كشف تقرير حديث صادر عن وكالات استخباراتية وأمنية أمريكية عن تصاعد تهديدات مجموعة “سايبر أدفينجرز” (CyberAv3ngers) المرتبطة بإيران، والتي تستهدف البنية التحتية الحيوية في الولايات المتحدة، لا سيما قطاعات المياه والطاقة. المجموعة، التي يُعتقد أنها على صلة بالحرس الثوري الإيراني، طورت من قدراتها بشكل كبير منذ ظهورها.
وقد أصدرت ست جهات أمريكية، بما في ذلك مكتب التحقيقات الفيدرالي (FBI) ووكالة الأمن السيبراني وأمن البنية التحتية (CISA)، تحذيراً مشتركاً أكد على استغلال جهات فاعلة مدعومة من إيران لأجهزة التحكم المنطقية القابلة للبرمجة (PLCs) المتصلة بالإنترنت. تشمل هذه الأجهزة أنظمة معالجة المياه، ومرافق الطاقة، والمؤسسات الحكومية.
“سايبر أدفينجرز” تستهدف البنية التحتية الحيوية
تُظهر التطورات الأخيرة كيف تحولت مجموعة “سايبر أدفينجرز” من مجرد نشاط اختراق ذي دوافع سياسية إلى تهديد حقيقي قادر على إحداث اضطرابات تشغيلية وخسائر مالية للمنظمات المستهدفة. ويربط التحذير هذا النشاط مباشرة بالمجموعة، التي تُعرف أيضاً بأسماء أخرى مثل Storm-0784 لدى Microsoft.
وفقاً لباحثين في مجال الأمن السيبراني، فقد بدأت المجموعة في أواخر عام 2023 باختراق مئات من وحدات تحكم Vision Series PLCs من شركة Unitronics في الولايات المتحدة والمملكة المتحدة وأيرلندا، مستغلة كلمات المرور الافتراضية على الأجهزة المكشوفة للإنترنت. ومن أبرز الضحايا كانت هيئة المياه البلدية في Aliquippa بولاية بنسلفانيا، والتي تعرض نظام التحكم الخاص بها للخطر.
في منتصف عام 2024، قدمت المجموعة منصة برمجية خبيثة جديدة كلياً تُعرف باسم “IOCONTROL”، مصممة خصيصاً لأنظمة إنترنت الأشياء (IoT) والتكنولوجيا التشغيلية (OT) التي تعمل بنظام Linux. وفي بداية عام 2026، وسعت المجموعة نطاق هجماتها لتشمل وحدات تحكم Logix من Rockwell Automation، مستغلة ثغرة أمنية حرجة (CVE-2021-22681) ذات درجة خطورة عالية، والتي تسمح بالوصول غير المصرح به.
تطور الأدوات والتقنيات
يشير هذا التطور في استراتيجيات وأدوات “سايبر أدفينجرز” إلى نهج منهجي وبناء قدرات متدرج. وبحسب ما ورد، فإن الثغرة الأمنية التي استغلوها ضد وحدات تحكم Rockwell Automation لا يوجد لها تصحيح برمجي حالياً، مما يزيد من صعوبة الدفاع ضدها. وتضم قائمة الأجهزة المتأثرة عائلات CompactLogix وControlLogix وغيرها.
يُذكر أن وزارة الخزانة الأمريكية كانت قد فرضت عقوبات على مسؤولين بالحرس الثوري الإيراني مرتبطين بالمجموعة في فبراير 2024. ومع ذلك، استمرت المجموعة في نشاطها، حيث ظهرت قنوات جديدة تابعة لها مؤخراً. والأكثر من ذلك، فقد انتشرت تقنيات استغلال أنظمة التحكم الصناعي الخاصة بالمجموعة إلى حوالي 60 مجموعة قرصنة أخرى، مما يخلق تحدياً أمنياً معقداً.
“IOCONTROL”: برمجية تجسس متقدمة
“IOCONTROL” تُعتبر الأداة الأكثر تقدماً في ترسانة “سايبر أدفينجرز” حالياً. هذه البرمجية الخبيثة تتميز بكونها وحداتية، وقادرة على العمل على مجموعة واسعة من الأجهزة التي تعتمد على نظام Linux. وتشمل هذه الأجهزة الموجهات، وواجهات الإنسان والآلة (HMIs)، وكاميرات المراقبة، وأنظمة إدارة الوقود من عدة مصنعين.
وصفت الفرق الأمنية “IOCONTROL” بأنها سلاح سيبراني لدولة، مصمم لاستهداف البنية التحتية المدنية الحيوية. ما يجعل اكتشاف هذه البرمجية صعباً هو قدرتها على الاندماج بشكل كبير ضمن حركة مرور الشبكة العادية. فهي تستخدم بروتوكول MQTT عبر TLS، وهي قناة اتصال قياسية في إنترنت الأشياء، للتواصل مع خوادم التحكم والقيادة. كما تستخدم DNS-over-HTTPS لتجاوز أدوات المراقبة التقليدية للشبكات.
تخزن البرمجية الخبيثة بيانات التكوين الخاصة بها بشكل مشفر، وتثبت نفسها كبرنامج تشغيل عند بدء تشغيل النظام لضمان استمراريتها بعد إعادة التشغيل، ويمكنها تنفيذ أوامر النظام، أو مسح المنافذ، أو حذف نفسها عند الطلب. وتحث هذه التقارير المنظمات التي تعتمد على أنظمة التحكم من Rockwell Automation و Unitronics على فصل أجهزتها عن الإنترنت العام فوراً، واعتماد تدابير أمنية إضافية لحماية أنظمتها.