استمع إلى المقال

يقف الشرق الأوسط كساحة معركة رئيسية ليس فقط للصراعات المسلحة ولكن أيضًا للحروب السيبرانية التي تتسم بالدهاء والتعقيد. 

إيران، بتاريخها الطويل من التوترات مع جيرانها، تلعب دوراً بارزاً في هذه الحروب السيبرانية، حيث تُشير الأدلة إلى دورها المتزايد في العمليات السيبرانية المعقّدة.
مؤخراً، كشفت تقارير من شركة “مانديانت Mandiant” عن نشاط مشتبه به يرتبط بإيران، يستهدف بشكل خاص صناعات الفضاء والطيران والدفاع في الشرق الأوسط، بما في ذلك إسرائيل والإمارات العربية المتحدة، وربما تركيا والهند وألبانيا.
هذا النشاط، المنسوب إلى مجموعة التهديدات المعروفة باسم “UNC 1549 يو ان سي “، يعكس ليس فقط التطور التقني للعمليات السيبرانية ولكن أيضاً الأهداف الاستراتيجية الأوسع لإيران في المنطقة.

مَن هي المجموعة المتهمة؟

يو ان سي UNC 154 ، هي مجموعة تهديدات إلكترونية متقدمة يُعتقد أنها مرتبطة بالحكومة الإيرانية.
ظهرت المجموعة لأول مرة عام 2019، وركّزت أنشطتها على التجسس الإلكتروني وسرقة المعلومات من المنظمات في الشرق الأوسط، وخاصةً في إسرائيل.
لا يُعرف اسم المجموعة الحقيقي، و يُشار إليها باسم يو ان سي UNC 1549 من قِبل شركات الأمن السيبراني.
وتعني “يو ان سي UNC 1549″ ” مجموعة التهديد غير المصنف  Uncategorized Threat Group 1549″.
و يُطلق أيضا على مجموعة المخترقين (الهاكرز) المرتبطين بالحكومة الإيرانية “UNC 1549” العديد من الأسماء منها مجموعة (سحابة الدخان Smoke Sandstorm) و(سحابة الرمل القرمزية Crimson Sandstorm).

“UNC 1549″، ليسوا مجرد تهديد آخر في الفضاء السيبراني، بل هم تجسيد للحرب الخفيّة التي تتخطى الحدود وتتعدى على السيادة الوطنية بطرق لم يسبق لها مثيل.
من خلال استخدام تقنيات متقدمة للتهرّب والهندسة الاجتماعية، إلى جانب استغلال البنية التحتية السحابية لـ “مايكروسوفت أزور”، تكشف المجموعة الإيرانية عن المستوى المعقّد للتجسس السيبراني الذي يمكن أن يؤثر على الأمن والاستقرار الإقليميَين.

كيف تشن المجموعات الإيرانية هجومها؟

الهجوم الذي نفذته “مجموعة التهديد غير المصنف 1549″ “UNC 1549” يمثل قمة في الدقة التقنية والتعقيد، مع تركيز قوي على استغلال الثغرات البشرية والنّظم الإلكترونية بطرق مبتكرة.
المهاجمون استخدموا مواقع التوظيف المزيفة كواجهة لتوزيع البرمجيات الخبيثة، مستهدفينَ بذلك الأفراد في قطاعات حساسة مثل الدفاع والطيران، مما يشير إلى نواياهم في التجسس وربما التخريب.
تكمن براعة الهجوم في استخدام تقنية حمولة “الباص الصغير” والتي تستطيع حمل عدد من البرمجيات الخبيثة MINIBUS”، حيث تم تصميم المواقع المزيفة لتقديم هذه الحمولة كجزء من عملية التقديم للوظيفة، مستغلّين بذلك ثقة المستخدمين في التعامل مع مواقع التوظيف. 

الحمولة ذاتها تمكنت من توفير وصول خلفي كامل للمهاجمين، مما يتيح لهم السيطرة على الأجهزة المستهدفة وجمع البيانات الحساسة دون إثارة الشكوك.
ما يزيد الهجوم تعقيداً هو استخدام البنية التحتية السحابية لـ “مايكروسوفت أزور” لإخفاء الاتصالات بين الحمولات الضارة والمهاجمين.
هذا النهج يجعل من الصعب على الأدوات الأمنية التقليدية اكتشاف النشاط الضار، حيث تبدو حركة البيانات كجزء من الاستخدام الطبيعي للخدمات السحابية.

علاوة على ذلك، الاستفادة من تطبيقات “NET” المزيفة لتوصيل الحمولة تعكس مستوى عالٍ من التخصيص في الهجوم، مما يزيد من فعاليته ويقلل من احتمالية الكشف.

الآلية التي تم بها تنفيذ هذه الهجمات تظهر فهماً عميقًا للبنية التحتية الإلكترونية وكيفية استغلال نقاط الضعف البشرية والتقنية. 

سمّ الأفعى الإيرانية

لم يقتصر نشاط المهاجمين على استخدام تقنيات التصيّد الاحتيالي التقليدية، بل دمجوا بين التقنيات المتطورة والهندسة الاجتماعية لإنشاء سيناريوهات احتيالية مقنعة تمكّنهم من تحقيق أهدافهم بكفاءة عالية.

الهجوم يُعتبر نموذجاً للتحديات الأمنية المتزايدة في العصر الرقمي، حيث تتطلب الدفاعات الأمنية ليس فقط الحماية ضد البرمجيات الخبيثة، بل أيضاً فهماً لكيفية استغلال الجُناة للتكنولوجيا والعوامل البشرية لتنفيذ هجماتهم.

الأنشطة السيبرانية الإيرانية الموجّهة ضد دول الشرق الأوسط، خاصة في أعقاب أحداث السابع من تشرين الأول/أكتوبر، يتضح بجلاء أن الفضاء الإلكتروني أصبح مسرحاً رئيسياً للتوترات الجيوسياسية والصراعات. 

الهجمات السيبرانية المنسوبة إلى إيران، والتي تستهدف بشكل متكرر البنية التحتية الرقمية والمؤسسات الحيوية في المنطقة، تبرز استراتيجية طهران لتوسيع نفوذها وتأكيد حضورها في المشهد السياسي والأمني للشرق الأوسط.

من خلال استخدام أدوات متقدمة وتكتيكات خداعية، تمكّنت الجماعات السيبرانية المرتبطة بإيران من تنفيذ عمليات تجسس وسرقة بيانات، وربما الإعداد لهجمات تخريبية. 

هذه الأنشطة لا تسلّط الضوء فقط على القدرات الفنية المتطورة لهذه الجماعات، بل تؤكد أيضاً على الطبيعة المتغيرة للتهديدات الأمنية في عالم متزايد الترابط، إن الاستمرارية والتكرار في الاستهداف السيبراني الإيراني تحملان في طياتها رسالة واضحة حول ضرورة رفع مستويات الوعي والجاهزية السيبرانية في المنطقة.

كاتب المقال يحيى الصبيح ينصح بقراءة ...

من الهجمات السيبرانية إلى التوترات الجيوسياسية.. تهديدات إيران السيبرانية