير قادرين على إجراء عمليات الاستطلاع والتجسس والتأثير، بل حتى الهجمات في الفضاء السيبراني
- يقع برنامج الانترنت الإيراني مباشرة تحت الوصف الوارد في تقرير تقييم التهديد، وقد تطور بشكل مكثف منذ بدأ في 2005 من قبل وحدة صغيرة من الحرس الثوري الإيراني، لتصبح الآن قوة عالمية كبرى على
الانترنت
- من المرجح أن تزداد الأنشطة المنفذة مع تقدم التكنولوجيا والعالم على الانترنت ليصبح معيارا للحرب غير التقليدية. لقد جلبت قدرات إيران الالكترونية إيران إلى مصاف التهديدات الالكترونية على مستوى العالم، حيث انضمت إلى روسيا والصين، وإلى حد أقل كوريا الشمالية.
ولا يفاجأ متابع تطوير قدرات إيران الالكترونية بأنها أصبحت قوة كبيرة في الساحة الالكترونية ببطء.
في الآونة الأخيرة كشفت حملة تجسس إيرانية طويلة الأمد في الولايات المتحدة، استخدمت فيها «الهندسة الاجتماعية» والتصيد من أجل جمع المعلومات من مسؤولين مهمين في الولايات المتحدة وإسرائيل وبريطانيا وبلدان أخرى.
وعلى الرغم من أن هذه الحملة الأخيرة لا تشير إلى طفرة تكنولوجية في قدرات الحرب السيبرانية الإيرانية، إلا أنها تظهر مستوى عاليا من القدرات التشغيلية والاستخباراتية، كما تشير إلى أن إيران زرعت أهدافا استراتيجية على المدى الطويل في السنوات الأخيرة، وأنها أصبحت من أكثر اللاعبين نشاطا في الساحة الدولية للحرب السيبرانية.
العمليات السيبرانية الإيرانية
تنطوي العمليات السيبرانية على مخاطر أقل وتزويد طهران بخيارات لا توفرها العمليات الأخرى، وتدرس إيران استخدام الانترنت للقتال من أجل تعطيل الدفاعات الصاروخية للعدو، والقيادة والتحكم، والأنظمة الجوية غير البحرية، والخدمات اللوجستية - والتي تتم استضافتها في الولايات المتحدة على شبكات الكمبيوتر غير المصنفة. ويبدو أن أنشطة الاستطلاع التي تقوم بها الشبكة تشير إلى أنها تطور خطط طوارئ لمهاجمة البنية التحتية الحيوية لأعدائها. وقد تستهدف أيضا الكيانات التي تعتقد أنها تمكن أنشطة «الحرب الناعمة» في الولايات المتحدة، مثل:
- وسائل الإعلام
- موردي الثقافة الشعبية
- مراكز الفكر التي ينظر إليها على أنها معادية لإيران
- الجامعات
- الوكالات الحكومية الأمريكية التي ينظر إليها على أنها توجه هذه الجهود
وتختار إيران استهداف المنافذ الثقافية والإعلامية التي تعتقد أنها استهزأت أو أهانت مشاعر قيادة البلد على الرغم من تواتر الهجمات الالكترونية التي تستهدف البنى التحتية الحيوية، فإن هذه الصناعات التي تخضع لقيود شديدة لا تحتوي إلا على القليل من البروتوكولات للحماية من انتهاكات الأمن السيبراني. ووفقا لتقرير صادر عن مكتب المحاسبة الحكومي، فإن جميع صناعات البنية التحتية الحيوية تقريبا تفتقر إلى مقاييس أمان الانترنت الكافية. أصدرت فرقة عمل مجلس العلوم الدفاعية المعنية بالردع السيبراني تقريرا هذا العام ينص على أن «القوى الإقليمية لديها إمكانية متزايدة لاستخدام أدوات الانترنت المحلية أو المشتراة للقيام بهجمات كارثية على البنية التحتية الحيوية للولايات المتحدة. ويجب على حكومة الولايات المتحدة العمل مع القطاع الخاص لتكثيف الجهود للدفاع عن وتعزيز البنية التحتية للصمود في البنية التحتية الأمريكية الحاسمة لتجنب السماح بمزيد من الضعف لهذه الدول.
الفضاء السيبراني
إن استخدام الفضاء السيبراني لأغراض جمع المعلومات ورصدها ليس أمرا غريبا على إيران التي تستفيد بشكل كبير من التصيد والهندسة الاجتماعية لرصد أنشطة وآراء المواطنين الإيرانيين وللتعرف على خصوم النظام ونشطاء المعارضة. في يونيو 2013، وقت الانتخابات الرئاسية الإيرانية، أعلنت شركة قوقل أنها حددت وحجبت هجوما تصيديا نفذته عناصر داخل إيران كان موجها ضد عشرات الآلاف من حسابات البريد الالكتروني التي تخص مواطنين إيرانيين. واشتمل الهجوم على رسائل بريد الكتروني، ظهرت لتبدو رسائل صيانة Gmail، والتي دفعت المستخدمين إلى إدخال اسم المستخدم وكلمة المرور الخاصة بهم. تم تمرير المعلومات مباشرة إلى المهاجمين وأعطاهم ذلك حرية الوصول إلى حسابات البريد الالكتروني. ومع ذلك فإن الهجوم الحالي هو الأول الذي يتضمن التجسس الإيراني في الفضاء الالكتروني الدولي، حيث إن اللاعبين الرئيسيين اليوم روسيا والصين.
تاريخ التجسس
إن تاريخ إيران في التجسس الالكتروني يعرض الولايات المتحدة للخطر، ففي تقييم تهديد ODNI، يقول المسؤولون «ستواصل إيران تطوير قدراتها لعرقلة الاتصالات والملاحة العسكرية، وستحاول اختراق أجهزة صنع القرار الوطني الأمريكي وأجهزة المخابرات. كما ستستهدف الشركات والمؤسسات البحثية الأمريكية للتحايل على العقوبات والحصول على تقنيات الاستخدام المزدوج».
وكتشف تقرير صادر عن iSIGHT Partners في 2014 عن مجموعة باسم» Newscaster «، والتي وصفها التقرير بـ «حملة التطفل الأكثر صرامة على شبكة الانترنت التي نظمها القراصنة الإيرانيون باستخدام وسائل الإعلام الاجتماعية». ويذكر التقرير أن القراصنة استخدموا شبكة من الحسابات المزيفة على وسائل التواصل الاجتماعية الرئيسة للتجسس على المسؤولين الأمريكيين والموظفين السياسيين في جميع أنحاء العالم. «هناك نحو 2000 شخص / هدف وقعوا في الفخ ويرتبطون بالشخصيات الكاذبة».
تتبع نماذج نشاط مراقبة إيران من خلال وسائل الإعلام الاجتماعية ومنابر أخرى التوجهات التي تستخدمها إيران لمواطنيها، والتي تستفيد بشكل كبير من التصيد والهندسة الاجتماعية لرصد أنشطة وآراء المواطنين الإيرانيين وللتعرف على خصوم النظام ونشطاء المعارضة، ولا عجب أن يتمكنوا من تنفيذ هذه الأنشطة نفسها خارجيا أيضا.
وفي الآونة الأخيرة من هذا العام تم ربط مجموعة Newscaster، المعروفة أيضا باسم «Charming Kitten»، بقرصنة»Charming Kitten التي تم تتبعها أيضا تحت أسماء مختلفة، مثل:
- Newscaster
- NewsBeef
- Flying Kitten
- Ajax Security Team
الدول الأخرى
نشرت فاير إيي تقريرا يفيد بأن المتسللين المرتبطين بالحكومة الإيرانية أجروا عملية تجسس الكتروني طويلة الأمد ضد الحكومة والصناعة في إسرائيل والكويت ولبنان والسعودية والإمارات. وتشمل الأهداف الشرق أوسطية في معظمها الوكالات الحكومية والصناعات الخاصة، بما في ذلك قطاعات المالية والطاقة والكيماويات والاتصالات السلكية واللا سلكية. ويراقب خبراء الأمن ووكالات الاستخبارات تكثيفا كبيرا لحملات التجسس السيبرانية المرتبطة بالقرصنة الإيرانية.
وكشف باحثون أمنيون في بالو ألتو نتوركس عن حملة تجسس الكترونية جديدة مرتبطة بإيران استهدفت منظمات عدة في الشرق الأوسط. وضرب التهديد عددا من المنظمات في مجالات الطاقة والحكومة والتكنولوجيا، وجميع الضحايا يقعون أو لديهم مصلحة في السعودية. وسميت حملة القرصنة Magic Hound. ووفقا للمحللين فإنها تعود إلى منتصف 2016 على الأقل، ومن المثير للاهتمام ملاحظة أن المتطفلين الذين كانوا وراء حملة «ماجيك هاوند» استخدموا مجموعة واسعة من الأدوات المخصصة وأداة الوصول عن بعد مفتوحة المصدر (RAT) يطلق عليها اسم Pupy.
وفقا للمطور فإن PupyRAT هي «منصة متعددة المنصات (Windows، Linux، OSX، Android)، وأداة RAT متعددة الوظائف وما بعدها مكتوبة بشكل أساسي في Python.
«اكتشفت الوحدة 42 حملة هجوم مستمرة تعمل في المقام الأول في منطقة الشرق الأوسط يعود تاريخها إلى منتصف عام 2016، ويبدو أن هذه حملة هجوم ركزت على التجسس. واستنادا إلى رؤيتنا فقد استهدفت بشكل أساسي المؤسسات في قطاعات الطاقة والحكومة والتكنولوجيا التي هي إما في داخل المملكة أو في مصالحها التجارية، ويبدو أن الوثائق الخبيثة المستخدمة في الهجمات هي بطاقات المعايدة للعطلات، وعروض العمل، والوثائق الحكومية الرسمية من وزارة الصحة ووزارة التجارة في المملكة العربية السعودية».
وبناء على الأدلة فإن أنشطة إيران في الولايات المتحدة وكذلك في الشرق الأوسط نشطة وموجهة نحو دفع الأجندة الإيرانية وتقويض المعارضة. وإذا لم تتخذ الولايات المتحدة إجراءات مناسبة لمواصلة البقاء في طليعة أنشطة الانترنت الإيرانية، فقد تكون هناك آثار سلبية قد تضع أمام الولايات المتحدة عائقا قويا جغرافيا واستراتيجيا. ويجب على الولايات المتحدة أن تفكر في أن تكون أكثر استباقية في تطوير السياسات والخطوات لحماية، والدفاع، ومكافحة أي إجراء قد يتم اتخاذه ضدنا.
أقوال
«إذا كنا قد تحدثنا قبل ثلاثة أو أربعة أو خمسة أعوام، فقد قلت إنه ليس تهديدا كبيرا. اليوم سأخبركم فقط بأنني سوف أشبهه بالأطفال وهم يعبثون بالمصابيح الكهربائية المليئة بالنتروجلسرين. في أحد الأوقات سيفعلون شيئا خطيرا ويجبرون الزعماء الأجانب على أخذ ذلك في الاعتبار»
جيمس ماتيس
«هناك تقارير عن استخدام أدوات الانترنت ضد إيران، أيا كان من يستخدمها لا يمكن أن يفترضوا أنهم الأشخاص الأذكياء الوحيدون في العالم»
الجنرال مارتن ديمبسي - رئيس هيئة الأركان المشتركة
الاستنتاجات
- تزعزع التهديدات السيبرانية بالفعل ثقة الجمهور في المؤسسات العالمية، والحوكمة، والقواعد، بينما تفرض تكاليف على الاقتصاد الأمريكي والاقتصاد
العالمي
- تشكل التهديدات السيبرانية خطرا متزايدا على الصحة العامة والسلامة والازدهار، حيث تتكامل التقنيات الالكترونية مع البنية التحتية الحيوية في القطاعات
الرئيسية
- تنظر العديد من البلدان إلى القدرات السيبرانية كأداة قابلة للاستمرار لتوقع تأثيرها وستستمر في تطوير قدرات الانترنت، ولا يزال بعض الأعداء غير قادرين على إجراء عمليات الاستطلاع والتجسس والتأثير، بل حتى الهجمات في الفضاء السيبراني
- يقع برنامج الانترنت الإيراني مباشرة تحت الوصف الوارد في تقرير تقييم التهديد، وقد تطور بشكل مكثف منذ بدأ في 2005 من قبل وحدة صغيرة من الحرس الثوري الإيراني، لتصبح الآن قوة عالمية كبرى على
الانترنت
- من المرجح أن تزداد الأنشطة المنفذة مع تقدم التكنولوجيا والعالم على الانترنت ليصبح معيارا للحرب غير التقليدية. لقد جلبت قدرات إيران الالكترونية إيران إلى مصاف التهديدات الالكترونية على مستوى العالم، حيث انضمت إلى روسيا والصين، وإلى حد أقل كوريا الشمالية.
