سكاي نيوز | وثائق سرية تكشف مخططات إيرانية لشنّ هجمات سيبرانية

24

رؤية

ترجمة – شهاب ممدوح

تكشف وثائق سرية، يُقال إنها من إيران، عن وجود أبحاث سريّة حول كيفية استخدام هجوم سيبراني لإغراق سفينة شحن أو تفجير مضخة وقود في محطة بنزين. تتضمن هذه الملفات الداخلية أيضًا، التي حصلت عليها محطة “سكاي نيوز”، معلومات بشأن أجهزة اتصالات أقمار اصطناعية تستخدمها صناعة الشحن العالمية، ونظام حاسوبي يتحكم في أشياء مثل الإضاءة والتدفئة والتهوية في مبانٍ ذكية حول العالم. وتكشف الوثائق فيما يبدو اهتمامًا خاصًّا تجاه إجراء أبحاث عن شركات وأنشطة في بلدان غربية، من بينها المملكة المتحدة وفرنسا والولايات المتحدة.

وقال مصدر أمني لديه عِلم بهذه الوثائق البحثية المكوّنة من 57 صفحة، إنها جُمعت من جانب وحدة سيبرانية هجومية سريّة اسمها “الشهيد كاوه”، وهي جزء من القيادة السيبرانية التابعة للحرس الثوري الإسلامي في إيران. وأضاف المصدر أنه يعتقد أن هذه الوثائق دليل على جهود تبذلها إيران لجمع معلومات استخباراتية عن بنية تحتية يمكنها استخدامها لتحديد أهداف يمكن استهدافها بهجمات سيبرانية في المستقبل. وتابع المصدر الذي طلب عدم الكشف عن اسمه قائلًا: “هم ينشئون بنك أهداف لاستخدامه في الوقت الذي يرونه ملائمًا”. ولم تردّ السفارة الإيرانية في لندن على طلب التعليق على هذه المزاعم.

يمتلك عدد متزايد من الدول، من بينها المملكة المتحدة، أسلحة سيبرانية، وتعمل هذه الدول على تطوير قدرات هجومية جديدة. وهذه الجهود هي عادة سرية للغاية. لهذا، من غير المعتاد أن نرى أدلة موثقة يُزعم أنها لأبحاث سيبرانية تجريها دولة.

ماذا تتضمن هذه الوثائق؟

تحمل كل وثيقة من تلك الوثائق الخمسة علامة “سرّي للغاية”. في أعلى معظم هذه الملفات يوجد اقتباس، يعود فيما يبدو للمرشد الأعلى الإيراني “علي خامنئي”. ويقول الاقتباس: “يجب أن تصبح جمهورية إيران الإسلامية من بين أقوى الدول في المجال السيبراني”. وصف المصدر الأمني هذا الاقتباس بأنه “إعلان نوايا للقائد”.

جرى تجميع هذه الوثائق من جانب خلية اسمها “فريق الاستخبارات رقم 13″، ويشير المصدر الأمني المطلع على هذه الملفات إلى هذا الفريق باسم “المجموعة الاستخباراتية رقم 13″، وقال إنها مجموعة فرعية داخل وحدة “الشهيد كاوه” التابعة للحرس الثوي الإيراني، بقيادة شخص اسمه “حامد رضا لاشغاريان”.

وأضاف المصدر: “من المفترض أن تكون هذه المجموعة خفيّة. هم يقومون بعمليات سيبرانية هجومية حول العالم”. وتحمل وثيقتان فقط من بين الوثائق الخمسة تاريخ إنجاز على صفحتهما الرئيسية. ويعود تاريخ إحدى تلك الوثائق إلى التاسع عشر من نوفمبر 2020، وهي تتطرق إلى ما يُعرف بنظام إدارة المباني – التكنولوجيا الحاسوبية التي تتحكم في الإضاءة والتدفئة والتهوية في مبانٍ ذكية، فيما يعود تاريخ الوثيقة الأخرى إلى التاسع عشر من إبريل 2019، وهي تجري أبحاثًا عن شركة ألمانية تسمى WAGO تصنّع مكوّنات كهربائية.

وتتضمن وثيقتان أخريان في هذه الوثائق الخمس – إحداهما تدرس مضخات وقود في محطات بنزين فيما تدرس الأخرى اتصالات بحرية – لقطات شاشة لعمليات بحث على الإنترنت يعود تاريخها للعام الماضي.

مياه الصابورة

تحمل إحدى الوثائق عنوان “مياه الصابورة”. تتكون هذه الوثيقة من 6 صفحات، وهي تتناول الأنظمة المعقدة على متن سفن شحن عملاقة، والتي تتحكم عن بُعد في أشياء مثل الترشيح ومياه الصابورة. يعتمد مؤلفو الوثيقة فيما يبدو على مصدر أبحاث مفتوح وليس معلومات سريّة. وهناك رسم بياني يُظهر سفينة ثابتة في المياه، فيما يُظهر رسم آخر سفينة مائلة إلى جانب واحد. ويقول تعليق تحت الرسم: “صورة رقم ثلاثة لاختلال التوازن”.

ويُظهر رسم بياني آخر كيفية إرساله أوامر عن بُعد لسفينة من مركز تحكم على البرّ عبر وصلة قمر اصطناعي. وتذكر الوثيقة: “تُستخدم هذه المضخات لجلب المياه إلى الخزانات عبر أجهزة طرد مركزية، ولكي تعمل بشكل سليم، يجب أداء هذه المهمة بدقة. أي مشاكل يمكن أن تؤدي لإغراق السفينة”. وفي ملاحظة ختامية، تقول الوثيقة: إن “أي تأثير تخريبي يمكن أن يتسبب في حدوث فوضى داخل هذه الأنظمة وإلحاق ضرر لا يمكن إصلاحه للسفينة”.

مضخات الوقود     

هناك بحث آخر ركز على نظام يُسمى مقياس الخزان الأوتوماتيكي الذي يرصد تدفق الوقود في محطة بنزين. تتكون هذه الوثيقة أيضا من 6 صفحات، وهي تفحص أسماء معدات ضخ الوقود التي أنتجتها شركة “فرانكلين فيولينغ سيستيم” الأمريكية (Franklin Fuelling Systems).

وتذكر الوثيقة أن “الشركة لديها العديد من العملاء في أوروبا وإفريقيا وأمريكا والشرق الأوسط، ويمكنهم التحكم في هذه الأنظمة وإدارتها”. وتنشر الوثيقة صورة لمحطة وقود، وصورة أخرى مأخوذة من موقع شركة “فرانكلين فيولينغ سيستيم”، وتتحدث الوثيقة عما تظن أنه سيكون التأثير الناتج عن حدوث “مشكلة” في هذه الأنظمة. ويتضمن هذا القدرة على قطع إمدادات الوقود أو تغيير درجة حرارته. وتضيف الوثيقة: “وقوع انفجار في مضخات تزويد الوقود تلك هو أمر ممكن في حال تمت قرصنة هذه الأنظمة أو التحكم فيها عن بُعد”. وقال متحدث باسم شركة “فرانكلين فيولينغ سيستيم”: إن الشركة “تنظر بجديّة للحاجة إلى توفير معدات موثوق فيها وآمنة للغاية لعملائنا”. وأضاف المتحدث أنه من الممكن لطرف ثالث إحداث مشاكل في محطة وقود أو أكثر، لكنه أضاف أنه لا يعتقد أنه من الممكن إحداث انفجار.

وتابع المتحدث قائلًا: “هناك عدد من أنظمة السلامة الإضافية الموجودة في أي محطة وقود عادية، ولا نظن أن يمكن إحداث انفجار عبر التحكم في مقياس الخزان الأوتوماتيكي أو نظام إدارة الوقود، حتى لو كانت تلك هي نيّة المستخدم”.

الاتصالات البحرية 

تدرس هذه الوثيقة المكوّنة من 14 صفحة في نوعين من الاتصالات عبر الأقمار الاصطناعية المستخدمة في البحار.

هناك نوع يُسمى Seagull 5000i وهو يوفر خدمات هاتف وفاكس وبيانات أخرى عبر وصلة أقمار اصطناعية. وهناك نظام آخر مثار اهتمام يُسمى Sealink CIR.

إن معظم هذه الوثيقة كانت مجرد معلومات مأخوذة من مصادر بحثية مفتوحة تكرر حقائق بشأن هذه الأنظمة. لكن هناك رسمًا بيانيًّا قرب نهاية الوثيقة يُظهر نتائج بحث ما يُسمى بـ “غوغل دورك” – إجراء عمليات بحث على الإنترنت باستخدام عبارات مفتاحية معينة موضوعة داخل علامات اقتباس لتحسين دقة عملية البحث.

استخدم مؤلفو البحث محرك البحث الصيني Fofa.So، فضلًا عن محرك Binaryedge وهو محرك بحث لأجهزة مكشوفة على الإنترنت، وتمتلكه شركة أمريكية للبحث عن نظام اتصالات Seagull 5000i ونظام “ثريا” في الولايات المتحدة والمملكة المتحدة وفرنسا وإسرائيل وعدد آخر من الدول. ويُدرج أحد أعمدة الرسم البياني نسبة مئوية، فيما يُدرج عامود آخر عدد الأجهزة.

أجرت “سارة جونز” العاملة في شركة أمن سيبراني اسمها (FireEye’s Mandiant Threat Intelligence Unit) تحليلًا لهذه الوثائق، وقالت إن هذه الأرقام يمكن أن تشير إلى النسبة المئوية للأجهزة التي يمكن رؤية شاشات تسجيل دخولها من عمليات البحث على الإنترنت. تتضمن الوثيقة صورة لشاشة تسجيل دخول. لكن ليس هناك دليل على أن الأشخاص الذين أجروا البحث ذهبوا إلى ما هو أبعد من البحث، مثل محاولة دخول الحسابات.

مبانٍ ذكية

كانت الوثيقتان الأخريان الوحيدتين اللتين تحملان تاريخًا رسميًّا عن تاريخ تجميعهما. تطرقت الوثيقة الأحدث عهدًا في هاتين الوثيقتين، إلى أنظمة إدارة المباني – وهي أنظمة حاسوبية تتحكم في الإضاءة والتهوية والتدفئة وأجهزة الإنذار الأمني ووظائف أخرى في مبانٍ رسمية. تتكون هذه الوثيقة من 9 صفحات، وهي مؤرخة بالتقويم الإيراني المرادف للتاسع عشر من نوفمبر 2019.

أدرجت هاتان الوثيقتان شركات توفر هذه الخدمات. وتتضمن شركة Honeywell في الولايات المتحدة، والمجموعة الفرنسية للمعدات الكهربائية الفرنسية Schneider Electric وشركة Siemens الألمانية العملاقة، وشركة KMC Controls الأمريكية.

الوثيقة الأطول من بين هاتين الوثيقتين مكوّنة من 22 صفحة، وكانت تدرس المعدات الكهربائية التي تصنعها شركة WAGO الألمانية، وهي مؤرخة بالتقويم الإيراني الذي يوازيه تاريخ التاسع عشر من إبريل 2020. تتناول الوثيقة نقاط الضعف فيما يُسمى المتحكمات المنطقية القابلة للبرمجة (Programmable Logic Controllers) وهي عبارة عن نظام تحكم حاسوبي. لكن يبدو أن مؤلفي الوثيقة خلصوا إلى أنه من غير الممكن استغلال هذه الأنظمة.

وتذكر الوثيقة “أثناء مواصلة تحقيقاتنا، بهدف استغلال هذه العمليات، لاحظنا أن نقاط الضعف في هذه الأنظمة لا يمكن إصلاحها، في حال حدوث هجوم، ولن يكون من السهل إصلاح الضرر”. وأضافت الوثيقة: “بالتالي، وبالمقارنة مع الأنواع الأخرى من المتحكمات المنطقية القابلة للبرمجة، فإن هذا النوع عصيّ على الاختراق بمجرد اتصاله بالإنترنت، فعند اتصاله بالإنترنت، فإن البنية التحتية والمعلومات الخاصة بالهندسة لا يمكن الوصول إليها ولا يمكن فقدانها.

وتتابع الوثيقة: “الوضع الأفضل الذي سيكون لصالحنا، هو ألا تعمل المتحكمات المنطقية القابلة للبرمجة على النحو المنشود، ولكي يحدث هذا، يجب كتابة مشروع بلغة السُلّم (Language of Ladder) لكي يكون هناك أكبر عدد ممكن من المخارج. لكن مشكلة هذا المشروع هو أننا لن نستطيع تقييم الضرر الحاصل. الخيار الآخر يتمثل في تقييم نقاط الضعف والنقاط الخطيرة في المتحكمات المنطقية القابلة للبرمجة والبرامج لنتمكن من مهاجمة هدفنا. يتطلب هذا الخيار تحقيقًا وبحثًا منفصلين قبل العثور على نقاط الضعف”.

تهديد لـ”أسلوب حياتنا”

قال وزير الدفاع البريطاني “بين والاس” إن الوثائق الإيرانية – في حال كانت ذات مصداقية – تُظهر مدى انكشاف المملكة المتحدة وحلفائها أمام الهجمات السيبرانية. وأضاف في تصريح لمحطة سكاي نيوز: “إن لم نفعل شيئًا إزاء هذا الأمر، فيمكن بسهولة أن تتعرض بنيتنا التحتية القومية وأسلوب حياتنا لتهديد”.

وعند سؤاله بشأن حجم التهديد السيبراني الإيراني، قال الجنرال “باتريك ساندرز” أبرز ضابط عسكري مُشرف على عمليات المملكة المتحدة السيبرانية: “الإيرانيون من بين أكثر الجهات السيبرانية تطورًا. نحن نتعامل مع قدراتهم بجدية، ولا نبالغ في وصف تهديدهم. لكنهم طرف خطير وقد تصرّفوا بطريقة غير مسؤولة في الماضي”. وقال المصدر الذي شارك هذه الوثائق مع محطة سكاي نيوز، إنه “واثق تمامًا” بأنها ذات مصداقية. وقد شاركت محطة سكاي نيوز هذه الوثائق مع مصادر إضافية يمكنها التحقق في مدى مصداقيتها، وأشارت تلك المصادر إلى أنها تظن أن الوثائق تبدو ذات مصداقية ومثيرة للاهتمام.

وشاركت محطة سكاي نيوز أيضًا هذه المجموعة من الوثائق مع شركة FireEye الأمريكية المتخصصة في الأمن السيبراني، والتي تحقق في التهديد السييبراني الإيراني والتهديد الصادر من دول معادية أخرى. وتقول Mandiant Threat Intelligence، وهي جزء من شركة FireEye: إن “الوثائق فيما يبدو تؤكد على وجود رغبة في شنّ هجمات انتهازية وواضحة”. وتضيف: “هم يناقشون في الوثائق الآثار المادية المحتملة لعمليات سيبرانية تستهدف بنية تحتية مدنية مهمة وإمكانية تنفيذ هجمات، فضلًا عن دراسة النسبة المئوية للأجهزة التي يمكن الوصول إليها عبر الإنترنت، والتي يمكن أن تكون أهدافًا محتملة”. وتقول الشركة إن الوثائق الخمس يبدو أنها جاءت استجابة لطلب معلومات أو أبحاث.

وتقول “سارة جونز” كبيرة محللي شركة Mandiant:”كل شيء وارد في الوثائق ينسجم تمامًا مع ما رأيناه من القدرات الإيرانية وأسلوب تخطيطهم لهجماتهم، وطريقة هيكلتهم وتقسيمهم للعمل والبدء في عملية تشكيل عملياتهم”.

وأضافت جونز أن هذه هي الخطوات الأوليّة التي تتخذها دولة ما لو أرادت تطوير قدرة سيبرانية هجومية محددة، وتابعت: “أنت ترى جميع تلك التحضيرات، لكن لا ترى أيًّا من المراحل الأخرى. أن ترى ما يقولون – ماذا سيحدث لو فعلنا هذا، وكيف يمكن لشخص الذهاب والتسبب في ضرر أو استخدام قدرات تدميرية ضد تكنولوجيات مختلفة”.

ما مدى أهمية هذه الوثائق؟

إن إيران ليست البلد الوحيد الذي يسعى لتطوير أساليب هجومية جديدة في الفضاء السيبراني. تضخّ المملكة المتحدة وحلفاؤها، فضلًا عن خصوم مثل روسيا والصين وكوريا الشمالية، استثمارات هائلة في بناء قدرات هجومية جديدة.

لكنّ هناك فرقًا، بحسب مسؤولين بريطانيين، وهو الأهداف التي ترغب الدول المعادية في استهدافها في أوقات السلم، بداية من محاولة التلاعب في الانتخابات، وصولًا إلى إلحاق ضرر مادي ببنية تحتية مدنية مثل إمدادات المياه ومضخات الوقود.

وفي حديث مع محطة سكاي نيوز، ذكر الجنرال السير “باتريك ساندرز” قائد القيادة الاستراتيجية لجيش المملكة المتحدة، وهي القيادة المشرفة على العمليات السيبرانية البريطانية في الخارج: “أظن أنه من المشروع تمامًا للدول السعي لتعزيز قدراتها للدفاع وحماية نفسها في الفضاء السيبراني”. وتابع: “ما من مشكلة في هذا الأمر. لكن لو كنت تستخدم هذه القدرات بطرق خبيثة وغير مسؤولة، فإنك بذلك تتسبب في أذى أو ضرر اقتصادي، وهذا يكون حينها أمرًا غير مقبول”.

إن الفضاء السيبراني هو مجال يمكن للدول أن تؤذي بعضها البعض من خلاله، وأن تسرق أسرارًا أو تتلاعب بعقول الناس دون الخوف من إشعال حرب تقليدية، بالرغم من أن وقوع هجوم سيبراني مدمر للغاية يمكن أن يكون له هذا الأثر. وتمتلك المملكة المتحدة القدرة على إلحاق ضرر بالطرف الآخر تماما مثل خصومها، لكن المملكة تقول إن هذه القدرة تُستخدم فقط للتصدّي لتهديد أو الردّ على هجوم.

ولا شك أن أي عمليات سيبرانية يجب أن تكون “مسؤولة ومحددة ومتناسبة”، وذلك بحسب القواعد التي تحكم “القوة الوطنية السيبرانية” في المملكة المتحدة، وهي عبارة عن شراكة بين الجيش ووكالة الاستخبارات المعروفة باسم “مكتب الاتصالات الحكومية البريطانية”.

وعلى النقيض من ذلك، هناك اشتباه في قيام قراصنة مرتبطين بإيران باستهداف برلمان المملكة المتحدة عام 2017، حيث جرى اختراق آلاف من حسابات البريد الإلكترونية، من بينها حسابات تعود لأعضاء في البرلمان. وبينما يُنظر إلى إيران باعتبارها تهديدًا سيبرانيًّا، إلا أن هذا البلد كان أيضًا ضحية العديد من الهجمات السيبرانية، استهدفت العديد منها برنامجها النووي.

إحدى هذه الهجمات السيبرانية المعروفة كان هجوم “فيروس ستوكسنت”، الذي يُقال إنه جرى تطويره من جانب جواسيس سيبرانيين أمريكيين وإسرائيليين، وقد عُثر على الفيروس في منشأة تخصيب يورانيوم في “ناطنز” عام 2010.

وفي مايو من العام الماضي، تعطلت حواسيب في ميناء “الشهيد رجائي” الإيراني؛ ما تسبب في توقف حركة المرور، عقب هجوم سيبراني أفادت تقارير أنه نشأ من إسرائيل. وهناك مزاعم بأن الهجوم كان ردًّا على محاولة إيرانية لاختراق أنظمة المياه في إسرائيل، وهي خطوة دفعت رئيس هيئة السايبر الوطنية الإسرائيلية “يغال أونا” للتحذير بأن “الشتاء السيبراني قادم”. ولا يجب أن نتفاجأ من فكرة جمع إيران لمعلومات لتحسين قدراتها السيبرانية الهجومية.

والآن، تنظر المملكة المتحدة إلى روسيا والصين بوصفهما التهديدين السيبرانيين الأكثر عداوة وخطورة، تليهما إيران وكوريا الشمالية. لكن بريطانيا وبعض حلفائها، لا سيما الولايات المتحدة وإسرائيل، لديهما أيضا القدرة على شنّ هجمات في الفضاء السيبراني، غير أن هذه الدول تعمل وفق قواعد اشتباك مختلفة.

ونظرًا لاعتماد جزء كبير من العالم على الإنترنت والحواسيب والوصول إلى المعلومات، بات الفضاء السيبراني مجال صراع متزايدًا، أصبح فيه باستطاعة دول ومجرمين ومُخترقين منفردين إلحاق ضرر أو المساعدة في الدفاع عن المعسكر التابعين له، وقد تحدث الهجمات السيبرانية عادة في منطقة أذى رمادية تقع بين الحرب والسلام. في هذه المنطقة الرمادية، يمكن استخدام أي شيء كسلاح، بدايةً من نشر برامج خبيثة على حاسوب أو نشر أخبار مزيّفة، وصولًا إلى تسميم خصم أو رشوة سياسي، وهذا أيضًا يعني أن عملية تسريب المعلومات تلعب أيضًا دورًا في هذه المنافسة، وما من شخص محصّن من عمليات الاستهداف هذه.  

لقراءة النص الأصلي.. اضغط هنا