أصدرت وكالات الاستخبارات والأمن السيبراني الأميركية تحذيرًا جديدًا يؤكد أن جهات تهديد مرتبطة بإيران تشن هجمات ضد أجهزة التحكم المنطقي القابلة للبرمجة (PLCs) المكشوفة على الإنترنت، ما أدى إلى تعطيل وظائف تشغيلية في قطاعات حيوية مثل المياه والطاقة والخدمات الحكومية. هذه الهجمات تمثل تصعيدًا في الحرب السيبرانية بين إيران والولايات المتحدة وحلفائها.
طبيعة الهجمات
وفقًا لمكتب التحقيقات الفيدرالي (FBI)، أدت هذه الهجمات إلى تقليل وظائف الـ PLC، التلاعب ببيانات العرض، وأحيانًا تعطيل العمليات والتسبب بخسائر مالية. استهدفت الحملة أجهزة Rockwell Automation وAllen-Bradley PLCs، بما في ذلك CompactLogix وMicro850، عبر استغلال برمجيات مثل Studio 5000 Logix Designer لإنشاء اتصال مقبول مع الأجهزة المستهدفة.
آلية الاختراق
بعد الحصول على الوصول الأولي، نشر المهاجمون برنامج Dropbear SSH على الأجهزة لتمكين الوصول عن بُعد عبر المنفذ 22، مما سمح لهم باستخراج ملفات المشروع والتلاعب ببيانات واجهات HMI وSCADA. هذه الخطوة وفرت لهم القدرة على التحكم في العمليات الصناعية الحساسة بشكل مباشر.
خلفية التصعيد
ليست هذه المرة الأولى التي تستهدف فيها جهات إيرانية أجهزة التحكم الصناعية. ففي أواخر 2023، ارتبطت مجموعة Cyber Av3ngers (المعروفة أيضًا باسم Hydro Kitten وUNC5691) باستغلال أجهزة Unitronics PLCs في هجوم استهدف هيئة المياه في بلدة عليكويبا بولاية بنسلفانيا، حيث تم اختراق 75 جهازًا على الأقل. ويؤكد خبراء مثل Sergey Shykevich من Check Point أن هذه الهجمات ليست جديدة، بل هي جزء من نمط متسارع يستهدف البنية التحتية الحيوية في الولايات المتحدة وإسرائيل.
البعد الاستراتيجي
تشير تقارير DomainTools Investigations (DTI) إلى أن مجموعات مثل Homeland Justice وKarmaBelow80 وHandala Hack ليست كيانات منفصلة، بل واجهات عملياتية ضمن منظومة واحدة مرتبطة بوزارة الاستخبارات والأمن الإيرانية (MOIS). هذه المجموعات تعمل كأدوات تأثير سيبراني موجهة، حيث يتم دمج العمليات التقنية مع التلاعب الإعلامي لتحقيق أهداف استراتيجية.
أدوات إضافية مرتبطة بالحملة
- مجموعة MuddyWater الإيرانية استخدمت برمجيات خبيثة مثل CastleRAT وChainShell وTsundere، ما يعكس اعتمادًا متزايدًا على أدوات جاهزة من السوق السوداء.
- بعض البرمجيات مثل ChainShell تعتمد على العقود الذكية في شبكة Ethereum للحصول على عناوين C2، مما يعقد عملية التتبع.
- هذا الدمج بين أدوات الجريمة الإلكترونية والقدرات الحكومية يعكس تطورًا في التكتيكات الإيرانية، حيث يتم الجمع بين الاستهداف الاستراتيجي وأدوات هجومية تجارية.
توصيات الحماية
الوكالات الأميركية نصحت المؤسسات بتطبيق الإجراءات التالية:
- تجنب كشف أجهزة PLC على الإنترنت.
- منع التعديلات عن بُعد عبر مفاتيح مادية أو برمجية.
- تفعيل المصادقة متعددة العوامل (MFA).
- وضع جدار ناري أو وكيل شبكة أمام أجهزة PLC للتحكم في الوصول.
- تحديث الأجهزة بشكل دوري وتعطيل ميزات المصادقة غير المستخدمة.
- مراقبة حركة المرور لرصد أي نشاط غير اعتيادي.
