أصدرت وكالات الأمن السيبراني والاستخبارات الأميركية، بما في ذلك وكالة الأمن السيبراني وأمن البنية التحتية (CISA) ومكتب التحقيقات الفيدرالي (FBI) ومركز جرائم الإنترنت التابع لوزارة الدفاع (DC3) ووكالة الأمن القومي (NSA)، تحذيراً مشتركاً من تزايد التهديدات السيبرانية التي تنفذها جهات مدعومة من الحكومة الإيرانية أو مرتبطة بها، لا سيما في ظل التوترات الجيوسياسية المتصاعدة في المنطقة.
تصعيد متوقع في الهجمات بسبب التوترات الإقليمية
أفاد البيان المشترك أن الأشهر الأخيرة شهدت نشاطاً متزايداً من قبل مجموعات هاكتفيست (ناشطين سيبرانيين) وجهات تابعة للحكومة الإيرانية، مع توقعات بتصاعد هذه الأنشطة نتيجة للأحداث الجارية. وأشارت الوكالات إلى أن هذه الجهات تستغل الثغرات الأمنية المعروفة في البرامج غير المحدثة أو الأجهزة المتصلة بالإنترنت التي لا تزال تستخدم كلمات مرور افتراضية أو شائعة.
ورغم عدم وجود دليل حالي على حملة سيبرانية منسقة منسوبة إلى إيران داخل الولايات المتحدة، إلا أن الجهات الأميركية المختصة دعت إلى اليقظة، خصوصاً في شركات قاعدة الصناعات الدفاعية (DIB) الأميركية، خاصة تلك التي لها صلات بشركات بحثية أو عسكرية إسرائيلية، نظراً لارتفاع احتمالات استهدافها.
وسائل الهجوم: أدوات كشف الأجهزة وهجمات الفدية
يعتمد المهاجمون على أدوات مثل Shodan لتحديد الأجهزة الضعيفة المتصلة بالإنترنت، وخصوصاً تلك العاملة ضمن بيئات نظم التحكم الصناعية (ICS). وبمجرد الدخول، يُستغل ضعف التقسيم الشبكي أو الجدران النارية السيئة التكوين للانتشار داخل الشبكة.
استخدمت المجموعات الإيرانية في السابق أدوات تحكم عن بعد (RATs)، ومسجلات لوحات المفاتيح (Keyloggers)، وحتى أدوات إدارية شرعية مثل PsExec وMimikatz لتوسيع صلاحياتها، مع تفادي آليات الدفاع التقليدية للأجهزة الطرفية.
وتشمل الأساليب المتبعة كذلك التخمين التلقائي لكلمات المرور، وفك تشفير بصمات المرور (Password Hash Cracking)، واستخدام كلمات المرور الافتراضية من المصنع لاختراق الأنظمة المكشوفة للإنترنت. كما رُصد استخدامها لأدوات هندسة الأنظمة والتشخيص لاختراق شبكات التكنولوجيا التشغيلية (OT).
استهداف إعلاميين وخبراء أمن معلومات في إسرائيل
في تطور منفصل، كشفت شركة Check Point مؤخراً أن مجموعة التجسس السيبراني الإيرانية المعروفة بـ APT35 استهدفت صحفيين وخبراء بارزين في مجال الأمن السيبراني وأساتذة جامعات في إسرائيل، ضمن حملة تصيّد موجه عبر رسائل مزيفة من Gmail وصفحات تسجيل دخول وهمية أو دعوات مزورة من Google Meet، بهدف سرقة بيانات حساباتهم.
توصيات لتعزيز الحماية
دعت الوكالات الأميركية المؤسسات إلى اتباع إجراءات وقائية فورية، منها:
-
فصل أصول نظم التحكم الصناعية (ICS وOT) عن الإنترنت العام
-
استخدام كلمات مرور قوية وفريدة، واستبدال أي كلمات مرور ضعيفة أو افتراضية، وتفعيل المصادقة متعددة العوامل (MFA)
-
اعتماد MFA مقاومة للتصيّد عند الدخول إلى شبكات OT من أي شبكة أخرى
-
تحديث جميع الأنظمة بالتصحيحات الأمنية الأخيرة
-
مراقبة سجلات دخول المستخدمين لاكتشاف الوصول عن بُعد غير المصرح به
-
إنشاء إجراءات في بيئات OT لمنع التغييرات غير المرخصة أو فقدان السيطرة على الأنظمة
-
إجراء نسخ احتياطي كامل للأنظمة والبيانات لتيسير الاسترداد في حال الهجمات
ومن الخطوات العملية للبدء، توصي الوكالات بمراجعة سطح الهجوم الخارجي أولاً: ما الأنظمة المكشوفة، وما المنافذ المفتوحة، وهل توجد خدمات قديمة لا تزال قيد التشغيل؟ يمكن استخدام أدوات مثل برنامج “النظافة السيبرانية” التابع لـ CISA أو أدوات مفتوحة المصدر مثل Nmap لتحديد المخاطر قبل أن يستغلها المهاجمون. كما يُنصح بمواءمة الدفاعات مع إطار MITRE ATT&CK لتحديد الأولويات وفقاً لتكتيكات التهديدات الواقعية.
ورغم الحديث عن وقف إطلاق نار مؤقت ومفاوضات جارية نحو حل دائم، شددت الوكالات الأميركية على أن الجهات الإيرانية والمجموعات المرتبطة بها قد تواصل تنفيذ أنشطة سيبرانية خبيثة في أي وقت.
