وكالات أمريكية تحذر من تصاعد الهجمات السيبرانية الإيرانية على البنية التحتية الحيوية وشبكات الدفاع والتشغيل

أصدرت وكالات الأمن السيبراني والاستخبارات الأمريكية تحذيراً مشتركاً حول احتمال تعرض البنى التحتية الحيوية لهجمات سيبرانية من جهات فاعلة تهديدية مدعومة من إيران أو تابعة لها. يأتي هذا التحذير في ظل تصاعد الأحداث الجيوسياسية الأخيرة.

تشير الوكالات إلى أن هذه الجهات تستغل غالباً الثغرات الأمنية الموجودة في البرمجيات غير المصححة أو القديمة، أو تعتمد على كلمات مرور افتراضية أو شائعة للوصول إلى الحسابات والأجهزة المتصلة بالإنترنت.

حتى الآن، لا يوجد دليل على وجود حملة سيبرانية خبيثة منسقة في الولايات المتحدة يمكن ربطها بإيران، وفقاً لوكالة الأمن السيبراني وأمن البنية التحتية (CISA)، ومكتب التحقيقات الفيدرالي (FBI)، ومركز جرائم الإنترنت التابع لوزارة الدفاع (DC3)، ووكالة الأمن القومي (NSA).

ومع ذلك، شددت الوكالات على أهمية “زيادة اليقظة”، خاصة تجاه شركات قاعدة الصناعات الدفاعية (DIB)، وتحديداً تلك التي لديها ارتباطات بشركات أبحاث ودفاع إسرائيلية، إذ تُعتبر هذه الشركات في خطر متزايد.

هجمات سيبرانية إيرانية تستهدف الشبكات التشغيلية

تشير التقارير إلى أن المهاجمين يبدأون عادةً بأدوات استطلاع لتحديد الأجهزة المعرضة للإنترنت، خاصة في بيئات أنظمة التحكم الصناعي (ICS). بمجرد اختراق الشبكة، يمكنهم استغلال ضعف التقسيم أو الأخطاء في تكوين جدران الحماية للتنقل داخل الشبكات. وقد استخدمت مجموعات إيرانية في السابق أدوات الوصول عن بعد (RATs)، وبرامج تسجيل المفاتيح، وحتى الأدوات الإدارية المشروعة لزيادة صلاحيات الوصول.

تعتمد الهجمات التي يشنها الفاعلون الإيرانيون، بناءً على حملات سابقة، على تقنيات مثل التخمين الآلي لكلمات المرور، وتحليل تجزئة كلمات المرور، واستخدام كلمات المرور الافتراضية للمصنعين للوصول إلى الأجهزة المكشوفة على الإنترنت. كما تم اكتشاف استخدام أدوات هندسية وتشخيصية للنظام لاختراق شبكات التكنولوجيا التشغيلية (OT).

تصاعد النشاط السيبراني في ظل التوترات الجيوسياسية

جاء هذا التطور بعد أيام من إصدار وزارة الأمن الداخلي الأمريكية (DHS) نشرة تحث المنظمات الأمريكية على الانتباه إلى احتمال وقوع “هجمات سيبرانية محدودة النطاق” من قبل نشطاء اختراق موالين لإيران، وسط التوترات الجيوسياسية المستمرة بين إيران وإسرائيل.

الأسبوع الماضي، كشفت شركة “تشيك بوينت” أن مجموعة القرصنة التابعة للدولة الإيرانية APT35 استهدفت صحفيين وخبراء أمن سيبراني بارزين وأساتذة علوم الكمبيوتر في إسرائيل، كجزء من حملة تصيد احتيالي مصممة لسرقة بيانات اعتماد حسابات Google الخاصة بهم باستخدام صفحات تسجيل دخول Gmail وهمية أو دعوات Google Meet.

تدابير الوقاية المقترحة

للتصدي لهذه التهديدات، تنصح الوكالات المنظمات باتخاذ الخطوات التالية:

• تحديد أصول التكنولوجيا التشغيلية (OT) وأنظمة التحكم الصناعي (ICS) وفصلها عن الإنترنت العام.
• التأكد من حماية الأجهزة والحسابات بكلمات مرور قوية وفريدة، واستبدال كلمات المرور الضعيفة أو الافتراضية، وتطبيق المصادقة متعددة العوامل (MFA).
• تطبيق MFA مقاومة للتصيد الاحتيالي للوصول إلى شبكات OT من أي شبكة أخرى.
• ضمان تشغيل الأنظمة بأحدث تصحيحات البرامج للحماية من الثغرات الأمنية المعروفة.
• مراقبة سجلات وصول المستخدمين للوصول عن بعد إلى شبكة OT.
• وضع عمليات OT تمنع التغييرات غير المصرح بها، أو فقدان الرؤية، أو فقدان التحكم.
• اعتماد نسخ احتياطية كاملة للنظام والبيانات لتسهيل الاستعادة.

بالنسبة للمنظمات التي تتساءل من أين تبدأ، فإن النهج العملي هو مراجعة سطح الهجوم الخارجي الخاص بها أولاً – ما هي الأنظمة المكشوفة، وما هي المنافذ المفتوحة، وهل لا تزال هناك خدمات قديمة قيد التشغيل. يمكن لأدوات مثل برنامج CISA Cyber Hygiene أو الماسحات مفتوحة المصدر مثل Nmap المساعدة في تحديد المخاطر قبل أن يصل إليها المهاجمون. كما أن مواءمة الدفاعات مع إطار MITRE ATT&CK يجعل من السهل تحديد أولويات الحماية بناءً على التكتيكات الواقعية التي يستخدمها الفاعلون.

بينما لا تزال المفاوضات جارية نحو حل دائم، قد تشن جهات فاعلة سيبرانية مدعومة من إيران ومجموعات القرصنة أنشطة سيبرانية خبيثة.

تحديثات وتقارير حديثة

كشف تقرير جديد لشركة Censys عن وجود 43,167 جهازا مكشوفا على الإنترنت من Tridium Niagara، و 2,639 من Red Lion، و 1,697 من Unitronics، و 123 من Orpak SiteOmat حتى يونيو 2025. ويبدو أن غالبية التعرض المتزايد المرتبط بـ Tridium Niagara موجودة في ألمانيا والسويد واليابان.

كما أشارت الشركة إلى أن كلمات المرور الافتراضية لا تزال توفر مساراً سهلاً للجهات الفاعلة التهديدية للوصول إلى الأنظمة الحيوية، وحثت المصنعين على تجنب شحن الأجهزة أو البرامج ببيانات الاعتماد الافتراضية، وبدلاً من ذلك، يتطلبون كلمات مرور قوية وفريدة، بالإضافة إلى توفير طرق لمنع كشف أنظمتهم مباشرة للإنترنت.

في حين أن Unitronics، التي تُلاحظ غالباً في أستراليا، فإن أعلى أرقام لهذه الأجهزة تُلاحظ في الولايات المتحدة. وعلى الرغم من أن Tridium Niagara تتمتع بأعلى أرقام التعرض، إلا أنها برنامج لبناء الأتمتة، وبالتالي قد لا تكون الأنظمة الأكثر قيمة للمهاجمين اعتماداً على هدفهم.

قالت شركة SOCRadar أن صراع إيران وإسرائيل لعام 2025 قد أدى إلى زيادة في النشاط السيبراني، مع الإبلاغ عن أكثر من 600 مطالبة بهجوم سيبراني عبر أكثر من 100 قناة على Telegram بين 12 و 27 يونيو 2025. وكانت إسرائيل هي الدولة الأكثر استهدافاً برصيد 441 مطالبة، تليها الولايات المتحدة (69)، والهند (34)، ودول الشرق الأوسط مثل الأردن (33) والمملكة العربية السعودية (13).

من بين أبرز مجموعات القرصنة خلال الفترة المذكورة: Mr Hamza، Keymous، Mysterious Team، Team Fearless، GARUDA_ERROR_SYSTEM، Dark Storm Team، Arabian Ghosts، Cyber Fattah، CYBER U.N.I.T.Y، و NoName057(16). وكانت الحكومات، وقطاعات الدفاع، والاتصالات، والخدمات المالية، والتكنولوجيا من بين الصناعات الأكثر استهدافاً.

منذ بدء الحرب، نشط القراصنة الذين ترعاهم الدول، ونشطاء القرصنة من كلا البلدين، وجهات فاعلة سيبرانية من دول غير مشاركة تتراوح من جنوب آسيا إلى روسيا وعبر الشرق الأوسط. وكانت إسرائيل الهدف الرئيسي لهجمات الحرمان من الخدمة (DDoS)، مع 357 مطالبة، تشكل 74% من إجمالي نشاط DDoS.

بالإشارة إلى الارتفاع الكبير في نشاط القرصنة وسط النزاع، ذكرت الباحثة في Outpost24 KrakenLabs، ليديا لوبيز سانز، أن أكثر من 80 مجموعة قرصنة متميزة “تقوم بنشاط أو تدعم” عمليات سيبرانية هجومية تستهدف إسرائيل وحلفائها، مضيفة أن كيانات القرصنة الوهمية المشتبه بها مثل Cyber Av3ngers، و Handala، و Predatory Sparrow من المرجح أن تعمل بدعم من الدولة أو بتوجيه مباشر من الدولة.

من بين مجموعات القرصنة التي أعربت عن تضامنها مع إيران: DieNet، Mysterious Team Bangladesh، Team Insane Pakistan، Z-Alliance، Server Killers، Akatsuki Cyber Team، GhostSec، Keymous+، Inteid، Anonymous Kashmir، و Mr Hamza Cyber Force.

يؤكد الارتفاع الكبير في عمليات القرصنة السيبرانية التي يقودها الناشطون عقب التصعيدات الجيوسياسية الأخيرة بين إسرائيل وإيران الدور المركزي المتزايد للصراع السيبراني ضمن الحروب الحديثة. لقد أظهر نشطاء القرصنة المتحفزون أيديولوجياً، إلى جانب العناصر الوهمية المحتملة التي ترعاها الدول، وعيهم واستعدادهم لاستغلال التوترات الجيوسياسية لتحقيق أهداف استراتيجية متنوعة.