العربية.نت - قال موقع ياهو الإخباري إن السلطات السعودية ضبطت هجوماً سيبرانياً جديداً، يشتبه في أنه قادم من إيران في 29 ديسمبر، أي في ذات اليوم الذي ضرب فيه الجيش الأميركي أهدافاً خاضعة لسيطرة وكلاء مدعومين من إيران، وذلك رداً على هجوم صاروخي أسفر عن مقتل مقاول أميركي يوم الجمعة السابق لذاك التاريخ.

 

ووفقًا لتقرير تقني سعودي حصلت عليه ياهو نيوز فإن المسؤولين في الرياض – الذين أطلقوا على هذه البرمجيات الخبيثة اسم دستمان (Dustman) – لم ينسبوا ذاك الهجوم التخريبي مباشرةً إلى إيران. ومع ذلك، فوفقًا للخبراء الذين راجعوا التقرير الفني وقاموا بتحليل الدوافع وأوجه الشبه المحتملة لهجمات سابقة، فإن طهران هي المشتبه به الأرجح خلف ذاك الهجوم.

 

وقد استخدم الهجوم "الذي يمحو البيانات" - الذي حددته الهيئة السعودية الوطنية للأمن السيبراني – البرمجيات الخبيثة لمسح البيانات الرقمية التي تعود إلى أهداف مجهولة في الشرق الأوسط.

 

وبالرغم من أن هجوم "دستمان" الإيراني التخريبي قد وقع قبل الضربة الأميركية في 2 يناير، والتي قتلت قائد الحرس الثوري قاسم سليماني، إلا أنه يؤكد نوايا إيران السيبرانية الإرهابية. فقد حذر جهاز الأمن الداخلي الأميركي بعد مقتل سليماني من خطر زيادة الهجمات السيبرانية الإيرانية - وهي وسيلة رخيصة يمكن إنكارها، بحيث يمكن لطهران أن ترد بها دون إثارة حرب إطلاق نار شاملة.

 

ويكشف هجوم "دستمان" الخبيث وغيره من الهجمات السابقة، عن مدى الحرب السيبرانية البسيطة المستوى - وأحياناً المدمرة - التي شنتها إيران في الشرق الأوسط لفترة من الزمن، كما يكشف [هجوم "دستمان"] عن أدلةٍ حول التكتيكات والقدرات التي قد تعمد إيران إلى استخدامها في المستقبل.

 

ووفقاً للباحثين السعوديين، فإن هذه البرمجيات الخبيثة تعتبر نوعاً مختلفاً ممّا اكتشفه الفريق الاستخباراتي للكشف عن التهديدات إكس فورس (X-Force) التابع لشركة آي بي إم (IBM) والذي يطلق عليه اسم برمجية "زيرو كلير" الخبيثة (ZeroCleare)، وقد تم تفصيله في تقرير ديسمبر 2019.

 

وقال جون هولتكويست، مدير تحليل الاستخبارات في شركة استخبارات التهديدات السيبرانية في مقابلة له مع ياهو نيوز: "لقد كان هذا النشاط حياً وفي حالة جيدة بالشرق الأوسط". وقال إن إيران كانت تُنضج من قدرتها السيبرانية على مر السنين، لكننا "كنا نراقبهم".

 

وفي الوقت الذي غرّد فيه المدير بالإنابة لجهاز الأمن الداخلي الأميركي، تشاد وولف، بأنه "لا وجود لتهديد محدد وحقيقي"، يراقب المسؤولون الأميركيون الهجمات السيبرانية المحتملة عن كثب، وذلك بالنظر إلى سجل إيران.

 

ووفقًا للتقرير الفني من الهيئة السعودية الوطنية للأمن السيبراني، فإن المخترِق – الذي يرجّح أن يكون "دولة" – قد اخترق شبكة شرق أوسطية قبل عدة أشهر من اكتشافه. ثم في 29 ديسمبر فجّر المهاجم البرمجيات الخبيثة "على عجل" حسب وصف الكاتب.

 

وكتب المحققون السعوديون أن "الهجمات التي تمحو البيانات" عادةً ما يتم اختبارها قبل تنفيذها"، لكن هذه البرمجيات الخبيثة قد تم إعدادها قبل تنفيذ الهجوم "بدقائق" - وهو ما يعتبر تحولًا سريعًا بشكل غير عادي. وذكر أحد الباحثين في الأمن السيبراني أن سرعة الهجوم "تظهر النوايا والأولويات" ويمكن أن تشير إلى أن الغزاة كانوا قلقين من أن يتم اكتشافهم، أو "أن الهجمة المدمِّرة للبيانات قد استخدمت كرد انتقامي" للضربات الأميركية في 29 يناير.

 

إلا أن باحثًا آخر في مجال الأمن السيبراني يدرس حالة إيران قد حذّر من وجود خطر في ربط الأحداث المادية بالاستجابات الرقمية الفورية، وأشار إلى أن إعداد البرمجيات الخبيثة قبل استخدامها بفترة قصيرة قد لا يشير إلى المدة التي استغرقتها عملية التطوير أو سبب تنفيذها في لحظة محددة. ومن الممكن أن يكون التقرير السابق لشركة آي بي إم حول "زيرو كلير" قد جعل المهاجمين قلقين من فقدان إمكانية الوصول، فتابعوا.

 

وقال أحد الباحثين في مجال الأمن السيبراني إنه من غير الواضح منذ متى كانت هذه البرمجيات الخبيثة نشطة. كما قال الباحث - الذي يدرس البرمجيات الخبيثة - أنه ربما كان نشطًا منذ مارس.

 

أوجه التشابه مع شمعون الخبيثة

وفقاً للباحثين السعوديين، كان الهجوم يحمل بعض أوجه التشابه مع "شمعون (Shamoon)" وهي برمجيات خبيثة سيئة السمعة مرتبطة بإيران في 2012، وهذه البرمجيات الخبيثة الجديدة مشابهة لبرمجيات "زيرو كلير" إلى حدٍ كبير، مما يشير إلى أنها كانت نوعًا من متغيرات الشفرة الخبيثة نفسها التي تم اكتشافها من قبل شركة آي بي إم في وقت سابق بشهر ديسمبر، عوضًا عن كونه أسلوب هجوم جديدا كليا.

 

وربما استغل المهاجمون ثغرة لم يتم إصلاحها في برنامج للشبكة الافتراضية الخاصة (VPN)، متحصلين على معلومات حساسة ومتجاوزين بروتوكولات الأمن لشن الهجوم. وعلق أحد خبراء الأمن – طلب عدم الكشف عن هويته لمناقشة ملاحظاتهم – الذي يعمل بشكل متكرر مع القيادة السيبرانية للولايات المتحدة على أن الهجوم ليس متطوراً للغاية، وأن الحلول "الأساسية" قد تكون فعالة في بعض الأحيان.

 

ووفقًا لفريق إكس-فورس التابع لشركة آي بي إم، وهو الفريق المعني بجمع المعلومات الأمنية عن التهديدات الإلكترونية، فقد أثرت برمجيات زيرو كلير الخبيثة على قطاعي الطاقة والصناعة في الشرق الأوسط، وعلى الأرجح أنه تم نشرها من قبل مجموعات متعددة تدعمها الدولة في إيران. وكتب الباحثون في شركة آي بي إم في تقرير مفصل في ديسمبر " تم نشر "زيرو كلير" على العديد من الأجهزة على الشبكة المتأثرة، مما أدى إلى زرع بذور هجوم مدمر يمكن أن يؤثر على الآلاف من الأجهزة، ويسبب اضطرابًا قد يستغرق شهورًا للتعافي منه بالكامل".

 

وطور المخترقون الإيرانيون هجماتهم المدمرة التي تتميز بأسلوب "محو البيانات" بعد هجوم سيبراني أميركي إسرائيلي على أجهزة الطرد المركزي الإيرانية في منشأة تخصيب نطنز في عام 2010. وخلال الصيف، حذر كريس كريبس، كبير المسؤولين في المجال السيبراني في جهاز الأمن الداخلي، من "الارتفاع الأخير في النشاط السيبراني الخبيث الموجه ضد قطاعات الولايات المتحدة والوكالات الحكومية من قبل ممثلي ووكلاء النظام الإيراني" بما في ذلك الهجمات التي تمحو البيانات بالكامل.

 

وقد أدى قرار الولايات المتحدة بقتل سليماني إلى تكهنات بشأن ما قد تفعله إيران للرد. وينقسم باحثو الأمن السيبراني حول مسألة كيفية دمج إيران لمهاراتها الرقمية في الرد، بما في ذلك ما إذا كانت قدرات إيران متقدمة بما يكفي لإحداث ضرر دائم للبنية التحتية أو للقطاعات الأميركية.

 

وقال هولتكويست من شركة فاير آي عن قدرات إيران: "لا أعتقد أنهم سيتسببون في حالات انقطاع كهرباء. ومع ذلك، هذا لا يعني أن إيران لا يمكنها إلحاق الضرر". وذكر هولتسكويت، الذي تكهن بأن إيران قد تستهدف الشركات الأميركية، أن ذلك سيكون "حادثًا عامًا يؤثر على حياة الناس".

 

إيران تسلح قدراتها للتجسس والمراقبة

وقال هولتكويست لياهو نيوز إن هناك احتمالا خطيرا آخر، وهو قيام إيران بتسليح قدراتها للتجسس والمراقبة – التي أثبتت جدواها – في تعقب الأشخاص بشكل آني، أو تعقب السفن التي تسافر في المنطقة أو التحركات العسكرية. وأضاف: "لقد بدأوا ببطء في الوصول إلى مزودي خدمات الاتصالات وشركات السفر، وإذا استخدمت إيران تلك القدرات لاستهداف الأفراد، فإن ذلك يمثل تهديدًا إرهابيًا حقيقيًا".

 

وهناك احتمال آخر أقل ترجيحًا وهو أن تستهدف إيران نظام التحكم الصناعي أو أي جزء آخر من البنية التحتية الضعيفة داخل الولايات المتحدة، ولكن هذا سيتطلب عملية مخططًا لها منذ فترة طويلة واختراقًا مسبقًا إلى تلك الأنظمة، بدلاً من توجيه ضربة انتقامية سريعة.

 

هذا النوع من الهجوم ممكن، لكنه أقل احتمالًا في الوقت الحالي، وفقًا لباحث الأمن السيبراني الذي طلب عدم ذكر اسمه لمناقشة تفاصيل حساسة. وقال الباحث: "الهجوم العادي رخيص وسهل ولكن العمليات الحقيقية تستغرق وقتًا طويلًا، وإذا فعلوا شيئًا ما في محطة للكهرباء أو الماء أو الغاز، فمن المحتمل أن يكون ذلك بسبب وجود اختراق موجود بشكل مسبق لم ننتبه له".

 

قدرات إيران معروفة إلى حد ما، وتم بالفعل تسريب تفاصيل العمليات السيبرانية الإيرانية أو تم نشرها على الإنترنت خلال العام الماضي، مما سلط الضوء على أدواتها وتكتيكاتها. ونشرت القيادة السيبرانية للولايات المتحدة عدة أمثلة لبرمجيات خبيثة مرتبطة بإيران تقوم بفتح مصدر المواقع الشبكية، وأيضًا قام مصدر مجهول يتظاهر بأنه عميل سيبراني إيراني سابق بنشر المعلومات على الإنترنت حول الأدوات الرقمية للدولة القومية في أبريل الماضي.

 

ووفقًا لباحث الأمن السيبراني، ففي حين أن قدرات إيران السيبرانية طموحة، إلا أنها ليست تهديدًا كبيرًا للبنية التحتية الغربية. وقال الباحث: "بناءً على أدواتهم، وكل المعلومات الاستخباراتية التي قرأتها، فإن قدراتهم لا تتوافق مع تطلعاتهم".