كثفت إيران عملياتها السيبرانية والحملات الدعائية، ضد إسرائيل، منذ اندلاع الحرب في قطاع غزة في السابع من أكتوبر (تشرين الأول) 2023، حسب شركة «مايكروسوفت».
أصدرت شركة «مايكروسوفت» الأميركية تقريراً مفصلاً عن الأنشطة السيبرانية الإيرانية قبل وبعد الهجمات التي قامت بها حركة «حماس» في السابع من أكتوبر 2023.
وأفاد التقرير بأن عدة جهات متحالفة مع الحكومة الإيرانية شنت سلسلة من الهجمات الإلكترونية والسيبرانية، واستخدمت تقنيات الذكاء الاصطناعي وعمليات التأثير التي تستهدف مساعدة «حماس»، وإضعاف إسرائيل وحلفائها السياسيين وشركائها التجاريين.
ويقول تقرير «مايكروسوفت» إن إيران كثفت عملياتها السيبرانية وعمليات التأثير عبر الإنترنت؛ لدعم حركة «حماس»، وركزت ما يقرب من 43 في المائة من نشاطها السيبراني ضد إسرائيل.
لكن العديد من العمليات التي قامت بها إيران بعد السابع من أكتوبر كانت متسرعة وفوضوية مما يشير - وفقاً للتقرير – إلى أنه لم يكن هناك تنسيق بين إيران وحركة «حماس».
وأشار التقرير أيضاً إلى التعاون الإيراني مع مجموعة تابعة لـ«حزب الله» في لبنان. وتوقع التقرير أن تكون عمليات النفوذ الإيراني والهجمات الإلكترونية أكثر استهدافاً وتدميراً خلال الفترة المقبلة، مع استمرار الصراع بين إسرائيل و«حماس»، ومع اقتراب موعد إجراء الانتخابات الرئاسية الأميركية.
وتوقع تقرير شركة «مايكروسوفت» أن يشهد عام 2024 هجمات إيرانية أكثر استهدافاً للولايات المتحدة في فترة الانتخابات الرئاسية، مع تسليط الضوء على أن إيران «ستختبر الخطوط الحمراء» الأميركية مثل استهداف البنية التحتية الحيوية، مثلما فعلت ضد مستشفى إسرائيلي ونظام مياه أميركي في ولاية بنسلفانيا.
وحذر التقرير من تكثيف تهديدات أكبر في عام 2024 خلال الانتخابات الرئاسية في الولايات المتحدة. والبناء على ما حدث في انتخابات عام 2020، حينما قامت بانتحال هوية أميركيين متطرفين، والتحريض على العنف ضد مسؤولي الحكومة الأميركية.
ثلاث مراحل للهجمات
وقدم التقرير توصيف للعمليات التي تتم على ثلاث مراحل: تبدأ بشكل تفاعلي وباستخدام وسائل الإعلام الحكومية لنشر معلومات مضللة مثل ما نشرته وكالة «تسنيم» التابعة لـ«الحرس الثوري الإيراني» من أخبار عن تعطل شركة كهرباء إسرائيلية، حيث قامت مجموعة قرصنة (من المرجح أنها مجموعة يديرها «الحرس الثوري» الإيراني) بشن هجمات إلكترونية ضد محطة كهرباء إسرائيلية في أكتوبر. واستندت إلى تقارير قديمة عن انقطاعات في التيار الكهربائي في إسرائيل، ولقطة لشاشة عطل غير مؤرخة على موقع الشركة الإسرائيلية على الإنترنت.
المرحلة الثانية: اتسمت بتعاون مختلف المجموعات والجهات التابعة للحكومة الإيرانية في ترويج المعلومات المضللة ضد إسرائيل، ووفق تنسيق وأهداف حددتها طهران، مما أتاح قدراً كبيراً من التعاون، وبالتالي التخصص والفاعلية الكبيرة لتلك الهجمات.
وقال التقرير إن مجموعات إيرانية متعددة كانت تستهدف نفس المنظمة أو القاعدة العسكرية الإسرائيلية من خلال نشاط إلكتروني منسق ومتعدد. وتسارعت عمليات التأثير عبر الإنترنت ضد إسرائيل - وهو الأسلوب الذي يبدو أن إيران تفضل استخدامه - وقد زادت هذه العمليات وسجلت في شهر أكتوبر عشر عمليات، وهو ضعف الرقم القياسي البالغ ست عمليات شهر في نوفمبر (تشرين الثاني) عام 2022.
ورصد التقرير أحد الأمثلة في 18 أكتوبر عندما استخدمت مجموعة «شهيد كاوه» التابعة لـ«الحرس الثوري» الإيراني برامج فدية مخصصة لشن هجمات إلكترونية ضد الكاميرات الأمنية داخل إسرائيل، واستخدمت إحدى الشخصيات السيبرانية «جنود سليمان» للادعاء بأنها قامت باختراق الكاميرات الأمنية والبيانات في قاعدة نيفاتيم الجوية الإسرائيلية، وبعد فحص اللقطات الأمنية التي سربتها «جنود سليمان» تبين أنها لقطات من بلدة شمال تل أبيب بها شارع باسم نيفاتيم، وليست لقطات من القاعدة الجوية الإسرائيلية التي تحمل الاسم نفسه.
المرحلة الثالثة: بدأت في أواخر نوفمبر الماضي، وهي توسيع النطاق الجغرافي واستهداف الدول التي تعتقد إيران أنها تدعم إسرائيل، وقد تزامنت هذه المرحلة مع بدء الحوثيين المدعومين من إيران هجماتهم على الشحن الدولي، وركزت هذه الهجمات على البحرين وألبانيا والولايات المتحدة.
ففي 20 نوفمبر، صدرت تحذيرات من حسابات «دمية جورب» بشأن هجمات إلكترونية وشيكة ضد ألبانيا، وأعلنت فيما بعد عن مسؤوليتها عن الهجمات على مجموعة من المنظمات والمؤسسات الألبانية.
وفي 21 نوفمبر، استهدفت دمية سيبرانية، تحمل اسم «الطوفان»، الحكومة البحرية والمؤسسات المالية لمنعها من الاستمرار في تطبيع علاقاتها مع إسرائيل.
وفي 22 نوفمبر، بدأت تلك المجموعات التابعة لـ«لحرس الثوري» الإيراني في استهداف وحدات التحكم للبرمجة الإسرائيلية (وهي أجهزة كومبيوتر صناعية تم تطويرها للقيام بعمليات التحكم في التصنيع مثل خطوط التجميع وأجهزة الروبوت)، وقامت بقطع الاتصال عن هيئة المياه في ولاية بنسلفانيا في الخامس والعشرين من نوفمبر.
معلومات مضللة
ورصد التقرير قيام وسائل الإعلام الحكومية بنشر تفاصيل مضللة عن هجمات «حماس»، كما زادت إيران من عمليات وجهود القرصنة ضد إسرائيل، واتخذت الهجمات شكل رد الفعل في الأيام الأولى للحرب، لكن بحلول أواخر أكتوبر كثفت الجهات السيبرانية الإيرانية كل جهودها لاستهداف إسرائيل.
وأوضح تقرير «مايكروسوفت» أن الهجمات السيبرانية في تلك الفترة أصبحت مدمرة بشكل متزايد، وكانت الحملات لنشر المعلومات المضللة أكثر تعقيداً، واستخدمت حسابات مزورة وغير حقيقية على منصات التواصل الاجتماعي.
من حيث الأرقام، زادت المجموعات الحكومية الإيرانية التي تتبعتها «مايكروسوفت» من تسع هجمات في الأسبوع الأول من الحرب إلى 14 هجمة بعد أسبوع واحد فقط.
وارتفعت عمليات التأثير من عملية واحدة كل شهرين في عام 2021 إلى 11 في أكتوبر 2023 فقط. كما أبلغت أيضاً عن زيادة بنسبة 42 في المائة في حركة المرور إلى مواقع طهران الإلكترونية في الأسبوع الأول، مع الحفاظ على زيادة بنسبة 28 في المائة بعد شهر.
وعلى الرغم من أن إسرائيل كانت الهدف الرئيسي فإن دولاً غربية وعربية تعرضت أيضاً لهجمات. ومن الأمثلة على ذلك مجموعة إيرانية استهدفت الحكومة البحرينية والمؤسسات المالية. وكان آخرها قيام مجموعة من «الحرس الثوري» الإيراني بهجمات سيبرانية على هيئة المياه الأميركية في ولاية بنسلفانيا.
أهداف إيران
ويقول التقرير إن الهدف الرئيسي لإيران هو استخدام عملياتها السيبرانية للتأثير على الرأي العام الإسرائيلي والعالمي، من خلال التلاعب أو التخويف عبر استهداف «الخلافات السياسية والاجتماعية».
وأشار التقرير إلى أن عمليات التأثير كثيراً ما ركزت جهودها حول الرهائن المائتين والأربعين الذين اختطفوا في أثناء الهجوم الذي قادته «حماس»، أو الدعوة إلى إقالة رئيس الوزراء الإسرائيلي بنيامين نتنياهو، من أجل إحداث حالة من الارتباك أو فقدان الثقة.
وأفاد تقرير «مايكروسوفت» بأنها تابعت أهدافاً رئيسية: الأول هو زعزعة الاستقرار من خلال الاستقطاب، بما يؤدي إلى تفاقم الخلافات السياسية والاجتماعية الداخلية؛ ولذا ركزت على النهج الذي تتبعه الحكومة الإسرائيلية في التعامل مع أزمة الرهائن الـ240 الذين احتجزتهم «حماس» في غزة، وتنكرت في هيئة جماعات ناشطة تسعى إلى السلام وتنتقد الحكومة الإسرائيلية ورئيس الوزراء الإسرائيلي، وتدعو لإقالته.
والهدف الثاني، وفقاً لتقرير «مايكروسوفت»، هو الانتقام، حيث استهدفت الهجمات الإيرانية البنية التحتية للكهرباء والمياه والوقود الإسرائيلية، رداً على تهديدات إسرائيل أنها ستقطع الكهرباء والمياه والوقود عن غزة، في إشارة إلى مبدأ العين بالعين.
والهدف الثالث التخويف بما يؤدي إلى ترهيب المواطنين الإسرائيليين، وتهديد عائلات جنود الجيش الإسرائيلي من خلال نشر حسابات عبر منصة (X) ورسائل مفادها أن الجيش الإسرائيلي ليس لديه سلطة لحماية جنوده، ورسائل أخرى تهدف لإقناع جنود جيش الدفاع الإسرائيلي بالاستسلام.
والهدف الرابع هو تقويض الدعم الدولي لإسرائيل من خلال استهداف الجهات المساندة لإسرائيل وتسليط الضوء على الأضرار التي سببتها الهجمات الإسرائيلية ضد قطاع غزة.
هجمات «الذكاء الاصطناعي»
وكان الهجوم الإيراني الكبير - وفق التقرير - هو قطع خدمات البث التلفزيوني في أوائل ديسمبر (كانون الأول) 2023، ويستبدل به مقطع فيديو باستخدام (مذيعة أخبار تم إنشاؤها بواسطة الذكاء الاصطناعي) بوصفه جزءاً من حملة التأثير الإيرانية في بريطانيا وكندا والإمارات. وسلطت «مايكروسوفت» الضوء عليه باعتباره «الأول» من نوعه من قبل المجموعات الحكومية في طهران، والاعتماد على تقنيات الذكاء الاصطناعي للعب دور رئيسي في عملياتها.
ورصد القسم مراقبة الذكاء الاصطناعي في شركة «مايكروسوفت» مؤشر الدعاية الإيراني.
وقال إن وسائل الإعلام الإيرانية التابعة للدولة حققت نجاحاً كبيراً في الدول الناطقة باللغة الإنجليزية المتحالفة بشكل وثيق مع الولايات المتحدة، وزادت الإقبال وحركة المرور على زيارة منافذ الأخبار الإيرانية، مقارنة بالحركة الإجمالية على الإنترنت. وفي خلال الأسبوع الأول من الحرب الإسرائيلية ضد قطاع غزة كانت هناك زيادة في زيارة المواقع الإيرانية بنسبة 42 في المائة من الولايات المتحدة وبريطانيا وكندا وأستراليا ونيوزيلندا، مما يشير إلى قدرة إيران على الوصول إلى الجماهير الغربية من خلال تقاريرها عن الصراع في منطقة الشرق الأوسط. وقال التقرير إن النجاح في ذلك كان أقوى في الأيام الأولى للحرب، وبعد مرور شهر على الحرب ظل الوصول إلى هذه المصادر الإيرانية أعلى بنسبة 28 في المائة من مستويات ما قبل الحرب.
عمليات التغلغل الإيراني
ويقول التقرير إن الجهات الإيرانية لا تتنكر في صورة أعدائها فحسب، بل في صورة أصدقائها أيضاً. وقد استخدمت العمليات الأخيرة التي قامت بها الجماعات الإيرانية اسم وشعار الجناح العسكري لحركة «حماس»، «كتائب القسام»، لنشر رسائل كاذبة، وتهديد أفراد الجيش الإسرائيلي. ولكن من غير الواضح ما إذا كانت إيران تتصرف بموافقة «حماس» أم لا.
كما تمكنت إيران من استقطاب إسرائيليين للمشاركة في أنشطة تروج لعملياتها. وفي إحدى العمليات الأخيرة، التي تحمل اسم «دموع الحرب»، أقنع عملاء إيرانيون الإسرائيليين بتعليق لافتات تحمل علامة «دموع الحرب»، باستخدام صور تم إنشاؤها بواسطة الذكاء الاصطناعي في الأحياء الإسرائيلية، بناءً على تقارير صحافية إسرائيلية، والتشجيع على إقالة بنيامين نتنياهو.
حملات البريد الإلكتروني
وتزايد استخدام إيران للرسائل النصية الجماعية وحملات البريد الإلكتروني من أجل تعزيز الآثار النفسية السلبية، وتبين أن الرسائل التي تظهر على هواتف الأشخاص أو في صناديق البريد الوارد الخاصة بهم لها تأثير أكبر من الحسابات المزورة على وسائل التواصل الاجتماعي. ويقول التقرير إن إيران تستخدم وسائل الإعلام العلنية والسرية المرتبطة بـ«الحرس الثوري» الإيراني لتضخيم العمليات السيبرانية والمبالغة في آثارها. في سبتمبر (أيلول)، ادعت مجموعة قرصنة إيرانية وقوع هجمات إلكترونية ضد نظام السكك الحديدية الإسرائيلي، وقامت وسائل إعلام «الحرس الثوري» الإيراني على الفور تقريباً بتضخيم مزاعمها وبالغت فيها.