قال موقع «مؤسسة الدفاع عن الديمقراطيات»: إن القراصنة والمتسللين السيبرانيين الإيرانيين خطرون، ليس لأنهم يمتلكون تقنيات معقدة بشكل فريد ولكن لأنهم أقل تجنبًا للمخاطر بشكل متزايد من الجهات الفاعلة الإلكترونية الأخرى، لافتا إلى أن الهجمات تمثل جهدا حكوميا كاملا نفذته الأجهزة العسكرية والاستخباراتية للنظام وأن المرشد علي خامنئي أعطى الإذن بذلك.

وتساءل مقال لـ «آني فيكسلر»: «لماذا لم تشن روسيا حتى الآن هجمات إلكترونية مدمرة كجزء من غزوها العسكري لأوكرانيا؟ ولماذا لم تنجح طهران في تنفيذ هجوم إلكتروني احتل العناوين الرئيسية ضد الولايات المتحدة في السنوات التالية على فرض إدارة ترامب عقوبات كبيرة على طهران ومقتل اللواء قاسم سليماني، قائد فيلق القدس بالحرس الثوري؟».

ومضت الكاتبة تقول: يعتبر السؤال عن سبب استخدام الخصوم للهجمات الإلكترونية وعدم استخدامها في ظروف معينة أمرًا مهمًا لفهم دور العمليات الإلكترونية في العقيدة الإستراتيجية للدولة.

وأردفت: مع ذلك، في حالة إيران، فإن التركيز فقط على العناوين الرئيسية يحجب الاتجاه المقلق لتحسن القدرات الإلكترونية لطهران وربما يكون قد أدى إلى اعتقاد صانعي السياسة بأن الجولات السابقة من العقوبات ولوائح الاتهام ضد النظام والمتسللين التابعين له قد ردعت إيران.

التقييم السنوي

وتواصل الكاتبة فيكسلر بمقالها قائلة: قالت المخابرات الأمريكية في فبراير في تقييمها السنوي للتهديدات، إن مجموعات المتسللين المتباينة ولكن المتداخلة في بعض الأحيان والتي تعمل بتوجيه من وزارة المخابرات الإيرانية والحرس الثوري الإيراني تُظهر «خبرة متنامية».

وأضافت: خلص التقييم إلى أن إيران تتخذ «مقاربة انتهازية» للعمليات السيبرانية، لا سيما تلك التي تستهدف البنية التحتية الحيوية للولايات المتحدة وحلفائها.

واستطردت: على سبيل المثال، يؤكد الخبراء في أنظمة التحكم الصناعية (ICS)، أي أنظمة الكمبيوتر التي تتحكم في البنية التحتية الحيوية، أن المتسللين الإيرانيين يفتقرون إلى القدرات الخاصة بهذا النوع من أنظمة التحكم، لكن ذلك لم يمنعهم من محاولة شن هجمات باستخدام وسائل أخرى.

ومضت تقول: أظهر هجوم برامج «الفدية» الروسية على خط أنابيب «كولونيال» منذ ما يقرب من عام تقريبًا أن المهاجمين لا يحتاجون إلى قدرات خاصة بهذه النوعية من النظم لإحداث اضطراب هائل في البنية التحتية الحيوية.

وتابعت: كما كشفت حكومات الولايات المتحدة والمملكة المتحدة وأستراليا أواخر العام الماضي، أن المتسللين الذين ترعاهم الحكومة الإيرانية يستهدفون شبكات الأعمال غير المسبوقة لمشغلي البنية التحتية الحيوية باستخدام نقاط الضعف منذ ما يصل إلى 3 سنوات وثغرة أمنية في «مايكروسوفت اكستشنج» ظهرت في الصفحة الأولى العناوين الرئيسية في أوائل عام 2021 لشدتها وحجمها.

وأردفت: خلصت الحكومات الثلاث إلى أن هؤلاء المتسللين يستهدفون بنشاط شركات الرعاية الصحية والصحة العامة الأمريكية والشركات في صناعات أخرى، ليس لسبب إستراتيجي معيّن، ولكن لأن هذه الشركات لا تزال صيدا سهلا عندما لا تقلص من نقاط الضعف المعروفة في أنظمتها.

متسللون إيرانيون

ويضيف موقع «مؤسسة الدفاع عن الديمقراطيات»: بالمثل، في أوائل 2022، اكتشف باحثون في شركة Checkpoint لاستخبارات التهديدات الإلكترونية متسللين إيرانيين يعملون لصالح الحرس الثوري كانوا يستغلون ضعف أداة البرمجة Log4j الذي تم الإبلاغ عنه على نطاق واسع لشن هجمات ضد ضحايا غير محددين، إنهم ليسوا أول المتسللين الذين يستفيدون من هذه الثغرة الأمنية، لكنها منتشرة عبر آلاف الأنظمة لدرجة أنها وسيلة ناضجة للهجوم.

وبحسب الكاتبة، فإن كون المتسللين الإيرانيين انتهازيين لا يعني أنهم غير متعمدين.

وأردفت: في تقييم نوفمبر 2021 للقدرات السيبرانية الإيرانية، قررت شركة «مايكروسوفت» أن المتسللين في طهران يظهرون مزيدًا من الصبر والمثابرة.

وتابعت: في حين أن العملاء أرسلوا سابقًا رسائل بريد إلكتروني جماعية غير مرغوب فيها تحتوي على مرفقات ضارة، فإنهم يستخدمون الآن تكتيكات فردية، وغالبًا ما تكون ناجحة.

وأردفت: أصبحت طهران أيضًا أكثر خطورة، حيث حاول قراصنتها القيام بالهجمات الإلكترونية التي تذكّرنا بالعمليات التي تم نشرها بنجاح من قبل أعداء آخرين للولايات المتحدة.

واستطردت: بعد مشاهدة الارتباك الذي تسببت به عمليات التضليل الروسية في انتخابات 2016، حاولت إيران إجراء عملياتها الخاصة خلال الانتخابات الرئاسية لعام 2020.

وأشارت إلى أن مجتمع الاستخبارات الأمريكية خلص بثقة عالية إلى أن المرشد علي خامنئي أعطى الإذن بالحملة وأن الأجهزة العسكرية والاستخباراتية الإيرانية نفذتها، واصفًا العملية بأنها جهد حكومي كامل.

ومضت تقول: في غضون ذلك، بدأت إيران في شن هجمات إلكترونية على سلاسل التوريد، وهو تكتيك شائع للمتسللين الصينيين والروس، من أجل اختراق عشرات أو مئات الشركات.

طرف ثالث

وأوضحت آني فيكسلر في المقال، أن هذه الهجمات تستلزم اختراق بائع موثوق به أو مزود خدمة مُدار أو طرف ثالث لديه وصول مباشر للشبكة، من أجل الوصول إلى أنظمة الضحية.

وأضافت: في إحدى العمليات في 2020، اخترق قراصنة إيرانيون شركة لوجستية في إسرائيل، إلى جانب شركات أخرى في قطاعي اللوجستيات والاستيراد، بعد ذلك، استخدم المتسللون قائمة عملاء Amital ومعلومات تسجيل الدخول لاختراق 40 شركة أخرى.

وبحسب الكاتبة، يشير مزيج التفاصيل الفنية ونقص برامج الفدية أو طلبات الابتزاز إلى عملية إيرانية تتماشى مع مصالح طهران، إن لم يكن بتكليف مباشر من النظام.

وأردفت: ينبغي أن تؤدي انتهازية إيران وقدراتها الإلكترونية المتطورة إلى زيادة الاستثمار في الدفاع السيبراني، يجب على الولايات المتحدة وحلفائها حرمان المتسللين الإيرانيين من الفرص التي يمكنهم استغلالها.

واستدركت: لكن الدفاعات السيبرانية القوية وحدها قد لا تكون كافية لوقف طهران.

وأردفت: أخذت إسرائيل المحاولة على محمل الجد لدرجة أنها ردّت بشن عملية إلكترونية تسببت في توقف أحد الموانئ الإيرانية الرئيسية عن العمل.

وبحسب الكاتبة، كان النظام في طهران يفهم بالتأكيد أن الانتقام الإسرائيلي سيكون حتميًا، لا سيما إذا نجح قراصنتها في التسبب في أزمة صحية عامة، لكنه اختار إطلاق العملية.

وتابعت: بالتالي، فإن المتسللين الإيرانيين خطرون ليس لأن لديهم تقنيات متطورة بشكل فريد، ولكن لأنهم أقل تجنبًا للمخاطر بشكل متزايد من الجهات الفاعلة الإلكترونية الأخرى.

وأضافت: مع وجود معلومات استخبارية ورؤى ثاقبة في تفكير طهران، قد تكون الولايات المتحدة وحلفاؤها قادرين على استباق أو تعطيل الأنشطة الأكثر خطورة والأكثر خطورة لمخترقيها. ومع ذلك، قد تكون نتيجة قلة الاستثمار مفاجأة إستراتيجية عندما تستغل طهران فرصة لشن هجوم مدمر على الولايات المتحدة وحلفائها.