رفعت جهات تشغيل البنى التحتية الحيوية في الولايات المتحدة مستوى التأهب تحسبًا لرد سيبراني مدعوم من إيران بعد الضربات العسكرية الأخيرة التي اغتالت المرشد الإيراني علي خامنئي وعددًا من كبار المسؤولين، حسب تقرير نشره موقع أكسيوس الأمريكي.
ويأتي هذا التحذير، وفقًا للتقرير، في ضوء هجمات سابقة لفاعلين إيرانيين، من بينهم جهات موالية للنظام الإيراني وأخرى غير معلوم انتمائها، استهدفت أنظمة أمريكية حساسة مثل المياه والغاز حتى خارج سياقات الحرب المفتوحة.
ونقل التقرير عن شركة CrowdStrike الأمريكية المتخصصة في الأمن السيبراني، والمعنية بالعمل على حماية المؤسسات وأجهزتها وشبكاتها من الاختراق، أن جماعات موالية لإيران وأخرى تصف نفسها بـالـ"هاكتيفيست" وهو مصطلح ناتج عن دمج كلمتي "هاكر" و"ناشط" وهم نشطاء ومجموعات قرصنة توظّف الاختراقات والهجمات الرقمية لأهداف سياسية أو أيديولوجية، كثّفت نشاطها ضد أهداف في الشرق الأوسط والولايات المتحدة وأجزاء من آسيا عقب ضربات 28 فبراير.
ومن بين التهديدات، أورد التقرير، ما نوهت عنه مجموعة Hydro Kitten الموالية للحرس الثوري الإيراني من نوايا لاستهداف القطاع المالي.
وفي تقييم لمستوى الخطر، نقل التقرير عن الجنرال المتقاعد بول ناكاسون، الرئيس السابق ـوكالة الأمن القومي الأمريكية والقيادة السيبرانية، وصفه للقدرات السيبرانية الإيرانية بأنها "قوة معادية شديدة تستدعي يقظة وطنية مستمرة".
ويرجّح خبراء استشهد بهم التقرير أن الأسابيع التالية قد تشهد زيادة في الهجمات الموزعة لحجب الخدمة (DDoS)، وهي عمليات تستهدف تعطيل الخدمات بحركة مرور وهمية لتهديد أمن وسمعة الشركات، عوضًا على نشر البيانات الشخصية وتسريبات بيانات، مع بقاء احتمال وقوع اختراقات أعلى أثرًا قائمًا، خصوصًا ضد قطاعات الطاقة والمياه والنقل والاتصالات.
ويزيد التقرير من مستوى الخطر المنتظر حال شن هذه الهجمات، بالنظر إلى تزامن "التهديد السيبراني" مع أزمة تمويل وإغلاق تعاني منها وزارة الأمن الداخلي ووكالة الأمن السيبراني وأمن البنية التحتية تحديدًا، إذ تعمل الوكالة بنحو 38% من طاقتها البشرية خلال الإغلاق، وسط تحذيرات سياسية من أن الخصوم قد يستغلون أي ثغرة مُتاحة.
تحوطات
كما أورد التقرير أن شركة SentinelOne الأمريكية المتخصصة في الأمن السيبراني، أرسلت يوم اندلاع الحرب إلى عملائها وشركائها مذكرة قالت فيها إن النشاط السيبراني الإيراني من مجموعات يُعتقد أنها مرتبطة بإيران بشكل غير مباشر State-adjacent مرشح للتصاعد قريبًا، مع تركيز محتمل على الولايات المتحدة وإسرائيل وحلفائهما، وبصورة خاصة القطاعات الأكثر حساسية مثل الحكومة والبنية التحتية الحيوية والدفاع والخدمات المالية والجامعات والإعلام.
ومع ذلك، حرصت المذكرة نفسها على عدم المبالغة في تقدير الإمكانيات التقنية لإيران والمجموعات المؤيدة لها ، مؤكدة أنها لم ترصد نشاطًا خبيثًا كبيرًا بشكل مباشر إلى التطورات الأخيرة، وإنها لا تملك مؤشرات على أن الشركة أو عملاءها يتعرضون لاستهداف محدد بسبب تلك الأحداث، في إشارة إلى أن الكثير من الضجيج المصاحب للحروب قد يسبق الأدلة التقنية الواضحة أو يأتي دونها.
حسب تقديرات SentinelOne، يمكن أن يتحرك الرد السيبراني الإيراني عبر عدة مسارات متوازية، أولها استهداف شبكات حكومية أو دفاعية أو دبلوماسية عبر رسائل تصيّد موجهة وسرقة بيانات حساسة للوصول إلى البريد والملفات ومنصات العمل، ثم التركيز على جمع المعلومات وتغذية القرار السياسي والعسكري بدلًا من تفجير الأنظمة فورًا، وهو نمط اعتبرت الشركة أنه مرشح للتوسع ضد مؤسسات أمريكية وإسرائيلية على وجه الخصوص.
أما المسار الثاني فهو التعطيل والتدمير، حيث رجّحت الشركة احتمال اللجوء إلى هجمات تحجب الخدمات أو تُسقط أنظمة عامة متاحة للجمهور، مع خطر تصاعد استخدام ما يُعرف ببرمجيات المسح/ wiper malware؛ وهي أدوات لا تهدف لابتزاز الضحية عبر التشفير كما تفعل بعض برمجيات الفدية، بل تُصمم أساسًا لإتلاف البيانات أو محوها وإخراج الأنظمة من الخدمة، ما يجعل الاستعادة مكلفة وقد تكون مستحيلة إذا كانت النسخ الاحتياطية غير سليمة.
وحذرت الشركة المعنية بكشف الهجمات السيبرانية، من مسار ثالث وهو التضليل وحرب المعلومات "بحيث قد لا يكون الهدف إسقاط شبكة كهرباء بقدر ما هو إسقاط الثقة في المعلومات عبر تضخيم أو فبركة روايات عن خسائر عسكرية، أو تسريب وثائق مسروقة بعد العبث بها، أو الادعاء بتنفيذ اختراقات كبرى بلا دليل لإظهار الخصم عاجزًا أمام جمهوره وإرباك النقاش العام".
وفي المسار الرابع، تحدثت الشركة عن هجمات استطلاعية على البنية التحتية، وهي محاولات منخفضة الأثر تقنيًا لكنها عالية الأثر إعلاميًا مثل الوصول إلى واجهات تحكم مكشوفة أو خدمات ضعيفة الحماية مرتبطة بالمياه والطاقة والنقل أو مورديها، ثم نشر لقطات أو رسائل لإثبات القدرة على الاقتراب من خطوط حيوية حتى إن لم تقع أضرار فورية كبيرة.
ومن جانبها، حذّرت Sophos (شركة أمن سيبراني تُطوّر برامج وخدمات تساعد المؤسسات على حماية أجهزتها وشبكاتها من الاختراق والبرمجيات الخبيثة، ورصد الهجمات والاستجابة لها) من أن فترات التصعيد العسكري المباشر في المنطقة غالبًا ما ترفع منسوب القلق من نشاط سيبراني تقوده جهات موالية للدولة الإيرانية أو مجموعات مؤدلجة.
لكن الشركة أوضحت أنه رغم طفرة في ضجيج الهاكتيفزم على قنوات مثل تليجرام وإكس بعد ضربات 28 فبراير، خصوصًا من شخصيات ومجموعات موالية لإيران مثل Handala Hack وAPTIran، فإن النشاط المرصود حتى 2 مارس/آذار تمحور غالبًا حول هجمات تعطيل خدمة (DDoS) وتشويه مواقع وادعاءات اختراق غير موثقة تطال بنى إسرائيلية.
وأضافت أن كثيرًا من الإنجازات المعلنة عبر التواصل الاجتماعي تبقى دون تحقق، وأن جماعات ناشئة أو قديمة مثل Cyber Toufan وغيرها تميل إلى تكتيكات بسيطة وادعاءات واسعة، ما يستدعي، وفق توصيتها، تمييزًا صارمًا بين الادعاءات والاختراقات المؤكدة، مع رفع الجاهزية ضد تعطيل الخدمة، وهجمات كلمات المرور، وحملات الاختراق والتسريب، وبرامج الفدية.
وإزاء ذلك كله، رفعت أجهزة إنفاذ القانون الفيدرالية والمحلية في أنحاء الولايات المتحدة، مستوى التأهب تحسبًا لردّ إيراني عقب الضربات الأمريكية والإسرائيلية داخل إيران، طبقًا لما نقلته محطة ABC7 Chicago.
ونقلت المحطة عن جيك براون، المستشار السابق لوزارة الأمن الداخلي ورئيس مبادرة سياسات الأمن السيبراني في جامعة شيكاغو، توقعه أن تشمل أي موجة هجمات محتملة أنماطًا "سبق لإيران استخدامها"، مثل استهداف القطاع المصرفي والأنظمة المرتبطة بسلاسل إمداد النفط وقطاعات من البنية التحتية الحيوية كالمياه، فضلًا عن حملات تضليل وتأثير مرتبطة بالانتخابات، محذرًا من أن نقاط الضعف غالبًا ما تكمن في أنظمة قديمة أو غير مُحدَّثة.
فيما أعلن جريج أبوت حاكم تكساس رفع مستوى الجاهزية الرقمية في الولاية تحسبًا لأي ردّ إيراني محتمل على الضربات الأميريكية، مشيرًا إلى أن خطة التأمين تتضمن تعزيز قدرات الأمن السيبراني لدى الجهات المعنية في تكساس إلى جانب إجراءات الحماية الأخرى.
