كتاب ومقالات

بالأدلة الرقمية.. إيران تدعم الهجمات السيبرانية على الدول

عبد الرزاق بن عبد العزيز المرجان

بعد مرور عام على عقد أول اجتماع رسمي في مجلس الأمن الدولي بشأن الأمن السيبراني، أعلن رئيس الوزراء الألباني بتاريخ ٧ سبتمبر ٢٠٢٢م أن حكومته قد قررت قطع علاقاتها الدبلوماسية مع إيران وأمرت طاقم السفارة الإيرانية بمغادرة البلاد خلال ٢٤ ساعة بسبب توافر أدلة رقمية على استعانة إيران بأربع مجموعات لتنفيذ هجوم سيبراني عليها لمحاولة شل الخدمات الحكومية وحذف وسرقة البيانات الحكومية والتحريض على الفوضى. وأضاف رئيس الوزراء أن قرار حكومته كان مناسباً مع خطورة التهديد الذي شكّله الهجوم السيبراني. ولكن ما هي آثار هذه الهجمات، وكيف تم إثبات تورط إيران؟ وما هي أهمية نتائج التحقيق؟ ماذا حصل؟

بتاريخ ١٥ يوليو ٢٠٢٢م تعرضت جمهورية ألبانيا لسلسلة هجمات إلكترونية لتدمير البنية التحتية الحكومية وسرقة البيانات والمراسلات الحكومية الإلكترونية. وأعلنت الوكالة الوطنية لمجتمع المعلومات في ألبانيا أنها اضطرت إلى إغلاق المواقع الحكومية وإيقاف الخدمات الحكومية الإلكترونية للحد من هذه الهجمات الإلكترونية. وقد هاجموا المواقع الإلكترونية للبرلمان ومكتب رئيس الوزراء والبوابة الإلكترونية للحكومة الألبانية؛ وهي بوابة تستخدم للحصول على عدد من الخدمات الحكومية كحجز مواعيد طبية وتسجيل الأطفال في المدارس ودفع الفواتير. وسرّبوا بيانات من الحكومة الألبانية بما فيها تفاصيل عناوين البريد الإلكتروني من مكتب رئيس الوزراء ووزارة الخارجية.

بتاريخ ١٨ يوليو ٢٠٢٢م أعلنت مجموعة تدعى Homeland Justice (عدالة وطن) عبر موقعها الإلكتروني وقناتها في تليغرام مسؤوليتها عن الهجوم، وأفادت بأن هذا الهجوم يستهدف الحكومة الألبانية وليس الشعب الألباني.

كيف تعاملت الحكومة الألبانية مع الهجوم السيبراني؟

بعد أيام من الحادث استعانت الحكومة الألبانية بخبراء من شركة مايكروسوفت للبدء في التحقيق الجنائي الرقمي لمعرفة المسؤولين عن هذه الهجمات. وأكدت شركة مايكروسوفت أن هذا الهجوم المدمر على ألبانيا تم تنفيذه من أربع مجموعات مدعومة من إيران وترتب على هذه الهجمات إيقاف المواقع الحكومية الإلكترونية والخدمات العامة.

ما هي الأدلة الرقمية التي تثبت تورط إيران؟

قدمت شركة مايكروسوفت مجموعة من الأدلة الرقمية التي تؤكد أن هذه المجموعات التي نفذت الهجوم على ألبانيا تابعة لإيران وهي كالآتي:

• دخول إحدى المجموعات المدعومة من إيران إلى شبكة الحكومة الألبانية في شهر مايو ٢٠٢١م بعد استغلالها ثغرة في خادم SharedPoint، وقاموا بالدخول مرة أخرى في شهر يوليو ٢٠٢٢م.

• قيام هذه المجموعات باستخدام أدوات وبرامج كانت مستخدمة مسبقاً من قبل الإيرانيين في هجمات سيبرانية سابقة.

• شنّت هذه المجموعات هجوماً سيبرانياً سابقاً على دول أخرى تتوافق مع المصالح الإيرانية.

• استخدام المهاجمين برمجية wiper code لتنفيذ هذه الهجمات وهي ذات البرمجية التي استخدمتها إيران في هجماتها السيبرانية السابقة.

• استخدم المهاجمون المدعومون من إيران الطريقة المعروفة لدى الإيرانيين وهي تحميل برنامج الفدية ثم تحميل wiper malware وكلا البرنامجين تم ربطهما بإيران.

• وجود مجموعة أخرى مستقلة مدعومة من إيران قامت أيضاً بالحصول على معلومات حسّاسة بعد الهجمات وقامت بتسريبها عبر العديد من المواقع الإلكترونية ووسائل التواصل الاجتماعي.

وخلصت مايكروسوفت إلى أن هذه المجموعات المدعومة من إيران والتي استطاعت الدخول غير المشروع على النظام والحصول على بيانات مرتبطة بجهة تدعى EUROPIUM وهذه الجهة مرتبطة بوزارة الاستخبارات والأمن الإيرانية MOIS.

وفي ذات السياق أكدت شركة مانديت الأمريكية للأمن السيبراني أن إحدى المجموعات الأربع التي ساهمت في الهجوم كانت تنفذ أجندة إيرانية، حيث إن الهجوم السيبراني نفذ قبل أيام من انطلاق مؤتمر مانيز بألبانيا بمشاركة جماعة مجاهدي خلق الإيرانية. وتم تأجيل المؤتمر بعد تحذيرات من تهديدات إرهابية. وأكدت شركة مانديت أنها شاهدت فيديو يعرض تصاريح إقامة منحتها الحكومة الألبانية لأعضاء من حركة مجاهدي خلق. وتم نشر هذا الفيديو على قناة تليغرام الخاصة بمجموعة (عدالة وطن) التي أكدت مسؤوليتها عن هذا الهجوم السيبراني. وهو ما يشير إلى أن الهدف من هذه الهجمات السيبرانية كانت بدافع سياسي.

وتأتي أهمية نتائج هذا التحقيق بسبب ردود الأفعال الدولية ومن أهمها تصريح المتحدثة باسم البيت الأبيض كارين جان بيير أن «الحلفاء في إطار الناتو سيتخذون قراراتهم السيادية بشأن كيفية الرد على هذه الهجمات السيبرانية بما في ذلك احتمال تفعيل البند الخامس» من معاهدة حلف شمال الأطلسي. ينص البند الخامس من معاهدة حلف شمال الأطلسي النانو على أن أي اعتداء مسلح ضد عضو أو عدة أعضاء من الحلف، في أوروبا أو أمريكا الشمالية، يعد عدواناً عليهم جميعاً. وقد يشير هذا التصريح إلى لجوء الدول لتكوين تحالفات ثنائية أو جماعية لشن حروب سيبرانية مدمرة على إيران.

في النهاية لازالت إيران تهدد الفضاء السيبراني العالمي مما يسهم في زعزعة الأمن والسلم الدوليين، وتهدد أهداف التنمية المستدامة للأمم المتحدة. وهذه مؤشرات على أننا مقبلون على حروب سيبرانية شرسة غير مسبوقة وانكشاف سيبراني على جميع المستويات.