إيران تسرع وتيرة العمليات السيبرانية ضد إسرائيل

07-10-2024 10:27 AM - عدد القراءات : 120
كتب كلينت واتس شركة ميكروسوفت
منذ أن هاجمت حماس إسرائيل في أكتوبر/تشرين الأول 2023، شنت جهات محسوبة على الحكومة الإيرانية سلسلة من الهجمات الإلكترونية وعمليات التأثير بهدف مساعدة قضية حماس وإضعاف إسرائيل وحلفائها السياسيين وشركائها التجاريين. وكانت العديد من العمليات التي نفذتها إيران مباشرة بعد السابع من أكتوبر/تشرين الأول متسرعة وفوضوية ــ وهو ما يشير إلى أنها لم تنسق مع حماس أو كان لديها تنسيق ضئيل ــ ولكنها مع ذلك حققت نجاحا متزايدا. وهناك أربع نتائج بارزة:
إيران تسرع وتيرة العمليات السيبرانية ضد إسرائيل
لقد ارتفعت نسبة الزيارات إلى المواقع الإخبارية التي تديرها الدولة الإيرانية أو التابعة لها بنسبة 42% في الأسبوع الأول من الحرب. وحتى بعد مرور ثلاثة أسابيع، ظلت هذه الزيارات أعلى بنسبة 28% من مستويات ما قبل الحرب.
  • وعلى الرغم من مزاعم إيران المبكرة، فإن العديد من "الهجمات" في الأيام الأولى من الحرب كانت إما "تسريبًا" لمواد قديمة، أو استخدام الوصول المسبق إلى الشبكات، أو كانت كاذبة.
  • لقد تزايد نشاط إيران بسرعة من تسع مجموعات تتبعها شركة مايكروسوفت وتعمل في إسرائيل خلال الأسبوع الأول من الحرب إلى 14 مجموعة بعد أسبوعين من بدء الحرب. كما ارتفعت عمليات التأثير التي تتم عبر الإنترنت من عملية واحدة تقريبًا كل شهرين في عام 2021 إلى 11 عملية في أكتوبر 2023 وحده.
  • ومع تقدم الحرب، وسعت الجهات الفاعلة الإيرانية نطاقها الجغرافي ليشمل شن هجمات على ألبانيا والبحرين والولايات المتحدة. كما زادت من تعاونها، الأمر الذي أتاح لها مزيداً من التخصص والفعالية.
  • في بعض النواحي، يبدو أن عمل إيران في دعم حماس يتعلق بمظهر التأثير على الساحة العالمية بقدر ما يتعلق بالتأثير الملموس. وبينما نتطلع إلى الانتخابات الرئاسية الأميركية في عام 2024، فإن الأنشطة الإيرانية قد تبني على ما حدث في عام 2020 عندما انتحلوا صفة المتطرفين الأميركيين وحرضوا على العنف ضد المسؤولين الحكوميين الأميركيين.

تم أخذ هذه الأفكار من أحدث تقرير نصف سنوي عن إيران من مركز تحليل التهديدات التابع لشركة مايكروسوفت (MTAC) بعنوان " إيران تزيد من عمليات التأثير عبر الإنترنت لدعم حماس" .

من البداية التفاعلية إلى تضافر الجهود

وعلى النقيض من بعض ادعاءات وسائل الإعلام الحكومية الإيرانية، كان الجهات الفاعلة في مجال الإنترنت والإعلام والاتصالات الإيرانية تفاعلية في المرحلة الأولية من الحرب بين إسرائيل وحماس. ولاحظ مركز أبحاث الأمن الإلكتروني أن وسائل الإعلام الحكومية الإيرانية أصدرت تفاصيل مضللة عن الهجمات المزعومة، وأن الجماعات الإيرانية أعادت استخدام مواد مؤرخة من عمليات تاريخية وبالغت في النطاق الإجمالي وتأثير الهجمات الإلكترونية المزعومة. وبعد ثلاثة أشهر، تشير غلبة البيانات إلى أن الجهات الفاعلة في مجال الإنترنت الإيرانية كانت تفاعلية، حيث زادت بسرعة من عملياتها السيبرانية والتأثيرية بعد هجمات حماس لمواجهة إسرائيل.

منذ اندلاع الحرب بين إسرائيل وحماس في السابع من أكتوبر/تشرين الأول، زادت إيران من عمليات نفوذها وجهودها في القرصنة ضد إسرائيل، مما أدى إلى خلق بيئة تهديد "تتطلب تدخل الجميع". كانت هذه الهجمات تفاعلية وانتهازية في الأيام الأولى من الحرب، ولكن بحلول أواخر أكتوبر/تشرين الأول، كانت كل جهات نفوذها والجهات الفاعلة السيبرانية الرئيسية تستهدف إسرائيل. أصبحت الهجمات السيبرانية أكثر استهدافًا وتدميرًا، وأصبحت حملات المعلومات والاتصالات أكثر تعقيدًا وزيفًا، ونشرت شبكات من حسابات "دمى الجورب" على وسائل التواصل الاجتماعي.

أوقفت إيران خدمات التلفزيون بتقارير إخبارية كاذبة باستخدام مذيع تم إنشاؤه بواسطة الذكاء الاصطناعي

في أوائل ديسمبر 2023، أوقفت إيران خدمات البث التلفزيوني واستبدلتها بفيديو إخباري مزيف يظهر فيه مذيع أخبار تم إنشاؤه بواسطة الذكاء الاصطناعي على ما يبدو. كان هذا أول عملية تأثير إيرانية تكتشفها مايكروسوفت حيث لعب الذكاء الاصطناعي عنصرًا رئيسيًا في رسائلها وهو مثال واحد على التوسع السريع والهام في نطاق العمليات الإيرانية منذ بدء الصراع بين إسرائيل وحماس. وصل التعطيل إلى الجماهير في الإمارات العربية المتحدة والمملكة المتحدة وكندا.

تعطيل بث البرامج التلفزيونية باستخدام جهاز بث تم إنشاؤه بواسطة الذكاء الاصطناعي

وسائل الإعلام التابعة للدولة الإيرانية تحقق نجاحًا كبيرًا في الدول الناطقة باللغة الإنجليزية والتي ترتبط بتحالف وثيق مع الولايات المتحدة

يراقب مؤشر الدعاية الإيرانية (IPI) التابع لمختبر الذكاء الاصطناعي لصالح مايكروسوفت نسبة حركة المرور التي تزور منافذ الأخبار والمضخمات التابعة للدولة الإيرانية مقارنة بالحركة الإجمالية على الإنترنت. في الأسبوع الأول من الصراع، لاحظنا زيادة بنسبة 42?. كانت هذه الزيادة واضحة بشكل خاص في الولايات المتحدة وحلفائها الناطقين باللغة الإنجليزية (المملكة المتحدة وكندا وأستراليا ونيوزيلندا)، مما يشير إلى قدرة إيران على الوصول إلى الجماهير الغربية بتقاريرها عن صراعات الشرق الأوسط. في حين كان هذا النجاح أقوى في الأيام الأولى من الحرب، إلا أن نطاق هذه المصادر الإيرانية بعد شهر واحد من الحرب ظل أعلى بنسبة 28? من مستويات ما قبل الحرب على مستوى العالم.

مراحل عمليات التأثير السيبراني الإيرانية في الحرب بين إسرائيل وحماس

لقد مرت العمليات السيبرانية الإيرانية في الحرب بين إسرائيل وحماس بثلاث مراحل منذ السابع من أكتوبر/تشرين الأول.

 

المرحلة 1: رد الفعل والتضليل

وقد شهدت المرحلة الأولى مزاعم مضللة من جانب وسائل الإعلام الحكومية الإيرانية. ومن الأمثلة على ذلك وكالة أنباء تسنيم التابعة للحرس الثوري الإيراني التي زعمت أن مجموعة تسمى "المنتقمون السيبرانيون" شنت هجمات إلكترونية ضد محطة طاقة إسرائيلية "في نفس الوقت" الذي شنت فيه حماس هجماتها. وزعمت مجموعة "المنتقمون السيبرانيون" نفسها (التي يديرها الحرس الثوري الإيراني أيضًا على الأرجح) أنها هاجمت شركة كهرباء إسرائيلية في الليلة التي سبقت هجمات حماس. ومع ذلك، لم يكن دليلها سوى تقارير صحفية صدرت قبل أسابيع عن انقطاع التيار الكهربائي "في السنوات الأخيرة" ولقطة شاشة لتعطل موقع الشركة على الإنترنت دون تاريخ محدد.

وفي مكان آخر، قامت مجموعة أخرى من الشخصيات الإلكترونية، تُدعى "فريق مالك"، والتي تقدر MTAC أنها تابعة لوزارة الاستخبارات والأمن الإيرانية، بتسريب بيانات شخصية من جامعة إسرائيلية في الثامن من أكتوبر/تشرين الأول. ولم يكن لذلك صلة بالصراع الدائر في غزة بخلاف بعض الوسوم المستخدمة على موقع X (تويتر سابقًا) لدعم حماس. وهذا يشير إلى أن الهدف كان انتهازيًا ومن المرجح أنه كان يتمتع بإمكانية الوصول إلى البيانات مسبقًا.

المرحلة الثانية: كل الأيدي على سطح السفينة

وبحلول منتصف أكتوبر/تشرين الأول وحتى أواخره، بدأت المرحلة الثانية في الظهور. وقد شهد هذا ارتفاع عدد المجموعات النشطة في إسرائيل والتي تتبعها مايكروسوفت من تسع مجموعات في الأيام الأولى إلى 14 مجموعة بحلول اليوم الخامس عشر. وفي بعض الأحيان، كانت مجموعات إيرانية متعددة تستهدف نفس المنظمة أو القاعدة العسكرية في إسرائيل بنشاط إلكتروني أو نفوذ. وهذا يشير إلى التنسيق، أو الأهداف المشتركة المحددة في طهران، أو كليهما.

وعلاوة على ذلك، تسارعت وتيرة استخدام عمليات التأثير السيبراني ضد إسرائيل بشكل كبير. وأظهرت إيران تفضيلها لمثل هذه الهجمات في عام 2022 عندما زادت وتيرة مثل هذه العمليات من كل شهرين تقريبًا إلى عمليات متعددة شهريًا. ويمثل تنفيذ إيران 10 عمليات سيبرانية ضد إسرائيل في أكتوبر/تشرين الأول نقطة ارتفاع جديدة. وكان هذا ضعف أعلى مستوى سابق بلغ ست عمليات شهريًا في نوفمبر/تشرين الثاني 2022، على الرغم من أن هذه الهجمات السابقة شملت عمليات استهدفت أربع دول.

وقد حدث أحد الأمثلة في 18 أكتوبر/تشرين الأول عندما استخدمت مجموعة شهيد كافيه التابعة للحرس الثوري الإيراني برامج فدية مخصصة لتنفيذ هجمات إلكترونية ضد كاميرات المراقبة في إسرائيل. ثم استخدمت إحدى شخصياتها الإلكترونية، "جنود سليمان"، لتزعم كذباً أنها حصلت على فدية مقابل كاميرات المراقبة والبيانات في قاعدة نيفاتيم الجوية. ويكشف فحص لقطات المراقبة التي سربها جنود سليمان أنها كانت من بلدة تقع شمال تل أبيب بها شارع نيفاتيم، وليس القاعدة الجوية التي تحمل الاسم نفسه.

المرحلة الثالثة: توسيع النطاق الجغرافي

في أواخر نوفمبر 2023، بدأت الجماعات الإيرانية في توسيع نفوذها الإلكتروني خارج إسرائيل، مستهدفة الدول التي ترى إيران أنها تدعم إسرائيل. وقد تماشى هذا مع بدء الحوثيين المدعومين من إيران هجماتهم على الشحن الدولي.

في العشرين من نوفمبر/تشرين الثاني، حذرت منظمة "العدالة في الوطن" التابعة لوزارة الاستخبارات والأمن الداخلي من هجمات إلكترونية وشيكة على ألبانيا. وأعلنت المنظمة في وقت لاحق مسؤوليتها عن الهجمات على مجموعة من المنظمات والمؤسسات الألبانية في يوم عيد الميلاد.

في 21 نوفمبر/تشرين الثاني، استهدفت الشخصية الإلكترونية "الطوفان" الحكومة البحرينية والمنظمات المالية لتطبيع العلاقات مع إسرائيل. وبحلول 22 نوفمبر/تشرين الثاني، بدأت الجماعات التابعة للحرس الثوري الإيراني في استهداف أجهزة التحكم المنطقية القابلة للبرمجة (PLCs) الإسرائيلية الصنع في الولايات المتحدة، بما في ذلك إيقاف تشغيل أحدها في هيئة مياه في بنسلفانيا في 25 نوفمبر/تشرين الثاني. أجهزة التحكم المنطقية القابلة للبرمجة هي أجهزة كمبيوتر صناعية مهيأة للتحكم في عمليات التصنيع، مثل خطوط التجميع والآلات والأجهزة الروبوتية.

تم تشويه PLC في سلطة المياه في ولاية بنسلفانيا بشعار Cyber ??Avengers في 25 نوفمبر. نشر Cyber ??Avengers نفس الرسالة في اليوم التالي على قناتهم على Telegram كتعليق على مقطع فيديو لنتنياهو يتحدث في مؤتمر لجنة الشؤون العامة الأمريكية الإسرائيلية (AIPAC)، مما يشير إلى نية استهداف المعدات الأمريكية المصنوعة في إسرائيل.

أهداف النفوذ الإيراني في الحرب بين إسرائيل وحماس

إن جهود إيران لتقويض إسرائيل وأنصارها عبر الإنترنت ووسائل التواصل الاجتماعي، مما يسبب ارتباكًا عامًا وفقدان الثقة، مدفوعة بأربعة أهداف أساسية.

1. زعزعة الاستقرار من خلال الاستقطاب

وتسعى إيران إلى تفاقم الخلافات السياسية والاجتماعية الداخلية في أهدافها، وغالباً ما تركز على نهج الحكومة الإسرائيلية في التعامل مع الرهائن الـ 240 الذين احتجزتهم حماس في غزة، وتتنكر في هيئة جماعات ناشطة تسعى إلى السلام وتنتقد الحكومة الإسرائيلية. ويشكل رئيس الوزراء الإسرائيلي نتنياهو الهدف الرئيسي لمثل هذه الرسائل، التي غالباً ما تدعو إلى إقالته.

2. الانتقام

إن العديد من رسائل إيران وأهدافها انتقامية بشكل صريح. فقد زعمت شخصية Cyber ??Avengers أنها استهدفت البنية التحتية للكهرباء والمياه والوقود في إسرائيل ردًا على إعلان إسرائيل أنها ستقطع الكهرباء والمياه والوقود عن غزة وأماكن أخرى، مشيرة إلى مبدأ "العين بالعين".

3. الترهيب

وتهدف عمليات إيران أيضًا إلى تقويض الأمن الإسرائيلي وترهيب مواطني إسرائيل وأنصارها الدوليين وتهديد عائلات جنود جيش الدفاع الإسرائيلي. وتنشر حسابات Sockpuppet رسائل على X مفادها أن "جيش الدفاع الإسرائيلي ليس لديه أي سلطة لحماية جنوده". ويبدو أن رسائل أخرى، كما في المثال أدناه، تهدف إلى محاولة إقناع جنود جيش الدفاع الإسرائيلي بالاستسلام.

 

4. تقويض الدعم الدولي لإسرائيل

في كثير من الأحيان، يسعى فاعلو النفوذ الإيراني إلى تضمين رسائل تهدف إلى إضعاف الدعم الدولي لإسرائيل من خلال تسليط الضوء على الأضرار الناجمة عن الهجمات الإسرائيلية على غزة.

اتجاهات عمليات النفوذ الإيراني

إن انتحال الشخصية ليس بالأمر الجديد، ولكن الجهات الفاعلة الإيرانية التي تهدد إسرائيل لا تتنكر الآن في هيئة أعدائها فحسب، بل وأيضاً في هيئة أصدقائها. فقد استخدمت العمليات الأخيرة التي نفذتها جماعات إيرانية اسم وشعار الجناح العسكري لحركة حماس، كتائب القسام، لنشر رسائل كاذبة وتهديد أفراد جيش الدفاع الإسرائيلي. ومن غير الواضح ما إذا كانت إيران تتصرف بموافقة حماس.

لقد نجحت إيران مرارا وتكرارا في تجنيد إسرائيليين غير مدركين للمشاركة في أنشطة ميدانية للترويج لعملياتها الكاذبة. وفي إحدى العمليات الأخيرة، "دموع الحرب"، أقنع عملاء إيرانيون الإسرائيليين بتعليق لافتات تحمل شعار "دموع الحرب" باستخدام صور تم إنشاؤها بواسطة الذكاء الاصطناعي في الأحياء الإسرائيلية، استنادا إلى تقارير صحفية إسرائيلية.

لافتة دموع الحرب مع صورة لنتنياهو من المحتمل أنها من صنع الذكاء الاصطناعي. نص اللافتة يقول "العزل الآن". ويترجم طوقه إلى "بدون بيبي سننتصر". تم تعتيم رمز الاستجابة السريعة عمدًا للنشر.

لقد تزايد استخدام إيران للرسائل النصية والرسائل الإلكترونية الجماعية بهدف تعزيز التأثيرات النفسية لعمليات التأثير التي تقوم بها عبر الإنترنت. فالرسائل التي تظهر على هواتف الناس أو في صناديق البريد الإلكتروني الخاصة بهم لها تأثير أكبر من حسابات الدمى على وسائل التواصل الاجتماعي. وتستخدم إيران وسائل الإعلام العلنية والسرية المرتبطة بالحرس الثوري الإيراني لتضخيم العمليات الإلكترونية المزعومة، وفي بعض الأحيان، المبالغة في آثارها. ففي سبتمبر/أيلول، بعد أن زعمت جماعة Cyber ??Avengers مسؤوليتها عن هجمات إلكترونية ضد نظام السكك الحديدية في إسرائيل، قامت وسائل الإعلام المرتبطة بالحرس الثوري الإيراني على الفور تقريبًا بتضخيم وتضخيم ادعاءاتها.

الاتجاهات في العمليات السيبرانية

بعد أسابيع من بدء الحرب بين إسرائيل وحماس، وخلال ما نعتبره المرحلة الثانية، بدأنا نرى أمثلة للتعاون بين الجماعات التابعة لإيران، مما عزز ما يمكن للجهات الفاعلة تحقيقه. وشمل ذلك التعاون بين مجموعة Pink Sandstorm التابعة لوزارة الاستخبارات والأمن الداخلي ووحدات حزب الله السيبرانية. ويؤدي التعاون إلى خفض حاجز الدخول، مما يسمح لكل مجموعة بالمساهمة بالقدرات الموجودة ويزيل الحاجة إلى مجموعة واحدة لتطوير مجموعة كاملة من الأدوات أو الحرف اليدوية.

لقد تزايد التركيز الإيراني على إسرائيل. وفي حين كانت إسرائيل والولايات المتحدة على الدوام هدفين رئيسيين لطهران، فقد شهد اندلاع الحرب بين إسرائيل وحماس تركيز 43% من أنشطة الدولة القومية الإيرانية السيبرانية على إسرائيل، وهو ما يزيد على الدول الأربع عشرة المستهدفة التالية مجتمعة.

نتطلع إلى الأمام

ونحن نقدر أن التقدم الذي ظهر حتى الآن في المراحل الثلاث من الحرب سوف يستمر. وفي خضم احتمالات اتساع نطاق الحرب، نتوقع أن تستمر عمليات النفوذ والهجمات الإلكترونية الإيرانية في أن تكون أكثر استهدافا وتعاونا وتدميرا مع استمرار الصراع بين إسرائيل وحماس. وسوف تستمر إيران في اختبار الخطوط الحمراء، كما فعلت في الهجوم على مستشفى إسرائيلي وأنظمة مياه أمريكية في أواخر نوفمبر/تشرين الثاني.

إن التعاون المتزايد الذي لاحظناه بين مختلف الجهات الفاعلة الإيرانية التي تشكل تهديدات سيشكل تهديدات أكبر في عام 2024 للمدافعين عن الانتخابات الذين لم يعد بوسعهم أن يكتفوا بتتبع عدد قليل من المجموعات. بل إن العدد المتزايد من وكلاء الوصول ومجموعات التأثير والجهات الفاعلة السيبرانية يؤدي إلى خلق بيئة تهديد أكثر تعقيدا وتشابكا.

 



© 2012 جميع الحقوق محفوظة لــ المركز العربى لأبحاث الفضاء الالكترونى
>