أعلنت مجموعة قراصنة تطلق على نفسها اسم “سيبر فاتح” (Cyber Fattah) عن نشر آلاف السجلات الشخصية التي يُزعم أنها تعود لرياضيين وزوار مؤتمر “الألعاب السعودية”. وقد نُشرت البيانات عبر الإنترنت، مما أثار قلقاً بشأن أمن المعلومات.
وبحسب شركة “ريسيكيوريتي” (Resecurity) المتخصصة في الأمن السيبراني، تم الإعلان عن هذا الاختراق على منصة تيليجرام في 22 يونيو 2025، وشملت البيانات المسربة ملفات قواعد بيانات بصيغة SQL. ووصف التقرير هذا الهجوم بأنه “عملية معلوماتية نفذتها إيران ووكلائها”.
اختبار أمن المعلومات في الألعاب السعودية
وأشارت “ريسيكيوريتي” إلى أن الجهات الفاعلة تمكنت من الوصول غير المصرح به إلى واجهة phpMyAdmin (الخلفية) واستخراج السجلات المخزنة. ويعتبر هذا الهجوم مثالاً على استخدام إيران لعمليات اختراق البيانات كجزء من نشاط دعائي أوسع مناهض للولايات المتحدة وإسرائيل والمملكة العربية السعودية في الفضاء السيبراني، مستهدفاً الفعاليات الرياضية والاجتماعية الكبرى.
ويُعتقد أن البيانات المسربة تم سحبها على الأرجح من الموقع الرسمي للألعاب السعودية 2024، ثم تم تداولها على منتدى “دارك فورمز” (DarkForums)، وهو منتدى جرائم إلكترونية اكتسب شهرة بعد تكرار إغلاق منتدى BreachForums. وقد نشر المعلومات مستخدم باسم “ZeroDayX”، وهو حساب تم إنشاؤه على الأرجح للترويج لهذا الاختراق.
تفاصيل البيانات المسربة
تضم البيانات المسربة معلومات حساسة تشمل بيانات اعتماد موظفي تقنية المعلومات، وعناوين البريد الإلكتروني لمسؤولين حكوميين، ومعلومات عن الرياضيين والزوار، بالإضافة إلى صور جوازات السفر وبطاقات الهوية، كشوفات حسابات بنكية، نماذج طبية، ونسخ ممسوحة ضوئياً لوثائق هامة.
وأكدت “ريسيكيوريتي” أن أنشطة “سيبر فاتح” تتماشى مع اتجاه أوسع لمفهوم “الهاكتفيزم” (Hacktivism) أو النشاط القرصاني المدفوع بالأيديولوجيا في منطقة الشرق الأوسط، حيث تشارك المجموعات بانتظام في حرب سيبرانية كشكل من أشكال النشاط الاحتجاجي.
يأتي هذا الاختراق في ظل تصاعد التوترات بين إيران وإسرائيل، حيث ادعى ما يصل إلى 119 مجموعة قرصنة إعلان مسؤوليتها عن هجمات سيبرانية أو التعبير عن دعمها أو معارضتها لهاتين الدولتين، وفقاً لتقرير “سايبرنو” (Cyberknow).
لمجموعة “سيبر فاتح”، التي تعرف نفسها بأنها “فريق سيبراني إيراني”، تاريخ في استهداف المواقع الإسرائيلية والغربية والوكالات الحكومية. كما أنها معروفة بتعاونها مع جهات فاعلة تهديدية أخرى نشطة في المنطقة، مثل “تييم 313” (313 Team)، التي أعلنت مسؤوليتها عن هجوم حجب الخدمة الموزع (DDoS) ضد منصة التواصل الاجتماعي “تروث سوشيال” (Truth Social) رداً على ضربات جوية أمريكية لمنشآت نووية إيرانية.
وقالت “ريسيكيوريتي” إن هذا الحادث قد يشير إلى تحول مثير للاهتمام من النشاط الخبيث الذي يركز على إسرائيل إلى تركيز أوسع على الرسائل المناهضة للولايات المتحدة والمملكة العربية السعودية.
في الأسبوع الماضي، ادعت مجموعة مؤيدة لإسرائيل تُعرف باسم “سبارو المفترس” (Predatory Sparrow)، والمشهورة أيضاً بأسماء مثل “عدالت علي” (Adalat Ali) و”غونجيشكي داراندي” (Gonjeshke Darande) و”إندرا” (Indra) أو “ميتيور إكسبريس” (MeteorExpress)، أنها قامت بتسريب بيانات تم الحصول عليها من وزارة الاتصالات الإيرانية. وفي خطوة مفاجئة، قامت المجموعة أيضاً باختراق أكبر بورصة للعملات المشفرة في إيران، “نوبيتكس” (Nobitex)، وأتلفت أكثر من 90 مليون دولار أمريكي من العملات المشفرة عن طريق إرسال الأصول الرقمية إلى محافظ غير صالحة.
وذكرت شركة “أوت بوست 24” (Outpost24) للأمن السيبراني أن المهاجمين ربما حازوا على “وثائق داخلية تفصل آلية عمل البورصة وربما حتى بيانات مصادقة” لتنفيذ هذه السرقة، أو أنه كان تلاعباً من قبل شخص داخلي بالتعاون مع المجموعة. وأوضحت الباحثة الأمنية ليديا لوبيز سانز أن هذه العملية لم تكن بدافع مالي، بل كانت “عملية استراتيجية، أيديولوجية ونفسية”، تهدف إلى تقويض الثقة العامة في المؤسسات المرتبطة بالنظام وإظهار التفوق التقني.
بعد ذلك، في 18 يونيو، تم اختراق بث القناة التلفزيونية للهيئة الإذاعية والتلفزيونية لجمهورية إيران الإسلامية (IRIB) لعرض صور مؤيدة لإسرائيل ومعادية للحكومة الإيرانية. وزعمت الهيئة أن إسرائيل تقف وراء هذا الحادث.
من جانبها، أصبحت إسرائيل أيضاً هدفاً لمجموعات قرصنة مؤيدة للفلسطينيين مثل فريق “حنظلة”، الذي أدرج عدة منظمات إسرائيلية في موقعه لتسريب البيانات ابتداءً من 14 يونيو 2025. وشملت هذه المنظمات مجموعة “ديليك” (Delek Group)، و”واي جي نيو إيدان” (Y.G. New Idan)، و”إيرو دريمز” (AeroDreams).
تم تسجيل هجمات مماثلة، معظمها من قبل فرق قرصنة مثل “مستر حمزة” (Mr Hamza)، و”تييم 313″ (313 Team)، و”سايبر جهاد” (Cyber Jihad)، و”كي موس+” (Keymous+)، ضد نطاقات القوات الجوية الأمريكية، وشركات الطيران والدفاع الكبرى، والمؤسسات المالية، في أعقاب تفجيرات مواقع نووية إيرانية في 21 يونيو.
وتشمل الاتجاهات الأخرى الملحوظة في الحرب السيبرانية بين إيران وإسرائيل توحيد مجموعات القرصنة الأصغر لتشكيل كيانات موحدة مثل “المقاومة السيبرانية الإسلامية” (Cyber Islamic Resistance) أو “الجبهة السيبرانية الموحدة لفلسطين وإيران” (United Cyber Front for Palestine and Iran).
وفقاً لتقرير نشرته “ترست ويف سبايدر لابس” (Trustwave SpiderLabs) الأسبوع الماضي، فإن هذه “الاتحادات السيبرانية” ذات الانتماءات الفضفاضة تتشارك الموارد وتنسق الحملات، مما يعزز تأثيرها على الرغم من محدودية براعتها التقنية.
وسلطت الشركة الضوء أيضاً على مجموعة مؤيدة لإيران تُدعى “داينت” (DieNet)، والتي يُعتقد أنها تضم أعضاء ناطقين بالروسية ولها صلات بمجتمعات سيبرانية أخرى في أوروبا الشرقية، على الرغم من موقفها المؤيد لإيران وحماس. وأشارت إلى أن ما يميز “داينت” هو هويتها الهجينة، حيث تشير تحليلات لغوية لرسائلها، بالإضافة إلى الطوابع الزمنية والبيانات الوصفية وأنماط التفاعل، إلى أن جزءاً من المجموعة على الأقل يتواصل داخلياً باللغة الروسية أو يستخدم موارد باللغة السلافية.
ويشير هذا إلى ظاهرة أوسع من التعاون السيبراني عبر المناطق، حيث يحل الاصطفاف الأيديولوجي محل الحدود الجغرافية أو الوطنية.
وفي تحليل لنشاط القراصنة على تيليجرام بعد 13 يونيو، ذكرت “جروب – آي بي” (Group-IB) أن “داينت” كانت القناة الأكثر اقتباساً، حيث تم الاستشهاد بها 79 مرة. وبشكل عام، تم تسجيل أكثر من 5800 رسالة عبر قنوات قراصنة مختلفة بين 13 و20 يونيو.
وأوضحت “ترست ويف” أن نشر القدرات السيبرانية في سياق الحرب بين إيران وإسرائيل، بالإضافة إلى الأحداث الجيوسياسية الأخيرة المحيطة بصراعات حماس-إسرائيل وروسيا-أوكرانيا، يوضح كيف يتم دمج العمليات الرقمية بشكل متزايد لتكملة الإجراءات العسكرية، والتأثير على التصورات العامة، وتعطيل البنى التحتية الحيوية.
تحديث
أصبحت مجموعة قراصنة تُدعى “سايبر سكويد بنغلاديش” (Bangladesh Cyber Squad) أحدث المنضمين لنشاطات الإنترنت الخبيثة المتعلقة بالحرب بين إيران وإسرائيل، مما يرفع إجمالي عدد الكيانات المؤيدة لإيران إلى 95. ويُقدر عدد مجموعات القرصنة النشطة حالياً بحوالي 120، بما في ذلك تسع مجموعات قرصنة مؤيدة لروسيا تدعم إيران.