مجلة أميركية: عمليات سيبرانية إيرانية متطورة ساعدت في توجيه ضربات الحوثيين في البحر الأحمر

اليمن -

كشفت مجلة CSO الأمريكية، في تقرير موسّع، أن عمليات سيبرانية نفّذتها مجموعات تهديد مرتبطة بإيران لعبت دورًا مباشرًا في توجيه ضربات صاروخية لاحقة في البحر الأحمر وإسرائيل، وفقًا لبيانات استخبارات التهديدات الصادرة عن فريق Threat Intel في شركة أمازون.

وقالت شركة Amazon Threat Intel إن نشاط مجموعات التهديد الإيرانية ارتبط بشكل واضح بالهجمات الصاروخية، مؤكدة أن نمذجة التهديدات في تكنولوجيا المعلومات يجب أن تتضمن سيناريوهات ترتبط بهجمات حركية تعتمد على بيانات يتم الحصول عليها عبر الاختراق.

وكتب سي جيه موسيس، كبير مسؤولي أمن المعلومات في أمازون للأمن المتكامل، في منشور مدونة يوثق الحادثتين: "نعتقد أن الاستهداف الحركي المُمكّن إلكترونيًا سيصبح شائعًا بشكل متزايد لدى العديد من الخصوم".

وأضاف: "تُدرك الجهات الفاعلة على مستوى الدول التأثير المضاعف للقوة الناتج عن الجمع بين الاستطلاع الرقمي والهجمات المادية. ويمثل هذا التوجه تطورًا جوهريًا في الحروب، حيث تتلاشى الحدود التقليدية بين العمليات السيبرانية والحركية".

ورغم أن هذه الحوادث ليست تطوراً جديداً في عصر الحرب الهجينة، فإنها تسلط الضوء على كيفية دعم الضربات الصاروخية في البحر الأحمر وإسرائيل بشكل مباشر من خلال جهود التجسس الإلكتروني لجمع معلومات الاستطلاع المستهدفة.

عمليات سيبرانية تمهّد لضربات الحوثيين

تمكنت أمازون من ربط إحدى الهجمات الحركية بالعمليات السيبرانية، والتي وقعت في أوائل فبراير/شباط 2024، عندما أطلق المتمردون الحوثيون صواريخ على سفينة تجارية في البحر الأحمر كجزء من حملة لتعطيل الشحن عبر المنطقة.

لم تنجح الضربة، حيث أفادت القيادة المركزية الأمريكية في الأول من فبراير/شباط أن صاروخين أطلقهما الحوثيون سقطا في المياه دون أن يصيبا السفينة، ولم يُبلغ عن أي إصابات أو أضرار.

ومع ذلك، تُظهر بيانات استخبارات التهديدات من أمازون الآن أن مجموعة تهديدات متقدمة تُعرف باسم "إمبريال كيتن" بحثت في بيانات موقع السفينة نفسها قبل أيام.

مجموعة "إمبريال كيتن"، المعروفة أيضًا باسم "تورتويزشيل" أو TA456، نشطة منذ عام 2017 على الأقل، وهي جهة تهديد يُعتقد أنها تابعة للحرس الثوري الإسلامي الإيراني.

وعلى مر السنين، استهدفت المجموعة قطاع النقل البحري، بما في ذلك بناء السفن وخدمات الشحن اللوجستية، إلى جانب قطاعات أخرى مثل الدفاع والتكنولوجيا والاتصالات والطاقة.

وبحسب أمازون، قامت المجموعة باختراق منصة AIS الخاصة بالسفن في ديسمبر 2021، ثم تابعت ذلك بهجمات في عام 2022 على أنظمة سفن إضافية، بما في ذلك كاميرات CCTV على متن إحدى السفن.

نظام AIS هو نظام تتبع آلي يستخدم موجات الراديو VHF لتبادل المعلومات حول هوية السفينة وموقعها وسرعتها ومسارها مع محطات الشاطئ والسفن الأخرى. يتيح الوصول إلى منصة AIS الخاصة بالسفينة للمتسللين البحث عن السفن الأخرى أيضًا.

وبما أن الحوثيين مدعومون من إيران، وقد شوهدت مجموعة معروفة مرتبطة بالحكومة الإيرانية وهي تبحث في بيانات نظام التعريف التلقائي عن سفينة محددة قبل أيام من استهدافها في هجوم صاروخي شنه الحوثيون، تعتقد أمازون أن الارتباط "لا لبس فيه".

وقال موسى من أمازون: "توضح هذه الحالة كيف يمكن للعمليات الإلكترونية أن تزود الخصوم بالمعلومات الاستخباراتية الدقيقة اللازمة لشن هجمات مادية مستهدفة ضد البنية التحتية البحرية - وهي عنصر أساسي في التجارة العالمية والخدمات اللوجستية العسكرية".

إيران استخدمت كاميرات مراقبة حية

كما عثرت أمازون على أدلة استخباراتية تدعم التهديد لحادث آخر مرتبط بإيران يتضمن التجسس الإلكتروني والضربات الصاروخية والذي تلقى بعض التأكيد الرسمي.

بعد الضربات الأمريكية على المواقع النووية الإيرانية في يونيو/حزيران، ردّت إيران بإطلاق وابل من الصواريخ على إسرائيل، مستهدفةً مدنًا مثل تل أبيب والقدس.

وزعم مسؤولٌ إسرائيليٌّ سابقٌ في الأمن السيبراني أن عملاء إيرانيين كانوا يحاولون الوصول إلى كاميرات مراقبة خاصة لتقييم أثر ضرباتهم وتحسين دقتها.

وأكدت هيئة الأمن السيبراني الوطنية الإسرائيلية لوكالة بلومبرج في نفس الوقت تقريبًا أن أنظمة كاميرات المراقبة أصبحت مستهدفة بشكل متزايد من قبل قراصنة إيرانيين.

تظهر بيانات أمازون أن MuddyWater، وهي مجموعة تهديد مرتبطة بشركة إيرانية تعمل كواجهة لوزارة الاستخبارات والأمن الإيرانية (MOIS)، تمكنت من الوصول إلى خادم مخترق يحتوي على بث مباشر لكاميرات المراقبة من القدس قبل أيام من هجوم صاروخي إيراني واسع النطاق على المدينة.

وأشارت إلى أنه تم الوصول إلى خادم CCTV المخترق من خلال البنية التحتية للخادم التي أنشأتها MuddyWater في مايو لعملياتها السيبرانية، مما يظهر رابطًا مباشرًا بالمجموعة، مؤكدة أن استهداف كاميرات المراقبة لجمع المعلومات الاستخبارية دعماً للعمليات العسكرية ليس حكراً على إيران.

ففي مايو/أيار 2024، حذّرت وكالات استخبارات أمريكية ودول عديدة في حلف شمال الأطلسي (الناتو) في تقرير مشترك من أن جهاز الاستخبارات العسكرية الروسي (GRU) اخترق كاميرات في مواقع رئيسية، مثل قرب المعابر الحدودية والمنشآت العسكرية ومحطات السكك الحديدية، في أوكرانيا والدول المجاورة. وكان الهدف هو تتبّع حركة المواد إلى أوكرانيا ضمن شحنات المساعدات.

وقال موسى من أمازون: "بالنسبة لمجتمع الأمن السيبراني، يُعدّ هذا البحث بمثابة تحذير ودعوة للتحرك في آنٍ واحد. يجب على الجهات المدافعة تكييف استراتيجياتها لمواجهة التهديدات التي تشمل المجالين الرقمي والمادي. فالمؤسسات التي كانت تعتقد سابقًا أنها غير مُثيرة لاهتمام الجهات الفاعلة في مجال التهديدات، يُمكن الآن استهدافها بالاستخبارات التكتيكية".

تقترح أمازون على المؤسسات توسيع نطاق نمذجة التهديدات لديها للنظر في كيفية استخدام أنظمة تكنولوجيا المعلومات المُخترقة لديها لدعم الهجمات المادية، وخاصةً على مُشغّلي البنية التحتية الحيوية، والأنظمة البحرية، وشبكات المراقبة الحضرية، ومصادر البيانات الأخرى التي يُمكن استخدامها للمساعدة في استهداف العمليات الحركية.

وقد صاغت الشركة مصطلح "الاستهداف الحركي المُمكّن إلكترونيًا" للعمليات السيبرانية التي تهدف إلى تسهيل العمليات العسكرية الحركية وتعزيزها.