لم تثن أزمة جائحة «كورونا» وتداعياتها، التي نجم عنها دخول الاقتصاد العالمي في حالة من الركود، النظام الإيراني عن مواصلة مشاريعه الإرهابية والعبثية التي تعد حجر الأساس في تكوين عقيدة هذا النظام المضطربة والتي لا تؤمن إلا بتصدير الفوضى والطائفية والمذهبية وتوظيف الإرهاب بكافة أشكاله وألوانه من أجل تحقيق أهدافها التوسعية القائمة على الخراب والدمار، ففي الوقت الذي تتضافر فيه الجهود العالمية من أجل إيجاد لقاح وعلاجات لفايروس كورونا المستجد للخروج من نفق هذه الأزمة الصحية وتداعياتها الخطيرة التي أودت بحياة نحو 325 ألف إنسان حول العالم حتى لحظة إعداد هذا التقرير، قامت مجاميع للقرصنة المرتبطة بإيران بشن هجمات إلكترونية مكثفة استهدفت من خلالها منظمة الصحة العالمية ومراكز أبحاث بريطانية وأمريكية تسعى لإيجاد عقارات لعلاج مرض «كوفيد-19» الناجم عن الإصابة بفايروس كورونا، لسرقة بياناتها، وإعاقة الجهود والمساعي الدولية للتوصل إلى علاج لهذا الوباء الفتاك.
وبحسب ما كشفته صحيفة «ديلي ميل» البريطانية مطلع شهر مايو الجاري، شنت مجاميع للقرصنة مرتبطة بإيران هجمات إلكترونية تخريبية على مراكز أبحاث في جامعات بريطانية تعمل على إنتاج لقاحات واختبارات طبية، إضافة إلى علماء وأطباء يدرسون علم الفايروسات، وفي غضون أيام قليلة من تلك الحادثة، كشفت أرشيفات على الإنترنت تورط جماعات قرصنة مرتبطة بإيران في استهداف موظفين في شركة «غلياد ساينسيز» الأمريكية لصناعة الأدوية، وقعت في الأسابيع الأخيرة، تزامنا مع مساعي الشركة لطرح عقار لعلاج مرض «كوفيد-19». وأوضحت التقارير أن هؤلاء القراصنة قاموا في شهر أبريل الماضي بإرسال صفحة دخول زائفة، صممت لسرقة كلمات المرور، إلى مدير تنفيذي كبير في الشركة، وفي أبريل الماضي نقلت وكالة رويترز للأنباء عن 4 مصادر متخصصة في الأمن السيبراني أن قراصنة إلكترونيين يعملون لصالح الحكومة الإيرانية حاولوا اختراق حسابات البريد الإلكتروني الشخصية لموظفين في منظمة الصحة العالمي. وتأتي هذه الهجمات التي تضاعفت في الأشهر القليلة الماضية في إطار توجه بات واضحاً ومكشوفاً نحو تفعيل منظومة القرصنة والهجمات الإلكترونية من قبل طهران كإستراتيجية تتبعها للتنفيس عن إرهابها بسبب ضغوطات أزمة «كورونا» التي قوضت مشاريع إيران الإرهابية التقليدية عبر أنشطة مليشياتها الميدانية وباقي المجالات التقليدية في إدارة أنشطتها العسكرية برياً وبحرياً وجوياً، في ظل تفشي الوباء والتأثيرات الاقتصادية الخانقة التي صاحبته.
المؤكد هو أن منظومة الإرهاب الرقمي الإيراني في الفضاء الافتراضي ليست وليدة اللحظة ولا الظروف الآنية، بل هي إستراتيجية تم التجهيز لها منذ عدة سنوات وتم بناؤها وإعداد هيكلتها وتطويرها في إطار مؤسسي وفق رؤية وأهداف وضعت من قبل رؤوس النظام الإيراني، وعلى إثرها تقود مؤسسة الحرس الثوري وقوات الباسيج التابعة لها، مجاميع من المليشيات والفصائل الرقمية التي إما تنتمي إليها بشكل مباشر أو تدين لها بالولاء، ليشكلوا كياناً افتراضياً تأسس منذ العام 2005 وأطلق عليه «جيش فضاء إيران الإلكتروني»، الذي يعد أحد الأذرع الرقمية التي يستخدمها النظام لشن هجمات إلكترونية على المعارضة ومناهضي نظام الملالي في الشرق الأوسط، أو الدول الكبرى التي تقف عائقاً أمام البرنامج النووي الإيراني وتطوير الصواريخ البالستية، وذلك وفقاً لكتاب صدر حديثاً عن المعهد الدولي للدراسات الإيرانية «رصانة»، بعنوان: «مجاميع القرصنة والمليشيات الرقميّة الإيرانية»، من تأليف حسن مُظفَّر الرزو، وهو باحث عراقي متخصص في النظم البرمجية. ونسلط الضوء على أجزاء من هذا الكتاب باعتباره أحد أبرز المراجع والمصادر الحديثة التي رصدت أنشطة وإستراتيجيات النظام الإيراني الرقمية.
شرارة مقتل سليماني
أكد تقرير صادر عن شركة «CloudFlare» الأمريكية لأمن الشبكات أن نسبة محاولات الاختراق والهجمات الإلكترونية المنفذة من إيران ضد مواقع وشبكات عالمية مختلفة تضاعفت 3 مرات بعد مقتل قائد فيلق القدس التابع للحرس الثوري الإيراني قاسم سليماني في يناير الماضي، لتصل إلى نصف مليار محاولة اختراق يوميا، كما زادت المحاولات التي تتخذ من إيران مقراً لها لاختراق المواقع الحكومية الأمريكية بنسبة 50%.
وأفاد رئيس شركة «Cloudflare»، ماثيو برنس بأن الهجمات الناشئة في دول أخرى غير إيران زادت أيضاً خلال الـ48 ساعة التي تلت مقتل سليماني، موضحاً أن هذه الزيادة تبين أن «القراصنة الإيرانيين غيروا مواقعهم بغرض التمويه، أو أن المتسللين غير الإيرانيين استغلوا حالة الفوضى الطارئة».
وخلال الفترة ذاتها التي تلت مقتل سليماني، أكد حاكم تكساس غريغ أبوت أن المحاولات الإيرانية لشن هجمات إلكترونية على مواقع تابعة للأجهزة الحكومية في ولاية تكساس شهدت ارتفاعا وصل إلى نحو 10 آلاف مرة في الدقيقة.
فيما تؤكد تقارير أن إيران تشكل تهديداً رقمياً من الدرجة الثانية بعد دول أكثر قوة مثل روسيا والصين، لكنها لا تزال خطرة بما يكفي لتكون قادرة على إحداث أضرار كبيرة.
مأسسة الإرهاب الرقمي
بدأت أنشطة القرصنة في فضاء المعلومات الإيراني عام 2000، ونجحت مجاميع القراصنة المحليين في مزاولة الهجمات الإلكترونية على مواقع الويب، إلا أنها كانت محدودة الضرر، مثل إحداث توقف جزئي للموقع قد يدوم لبضع ساعات إلى أن تنجح إدارة النظام في إعادة التشغيل واحتواء تأثير الهجمة، ثم بدأت منتديات القراصنة الإيرانية «Hackers Forums» في الظهور والانتشار، ونجحت في أن تكون بيئة حاضنة لتبادل الخبرات بين القراصنة وتطوير قدراتهم، وحين انتبهت مؤسسة الحرس الثوري إلى بروز ظاهرة القرصنة المعلوماتية في إيران واحتمالية تفاقمها في ظل توافر مناخ مناسب لتوسع هذه الممارسات نتيجة لتزايد أعداد خريجي الجامعات المتخصصة في علوم الحاسب وتقنية المعلومات، مع تزايد نسبة البطالة؛ توجهت نحو انتهاج سياسة تجنيد رواد القرصنة للعمل معها للتخفيف من الضغوط المحتملة لتطور ممارساتهم على أمن المعلومات الإيراني، وكسب قوة رقمية يمكن أن تسهم في درء الهجمات الإلكترونية الخارجية، والبدء في مشروع طموح لتأسيس قوة رقمية يمكن أن تطال أهدافا حيوية لدى خصومها التقليديين.
ومنذ العام 2005 نشأت مجموعة من الشركات الأمنية تحت غطاء توفير الحماية الأمنية لشركات القطاع الحكومي والقطاع الخاص، في حين أقامت من الباطن تحالفات وثيقة مع مؤسسات الحرس الثوري، والباسيج، والدفاع المدني، تهدف إلى تنفيذ إستراتيجية بعيدة المدى لبناء جيش رقمي بعيدا عن الأنظار، على أن تجمع أعضاء هذا الجيش الرقمي عوامل أساسية مشتركة تربط لحمة أعضائه، وتتمثل في الهوية الإيرانية القومية، والانتماء العقائدي، والتوجه السياسي المتوافق مع توجهات النظام، مما ساهم في تقوية وتوطيد روابط التعاون غير المعلن بين أفراد هذه التركيبة من القراصنة مع المؤسسات العسكرية والأمنية الإيرانية.
وفي العالم 2012 بدأ المخطط يتكشف حول وجود تحالف غير معلن بين النظام الإيراني وقراصنة المعلومات ممن يعملون بصورة انفرادية أو من خلال مجاميع قد انصبغت بصبغة شركات متخصصة في أمن المعلومات والشبكات. وقد سعت إيران إلى تمويه عناصر المشهد الذي جمع بين هذه الأطراف من خلال إعلانها تشكيل فصائل وقوات رقمية، بعضها قد ارتبط بوزارة الدفاع، أو مؤسسة الحرس الثوري الإيراني، أو مؤسسة الباسيج، أو منظمة الدفاع المدني، دون أن تفصح عن طبيعة وهوية هذه التشكيلات، كما حرصت في الوقت ذاته على السماح بإطلاق تصريحات متفرقة عن بعض القيادات والإدارات الحكومية لتشتيت الرؤية وتضبيب معالم وتفاصيل التحالف الإستراتيجي الذي يجمع فيما بينها.
من جهة أخرى، ترك النظام الإيراني المجال مفتوحا أمام قراصنة المعلومات، فغضّ الطرف عنهم، سواء كانت مزاولتهم للقرصنة المعلوماتية بصورة انفرادية، أو ضمن مجاميع القرصنة التي عملت وراء أسماء رمزية، أو مستعارة، أو تحت أسماء شركات متخصصة بمجال الحصانة الأمنية، مع معاقبة كل من يمارس عمليات القرصنة خارج حدود السياسية التي تبنتها المؤسسات الأمنية الإيرانية في التعامل مع هذا النمط من الأنشطة المعلوماتية.
وبذلك ساهم عدم الإعلان بصورة مباشرة عن التحالفات القائمة بين المؤسسات الحكومية ومجاميع قراصنة المعلومات المتكاثرة في إيران، مع عدم وجود دلائل أكيدة لدى مراكز الدراسات الغربية حول طبيعة الائتلافات والسياسات المشتركة؛ في جعل الإدارة الحكومية في إيران بمنأى عن الاتهامات المباشرة بالإعداد أو تنفيذ هجمات معلوماتية على مواقع للدول المناهضة لسياساتها، ومع ذلك لم ينجح النظام الإيراني في إخفاء الشبهات التي تحوم حوله، خصوصا بعد أن تكاثرت فرق ومجاميع القرصنة الرقمية، مع تشكيل المليشيات الرقمية، وتجنيد الوكلاء الرقميين في المنطقة العربية، وتطور مستوى الهجمات، وتعدد هوية الجهات المساهمة فيها (مجاميع القرصنة والمليشيات الرقمية، ط1، ص189-191) (جيمس لويس، الأمن السيبراني والاستقرار في الخليج، برنامج CSIS الشرق الأوسط، 2014).
المليشيات الرقمية المرتبطة بالنظام
تتألف هيكلة القوة الرقمية الإيرانية من مجموعة من الفصائل ووحدات الدفاع والردع الرقمي التي تعمل مع 3 مؤسسات أمنية، هي: الدفاع المدني الإيراني، الحرس الثوري، ومؤسسة الباسيج (شبه العسكرية).
بالنسبة للدفاع المدني الإيراني، فقد أوكلت له مهمة الدفاع عن الكيانات المؤسسية الإيرانية في الفضاء الإلكتروني، وهدفه أن يعكف على حماية الموجودات الشبكاتية بالبلاد تجاه مختلف أشكال التهديدات المحتملة. ويتكون الهيكل التنظيمي للوحدات الرقمية في هذه المنظمة من قيادة دفاع فضاء المعلومات ووحدة «مجموعة كرداب» الإيرانية (Gerdab)، التي أوكلت لها مسؤولية تحديد هوية وتتبع وتخويف المعارضة خلال أحداث الحملة الانتخابية الرئاسية عام 2009.
وبالنسبة إلى مؤسسة الباسيج، فهي تدين بالولاء للحرس الثوري، وتنهض بمهمة فرض الخطط الثقافية والعقائدية للثورة الإيرانية، فينبثق عنها «مجلس فضاء المعلومات في منظمة الباسيج» (Basij Cyber Council)، و«شرطة الفضاء الرقمي» (FATA).
ومجلس فضاء المعلومات له 5 مهمات رئيسية، هي: تشويش وخلخلة أداء قنوات بث الأقمار الاصطناعية، مراقبة وممارسة الحظر على فضاء الوسائط المتعددة والأخبار التي تستخدمها المعارضة لمناهضة النظام، ممارسة عمليات الحظر والمراقبة في تطبيقات شبكات التواصل الاجتماعي، إضافة إلى ممارسة الدعاية المضادة وتشويش مادة الخطاب المعارض الذي يُطرَح على مواقع الإنترنت، وأخيراً تقطير مادة المحتوى الرقمي المطروح على مواقع الويب لتغييب الخطاب المناهض للنظام ومؤسساته المختلفة.
أما شرطة فضاء المعلومات (FATA)، فتقوم بفرض قانون وتشريعات الفضاء الرقمي التي أقرها المجلس الإيراني، وتوطيد هيمنة النظام على الفضاء ودرء عمليات تغلغل الخطاب المعادي، وردع ممارسة الجرائم المعلوماتية ضد الأفراد، ومؤسسات الدولة، والقطاع الخاص.
أما الحرس الثوري الإيراني، فتعمل تحت لوائه الرقمي 4 كيانات، هي: «جيش إيران الإلكتروني» (Iran Cyber Army)، «فصائل مليشيا الباسيج الرقمية»، «معهد المبنى»، و«مركز خيبر للمعلومات».
وبرز اسم «جيش فضاء إيران الإلكتروني» (ICA) على سطح الأحداث عند نهاية عام 2009، عندما انتشر خبر حدوث هجمة معلوماتية شرسة على موقع الصوت الأخضر، الذي كان يعبّر عن صوت المعارضة الإيرانية إبان الحملة الانتخابية الرئاسية في إيران، ومنذ ذلك التاريخ توالت هجمات كتائب هذا الجيش على أهداف رقمية عديدة. ويتشكل هذا الجيش من صفوة قراصنة المعلومات الإيرانيين، دون أن تكون له صفة رسمية ضمن الهرم المؤسسي للإدارات الحكومية في البلاد، لذا ذهب البعض إلى عده مليشيا رقمية جُنِّد أفرادها بإشراف مباشر من الحرس الثوري الإيراني، لممارسة مهمات سرية تتعلق بقرصنة مواقع المعارضة داخل البلاد، ومناهضي الثورة الإيرانية وخصومها خارج البلاد، دون أن يمنح النظام خصومه فرصة إلصاق تهمة التخطيط أو مباشرة الهجمات ضد هذه الجهات. ولذلك لم يفصح عن وجود أي علاقة مباشرة بين مؤسسات الحرس الثوري والجيش الرقمي الإيراني، غير أنه رحّب بوجود قراصنة معلومات إيرانيين يتطوعون لأداء هذه المهمات الحيوية، في حين اعترف العقيد علي فضلي، أحد قادة الحرس في لقاء صحفي مع وكالة أخبار «مهر» بتاريخ 13 مارس 2010، أن هذا التشكيل موجود ضمن فصائل الحرس الثوري، وأن قطاعات هذا الجيش تتألف من خبراء أكاديميين يعملون بمعية مؤسسة الباسيج، وطلبة مميزين من الجامعات الإيرانية، وطلبة مميزين بقدراتهم التقنية من فصول الحوزات العلمية، ومليشيات نسوية تعمل مع الباسيج، (باولو وجانا شاكاريان، الحرب السيبرانية: نهج متعدد التخصصات، 2013).
ويؤكد حقيقة الارتباط المباشر بين الجيش الرقمي والحرس الثوري التصريح الذي صدر عن علي سعيدي، ممثل علي خامنئي، عندما نجحت الهجمة التي شنها جيش فضاء إيران الإلكتروني على موقع صوت أمريكا (VOA) في فبراير 2011، إذ أعلن فيه صراحة أن هذه الهجمة تُعدُّ برهانا على السطوة الرقمية للحرس الثوري الإيراني، وقدرته على بلوغ أهدافه في أي رقعة من فضاء الفيض المعلوماتي للولايات المتحدة.
أما «فصائل مليشيا الباسيج الرقمية»، فقد أوكلت لها مهمة المنافحة عن المجال الثقافي والعقدي للثورة الإيرانية بإيران، مع وجود تداخل في المهمات، شأن الأدوار التي تمارسها مؤسسات إيران المختلفة، مع قوات كربلاء الرقمية التي تلتزم بجزء من هذا المحور أيضا في أثناء حضورها في فضاء إيران الرقمي، وقد حظيت الباسيج بحصار اقتصادي وتقني من الإدارة الأمريكية بسبب متابعاتها وإجراءاتها الغاشمة ضد المعارضة الإيرانية خلال حملة الانتخابات الرئاسية عام 2009.
وبدأ قراصنة المعلومات المحليون التوافد على منظمة الباسيج للالتحاق بصفوف فصائلها الرقمية التي باشرت عملها مع مجلس فضاء المعلومات بالمنظمة ذاتها منذ مطلع العام 2010، ووفرت لهم برامج تدريبية للارتقاء بمهاراتهم وقدراتهم للدفاع عن مواقع الويب وتجاوز آثار حضور الفجوات الرقمية، فبلغ عدد الملتحقين بالدورات التدريبية 1500 قرصان رقمي، في شهر نوفمبر من العام ذاته.
أما «معهد المبنى» الذي تأسس في 2013، فيعد ضمن تصنيف «المليشيات» الإيرانية، فقد تم تكليفه ببرنامج اختراق وتجسس معلوماتي طموح يهدف إلى سرقة البيانات والمعلومات التقنية والحساسة من المعاهد والجامعات العالمية، لتوفير موارد علمية وتقنية للجامعات ومراكز البحوث الإيرانية تدعم النهوض العلمي والتقني الذي خطط له النظام الإيراني لتعزيز قدرات ترسانته العسكرية، ولترسيخ أسس متينة لبرنامج إيران النووي، وضمان فرض هيمنته على منطقة الشرق الأوسط، كما أضيفت إلى قائمة مهمات المعهد مهمة اختراق مواقع الشركات والمؤسسات المالية والتجارية لتحقيق عوائد مالية تغطي نفقات أنشطة المعهد، وتوفر له موارد مالية إضافية لتطوير قدراته في الأفق المنظور.
وبناء على نتائج التحريات التي قامت بها كوادر مكتب التحقيقات الفيديرالي بالولايات المتحدة الأمريكية، فإن ضحايا عمليات الاختراق التي مورست بواسطة كوادر «معهد المبنى» خلال عام 2017، قد شملت: 4230 أستاذا في 176 جامعة توزعت على 21 بلدا، و36 شركة خاصة بالولايات المتحدة الأمريكية، وأيضا 11 شركة خاصة أجنبية، ومنظمتين دوليتين غير ربحيتين.
وكذلك يصنف «مركز خيبر لتقنية المعلومات» الذي أُنشئ في العام 2011، ضمن قائمة المليشيات الرقمية، إذ أوكلت له مهمة إجراء سلسلة هجمات معلوماتية ضد أهداف منتخبة في الولايات المتحدة الأمريكية، وقد شمل نطاق هذه الهجمات منظومات إدارة تشغيل السدود، ووحدات إنتاج الطاقة الكهربائية، ومصارف مرموقة. كذلك مارست كوادر هذا المركز هجمات منسقة ضد مصارف في السعودية. (حسن مظفر، الرزو، مجاميع القرصنة والمليشيات الرقمية الإيرانية، ط1، ص 238-252).
«شمعون» و«الساطور».. شيطانية الرقمنة الإيرانية
في 2012 باشرت مليشيات القرصنة الإيرانية هجومها التخريبي المكثف على شركات نفطية ومؤسسات حيوية في السعودية والولايات المتحدة ودول أوروبية، في إشارة واضحة إلى طبيعة إستراتيجية الأمن الرقمي لنظام الملالي الذي يتبنى أعمال القرصنة والتخريب لدواع وأهداف سياسية، وهذه الإستراتيجية هي امتداد لسياسة الملالي القائمة على تصدير الخراب والدمار.
واستهدفت إيران مؤسسات مالية أمريكية وشركة أرامكو السعودية، وشركات نفطية حكومية بواسطة فايروس إيراني الصنع أطلق عليه «شمعون». وبدأت عملية الاستهداف الأولى في 2012 حين عطل الفايروس عشرات الآلاف من أجهزة الكمبيوتر في أرامكو السعودية وشركة «راس غاز» القطرية، باستخدام تقنية «حجب الخدمة». وفي سبتمبر 2012 نظمت إحدى المليشيات الإيرانية الرقمية هجمات «حجب الخدمة» ضد شركات في القطاع المالي الأمريكي، وأضرت بـ46 شركة مالية ومصرفية، من بينها «جي بي مورغان» و«أمريكان إكسبرس»، وأطلق عليها عملية «بابل»، وكانت من بين أخطر الهجمات السيبرانية التي شنها نظام الملالي على القطاع المصرفي في الولايات المتحدة.
ويشير تقرير آخر منشور في موقع مؤسسة «Recorded Future» بتاريخ 26 يونيو 2015، إلى أن أكثر دولتين تقوم إيران بمهاجمتهما على الإنترنت هي السعودية وأمريكا، ومن بينها الهجمات الإيرانية التي استهدفت شركة أرامكو في 2012 وهجمات أخرى متتابعة على المؤسسات الاقتصادية السعودية ضمن هجمات طويلة المدى أطلق عليها اسم «عملية الساطور Operation Cleaver» خلال العامين 2013 و2014.
وفي هذه الأيام، عاود النظام الإيراني تفعيل إستراتيجيات التخريب الرقمي، وصعّد من هجماته السيبرانية في ظل ملابسات أزمة كورونا التي حجبت مليشيات الملالي التقليدية مؤقتا عن تأدية مهماتها الميدانية في قتل الأبرياء ونشر الخراب والدمار، وأعادت تشكيل إستراتيجيات الإرهاب الإيراني.
«أبرز المليشيات الإيرانية الرقمية»:
جيش إيران الإلكتروني (ICA)
فصائل مليشيا الباسيج الرقمية
معهد المبنى
مركز خيبر للتقنية
«وكلاء إيران الرقميون»:
الجيش السوري الإلكتروني
الجيش اليمني الإلكتروني
الفصائل الرقمية لكتائب عز الدين القسام
«أخطر الهجمات الإلكترونية الإيرانية على المملكة»:
هجمة فايروس «شمعون» على أرامكو (2012)
هجمة برنامج «ستون دريل» على شركات الطيران (2017)
هجمة فايروس الفدية «مامبا» على شبكات المعلومات
هجمة برنامج «تريتون» على مصانع البتروكيماويات (2018)
وبحسب ما كشفته صحيفة «ديلي ميل» البريطانية مطلع شهر مايو الجاري، شنت مجاميع للقرصنة مرتبطة بإيران هجمات إلكترونية تخريبية على مراكز أبحاث في جامعات بريطانية تعمل على إنتاج لقاحات واختبارات طبية، إضافة إلى علماء وأطباء يدرسون علم الفايروسات، وفي غضون أيام قليلة من تلك الحادثة، كشفت أرشيفات على الإنترنت تورط جماعات قرصنة مرتبطة بإيران في استهداف موظفين في شركة «غلياد ساينسيز» الأمريكية لصناعة الأدوية، وقعت في الأسابيع الأخيرة، تزامنا مع مساعي الشركة لطرح عقار لعلاج مرض «كوفيد-19». وأوضحت التقارير أن هؤلاء القراصنة قاموا في شهر أبريل الماضي بإرسال صفحة دخول زائفة، صممت لسرقة كلمات المرور، إلى مدير تنفيذي كبير في الشركة، وفي أبريل الماضي نقلت وكالة رويترز للأنباء عن 4 مصادر متخصصة في الأمن السيبراني أن قراصنة إلكترونيين يعملون لصالح الحكومة الإيرانية حاولوا اختراق حسابات البريد الإلكتروني الشخصية لموظفين في منظمة الصحة العالمي. وتأتي هذه الهجمات التي تضاعفت في الأشهر القليلة الماضية في إطار توجه بات واضحاً ومكشوفاً نحو تفعيل منظومة القرصنة والهجمات الإلكترونية من قبل طهران كإستراتيجية تتبعها للتنفيس عن إرهابها بسبب ضغوطات أزمة «كورونا» التي قوضت مشاريع إيران الإرهابية التقليدية عبر أنشطة مليشياتها الميدانية وباقي المجالات التقليدية في إدارة أنشطتها العسكرية برياً وبحرياً وجوياً، في ظل تفشي الوباء والتأثيرات الاقتصادية الخانقة التي صاحبته.
المؤكد هو أن منظومة الإرهاب الرقمي الإيراني في الفضاء الافتراضي ليست وليدة اللحظة ولا الظروف الآنية، بل هي إستراتيجية تم التجهيز لها منذ عدة سنوات وتم بناؤها وإعداد هيكلتها وتطويرها في إطار مؤسسي وفق رؤية وأهداف وضعت من قبل رؤوس النظام الإيراني، وعلى إثرها تقود مؤسسة الحرس الثوري وقوات الباسيج التابعة لها، مجاميع من المليشيات والفصائل الرقمية التي إما تنتمي إليها بشكل مباشر أو تدين لها بالولاء، ليشكلوا كياناً افتراضياً تأسس منذ العام 2005 وأطلق عليه «جيش فضاء إيران الإلكتروني»، الذي يعد أحد الأذرع الرقمية التي يستخدمها النظام لشن هجمات إلكترونية على المعارضة ومناهضي نظام الملالي في الشرق الأوسط، أو الدول الكبرى التي تقف عائقاً أمام البرنامج النووي الإيراني وتطوير الصواريخ البالستية، وذلك وفقاً لكتاب صدر حديثاً عن المعهد الدولي للدراسات الإيرانية «رصانة»، بعنوان: «مجاميع القرصنة والمليشيات الرقميّة الإيرانية»، من تأليف حسن مُظفَّر الرزو، وهو باحث عراقي متخصص في النظم البرمجية. ونسلط الضوء على أجزاء من هذا الكتاب باعتباره أحد أبرز المراجع والمصادر الحديثة التي رصدت أنشطة وإستراتيجيات النظام الإيراني الرقمية.
شرارة مقتل سليماني
أكد تقرير صادر عن شركة «CloudFlare» الأمريكية لأمن الشبكات أن نسبة محاولات الاختراق والهجمات الإلكترونية المنفذة من إيران ضد مواقع وشبكات عالمية مختلفة تضاعفت 3 مرات بعد مقتل قائد فيلق القدس التابع للحرس الثوري الإيراني قاسم سليماني في يناير الماضي، لتصل إلى نصف مليار محاولة اختراق يوميا، كما زادت المحاولات التي تتخذ من إيران مقراً لها لاختراق المواقع الحكومية الأمريكية بنسبة 50%.
وأفاد رئيس شركة «Cloudflare»، ماثيو برنس بأن الهجمات الناشئة في دول أخرى غير إيران زادت أيضاً خلال الـ48 ساعة التي تلت مقتل سليماني، موضحاً أن هذه الزيادة تبين أن «القراصنة الإيرانيين غيروا مواقعهم بغرض التمويه، أو أن المتسللين غير الإيرانيين استغلوا حالة الفوضى الطارئة».
وخلال الفترة ذاتها التي تلت مقتل سليماني، أكد حاكم تكساس غريغ أبوت أن المحاولات الإيرانية لشن هجمات إلكترونية على مواقع تابعة للأجهزة الحكومية في ولاية تكساس شهدت ارتفاعا وصل إلى نحو 10 آلاف مرة في الدقيقة.
فيما تؤكد تقارير أن إيران تشكل تهديداً رقمياً من الدرجة الثانية بعد دول أكثر قوة مثل روسيا والصين، لكنها لا تزال خطرة بما يكفي لتكون قادرة على إحداث أضرار كبيرة.
مأسسة الإرهاب الرقمي
بدأت أنشطة القرصنة في فضاء المعلومات الإيراني عام 2000، ونجحت مجاميع القراصنة المحليين في مزاولة الهجمات الإلكترونية على مواقع الويب، إلا أنها كانت محدودة الضرر، مثل إحداث توقف جزئي للموقع قد يدوم لبضع ساعات إلى أن تنجح إدارة النظام في إعادة التشغيل واحتواء تأثير الهجمة، ثم بدأت منتديات القراصنة الإيرانية «Hackers Forums» في الظهور والانتشار، ونجحت في أن تكون بيئة حاضنة لتبادل الخبرات بين القراصنة وتطوير قدراتهم، وحين انتبهت مؤسسة الحرس الثوري إلى بروز ظاهرة القرصنة المعلوماتية في إيران واحتمالية تفاقمها في ظل توافر مناخ مناسب لتوسع هذه الممارسات نتيجة لتزايد أعداد خريجي الجامعات المتخصصة في علوم الحاسب وتقنية المعلومات، مع تزايد نسبة البطالة؛ توجهت نحو انتهاج سياسة تجنيد رواد القرصنة للعمل معها للتخفيف من الضغوط المحتملة لتطور ممارساتهم على أمن المعلومات الإيراني، وكسب قوة رقمية يمكن أن تسهم في درء الهجمات الإلكترونية الخارجية، والبدء في مشروع طموح لتأسيس قوة رقمية يمكن أن تطال أهدافا حيوية لدى خصومها التقليديين.
ومنذ العام 2005 نشأت مجموعة من الشركات الأمنية تحت غطاء توفير الحماية الأمنية لشركات القطاع الحكومي والقطاع الخاص، في حين أقامت من الباطن تحالفات وثيقة مع مؤسسات الحرس الثوري، والباسيج، والدفاع المدني، تهدف إلى تنفيذ إستراتيجية بعيدة المدى لبناء جيش رقمي بعيدا عن الأنظار، على أن تجمع أعضاء هذا الجيش الرقمي عوامل أساسية مشتركة تربط لحمة أعضائه، وتتمثل في الهوية الإيرانية القومية، والانتماء العقائدي، والتوجه السياسي المتوافق مع توجهات النظام، مما ساهم في تقوية وتوطيد روابط التعاون غير المعلن بين أفراد هذه التركيبة من القراصنة مع المؤسسات العسكرية والأمنية الإيرانية.
وفي العالم 2012 بدأ المخطط يتكشف حول وجود تحالف غير معلن بين النظام الإيراني وقراصنة المعلومات ممن يعملون بصورة انفرادية أو من خلال مجاميع قد انصبغت بصبغة شركات متخصصة في أمن المعلومات والشبكات. وقد سعت إيران إلى تمويه عناصر المشهد الذي جمع بين هذه الأطراف من خلال إعلانها تشكيل فصائل وقوات رقمية، بعضها قد ارتبط بوزارة الدفاع، أو مؤسسة الحرس الثوري الإيراني، أو مؤسسة الباسيج، أو منظمة الدفاع المدني، دون أن تفصح عن طبيعة وهوية هذه التشكيلات، كما حرصت في الوقت ذاته على السماح بإطلاق تصريحات متفرقة عن بعض القيادات والإدارات الحكومية لتشتيت الرؤية وتضبيب معالم وتفاصيل التحالف الإستراتيجي الذي يجمع فيما بينها.
من جهة أخرى، ترك النظام الإيراني المجال مفتوحا أمام قراصنة المعلومات، فغضّ الطرف عنهم، سواء كانت مزاولتهم للقرصنة المعلوماتية بصورة انفرادية، أو ضمن مجاميع القرصنة التي عملت وراء أسماء رمزية، أو مستعارة، أو تحت أسماء شركات متخصصة بمجال الحصانة الأمنية، مع معاقبة كل من يمارس عمليات القرصنة خارج حدود السياسية التي تبنتها المؤسسات الأمنية الإيرانية في التعامل مع هذا النمط من الأنشطة المعلوماتية.
وبذلك ساهم عدم الإعلان بصورة مباشرة عن التحالفات القائمة بين المؤسسات الحكومية ومجاميع قراصنة المعلومات المتكاثرة في إيران، مع عدم وجود دلائل أكيدة لدى مراكز الدراسات الغربية حول طبيعة الائتلافات والسياسات المشتركة؛ في جعل الإدارة الحكومية في إيران بمنأى عن الاتهامات المباشرة بالإعداد أو تنفيذ هجمات معلوماتية على مواقع للدول المناهضة لسياساتها، ومع ذلك لم ينجح النظام الإيراني في إخفاء الشبهات التي تحوم حوله، خصوصا بعد أن تكاثرت فرق ومجاميع القرصنة الرقمية، مع تشكيل المليشيات الرقمية، وتجنيد الوكلاء الرقميين في المنطقة العربية، وتطور مستوى الهجمات، وتعدد هوية الجهات المساهمة فيها (مجاميع القرصنة والمليشيات الرقمية، ط1، ص189-191) (جيمس لويس، الأمن السيبراني والاستقرار في الخليج، برنامج CSIS الشرق الأوسط، 2014).
المليشيات الرقمية المرتبطة بالنظام
تتألف هيكلة القوة الرقمية الإيرانية من مجموعة من الفصائل ووحدات الدفاع والردع الرقمي التي تعمل مع 3 مؤسسات أمنية، هي: الدفاع المدني الإيراني، الحرس الثوري، ومؤسسة الباسيج (شبه العسكرية).
بالنسبة للدفاع المدني الإيراني، فقد أوكلت له مهمة الدفاع عن الكيانات المؤسسية الإيرانية في الفضاء الإلكتروني، وهدفه أن يعكف على حماية الموجودات الشبكاتية بالبلاد تجاه مختلف أشكال التهديدات المحتملة. ويتكون الهيكل التنظيمي للوحدات الرقمية في هذه المنظمة من قيادة دفاع فضاء المعلومات ووحدة «مجموعة كرداب» الإيرانية (Gerdab)، التي أوكلت لها مسؤولية تحديد هوية وتتبع وتخويف المعارضة خلال أحداث الحملة الانتخابية الرئاسية عام 2009.
وبالنسبة إلى مؤسسة الباسيج، فهي تدين بالولاء للحرس الثوري، وتنهض بمهمة فرض الخطط الثقافية والعقائدية للثورة الإيرانية، فينبثق عنها «مجلس فضاء المعلومات في منظمة الباسيج» (Basij Cyber Council)، و«شرطة الفضاء الرقمي» (FATA).
ومجلس فضاء المعلومات له 5 مهمات رئيسية، هي: تشويش وخلخلة أداء قنوات بث الأقمار الاصطناعية، مراقبة وممارسة الحظر على فضاء الوسائط المتعددة والأخبار التي تستخدمها المعارضة لمناهضة النظام، ممارسة عمليات الحظر والمراقبة في تطبيقات شبكات التواصل الاجتماعي، إضافة إلى ممارسة الدعاية المضادة وتشويش مادة الخطاب المعارض الذي يُطرَح على مواقع الإنترنت، وأخيراً تقطير مادة المحتوى الرقمي المطروح على مواقع الويب لتغييب الخطاب المناهض للنظام ومؤسساته المختلفة.
أما شرطة فضاء المعلومات (FATA)، فتقوم بفرض قانون وتشريعات الفضاء الرقمي التي أقرها المجلس الإيراني، وتوطيد هيمنة النظام على الفضاء ودرء عمليات تغلغل الخطاب المعادي، وردع ممارسة الجرائم المعلوماتية ضد الأفراد، ومؤسسات الدولة، والقطاع الخاص.
أما الحرس الثوري الإيراني، فتعمل تحت لوائه الرقمي 4 كيانات، هي: «جيش إيران الإلكتروني» (Iran Cyber Army)، «فصائل مليشيا الباسيج الرقمية»، «معهد المبنى»، و«مركز خيبر للمعلومات».
وبرز اسم «جيش فضاء إيران الإلكتروني» (ICA) على سطح الأحداث عند نهاية عام 2009، عندما انتشر خبر حدوث هجمة معلوماتية شرسة على موقع الصوت الأخضر، الذي كان يعبّر عن صوت المعارضة الإيرانية إبان الحملة الانتخابية الرئاسية في إيران، ومنذ ذلك التاريخ توالت هجمات كتائب هذا الجيش على أهداف رقمية عديدة. ويتشكل هذا الجيش من صفوة قراصنة المعلومات الإيرانيين، دون أن تكون له صفة رسمية ضمن الهرم المؤسسي للإدارات الحكومية في البلاد، لذا ذهب البعض إلى عده مليشيا رقمية جُنِّد أفرادها بإشراف مباشر من الحرس الثوري الإيراني، لممارسة مهمات سرية تتعلق بقرصنة مواقع المعارضة داخل البلاد، ومناهضي الثورة الإيرانية وخصومها خارج البلاد، دون أن يمنح النظام خصومه فرصة إلصاق تهمة التخطيط أو مباشرة الهجمات ضد هذه الجهات. ولذلك لم يفصح عن وجود أي علاقة مباشرة بين مؤسسات الحرس الثوري والجيش الرقمي الإيراني، غير أنه رحّب بوجود قراصنة معلومات إيرانيين يتطوعون لأداء هذه المهمات الحيوية، في حين اعترف العقيد علي فضلي، أحد قادة الحرس في لقاء صحفي مع وكالة أخبار «مهر» بتاريخ 13 مارس 2010، أن هذا التشكيل موجود ضمن فصائل الحرس الثوري، وأن قطاعات هذا الجيش تتألف من خبراء أكاديميين يعملون بمعية مؤسسة الباسيج، وطلبة مميزين من الجامعات الإيرانية، وطلبة مميزين بقدراتهم التقنية من فصول الحوزات العلمية، ومليشيات نسوية تعمل مع الباسيج، (باولو وجانا شاكاريان، الحرب السيبرانية: نهج متعدد التخصصات، 2013).
ويؤكد حقيقة الارتباط المباشر بين الجيش الرقمي والحرس الثوري التصريح الذي صدر عن علي سعيدي، ممثل علي خامنئي، عندما نجحت الهجمة التي شنها جيش فضاء إيران الإلكتروني على موقع صوت أمريكا (VOA) في فبراير 2011، إذ أعلن فيه صراحة أن هذه الهجمة تُعدُّ برهانا على السطوة الرقمية للحرس الثوري الإيراني، وقدرته على بلوغ أهدافه في أي رقعة من فضاء الفيض المعلوماتي للولايات المتحدة.
أما «فصائل مليشيا الباسيج الرقمية»، فقد أوكلت لها مهمة المنافحة عن المجال الثقافي والعقدي للثورة الإيرانية بإيران، مع وجود تداخل في المهمات، شأن الأدوار التي تمارسها مؤسسات إيران المختلفة، مع قوات كربلاء الرقمية التي تلتزم بجزء من هذا المحور أيضا في أثناء حضورها في فضاء إيران الرقمي، وقد حظيت الباسيج بحصار اقتصادي وتقني من الإدارة الأمريكية بسبب متابعاتها وإجراءاتها الغاشمة ضد المعارضة الإيرانية خلال حملة الانتخابات الرئاسية عام 2009.
وبدأ قراصنة المعلومات المحليون التوافد على منظمة الباسيج للالتحاق بصفوف فصائلها الرقمية التي باشرت عملها مع مجلس فضاء المعلومات بالمنظمة ذاتها منذ مطلع العام 2010، ووفرت لهم برامج تدريبية للارتقاء بمهاراتهم وقدراتهم للدفاع عن مواقع الويب وتجاوز آثار حضور الفجوات الرقمية، فبلغ عدد الملتحقين بالدورات التدريبية 1500 قرصان رقمي، في شهر نوفمبر من العام ذاته.
أما «معهد المبنى» الذي تأسس في 2013، فيعد ضمن تصنيف «المليشيات» الإيرانية، فقد تم تكليفه ببرنامج اختراق وتجسس معلوماتي طموح يهدف إلى سرقة البيانات والمعلومات التقنية والحساسة من المعاهد والجامعات العالمية، لتوفير موارد علمية وتقنية للجامعات ومراكز البحوث الإيرانية تدعم النهوض العلمي والتقني الذي خطط له النظام الإيراني لتعزيز قدرات ترسانته العسكرية، ولترسيخ أسس متينة لبرنامج إيران النووي، وضمان فرض هيمنته على منطقة الشرق الأوسط، كما أضيفت إلى قائمة مهمات المعهد مهمة اختراق مواقع الشركات والمؤسسات المالية والتجارية لتحقيق عوائد مالية تغطي نفقات أنشطة المعهد، وتوفر له موارد مالية إضافية لتطوير قدراته في الأفق المنظور.
وبناء على نتائج التحريات التي قامت بها كوادر مكتب التحقيقات الفيديرالي بالولايات المتحدة الأمريكية، فإن ضحايا عمليات الاختراق التي مورست بواسطة كوادر «معهد المبنى» خلال عام 2017، قد شملت: 4230 أستاذا في 176 جامعة توزعت على 21 بلدا، و36 شركة خاصة بالولايات المتحدة الأمريكية، وأيضا 11 شركة خاصة أجنبية، ومنظمتين دوليتين غير ربحيتين.
وكذلك يصنف «مركز خيبر لتقنية المعلومات» الذي أُنشئ في العام 2011، ضمن قائمة المليشيات الرقمية، إذ أوكلت له مهمة إجراء سلسلة هجمات معلوماتية ضد أهداف منتخبة في الولايات المتحدة الأمريكية، وقد شمل نطاق هذه الهجمات منظومات إدارة تشغيل السدود، ووحدات إنتاج الطاقة الكهربائية، ومصارف مرموقة. كذلك مارست كوادر هذا المركز هجمات منسقة ضد مصارف في السعودية. (حسن مظفر، الرزو، مجاميع القرصنة والمليشيات الرقمية الإيرانية، ط1، ص 238-252).
«شمعون» و«الساطور».. شيطانية الرقمنة الإيرانية
في 2012 باشرت مليشيات القرصنة الإيرانية هجومها التخريبي المكثف على شركات نفطية ومؤسسات حيوية في السعودية والولايات المتحدة ودول أوروبية، في إشارة واضحة إلى طبيعة إستراتيجية الأمن الرقمي لنظام الملالي الذي يتبنى أعمال القرصنة والتخريب لدواع وأهداف سياسية، وهذه الإستراتيجية هي امتداد لسياسة الملالي القائمة على تصدير الخراب والدمار.
واستهدفت إيران مؤسسات مالية أمريكية وشركة أرامكو السعودية، وشركات نفطية حكومية بواسطة فايروس إيراني الصنع أطلق عليه «شمعون». وبدأت عملية الاستهداف الأولى في 2012 حين عطل الفايروس عشرات الآلاف من أجهزة الكمبيوتر في أرامكو السعودية وشركة «راس غاز» القطرية، باستخدام تقنية «حجب الخدمة». وفي سبتمبر 2012 نظمت إحدى المليشيات الإيرانية الرقمية هجمات «حجب الخدمة» ضد شركات في القطاع المالي الأمريكي، وأضرت بـ46 شركة مالية ومصرفية، من بينها «جي بي مورغان» و«أمريكان إكسبرس»، وأطلق عليها عملية «بابل»، وكانت من بين أخطر الهجمات السيبرانية التي شنها نظام الملالي على القطاع المصرفي في الولايات المتحدة.
ويشير تقرير آخر منشور في موقع مؤسسة «Recorded Future» بتاريخ 26 يونيو 2015، إلى أن أكثر دولتين تقوم إيران بمهاجمتهما على الإنترنت هي السعودية وأمريكا، ومن بينها الهجمات الإيرانية التي استهدفت شركة أرامكو في 2012 وهجمات أخرى متتابعة على المؤسسات الاقتصادية السعودية ضمن هجمات طويلة المدى أطلق عليها اسم «عملية الساطور Operation Cleaver» خلال العامين 2013 و2014.
وفي هذه الأيام، عاود النظام الإيراني تفعيل إستراتيجيات التخريب الرقمي، وصعّد من هجماته السيبرانية في ظل ملابسات أزمة كورونا التي حجبت مليشيات الملالي التقليدية مؤقتا عن تأدية مهماتها الميدانية في قتل الأبرياء ونشر الخراب والدمار، وأعادت تشكيل إستراتيجيات الإرهاب الإيراني.
«أبرز المليشيات الإيرانية الرقمية»:
جيش إيران الإلكتروني (ICA)
فصائل مليشيا الباسيج الرقمية
معهد المبنى
مركز خيبر للتقنية
«وكلاء إيران الرقميون»:
الجيش السوري الإلكتروني
الجيش اليمني الإلكتروني
الفصائل الرقمية لكتائب عز الدين القسام
«أخطر الهجمات الإلكترونية الإيرانية على المملكة»:
هجمة فايروس «شمعون» على أرامكو (2012)
هجمة برنامج «ستون دريل» على شركات الطيران (2017)
هجمة فايروس الفدية «مامبا» على شبكات المعلومات
هجمة برنامج «تريتون» على مصانع البتروكيماويات (2018)