تسريب يعرّي «القط الساحر»… أخطر وحدات إيران السيبرانية

يستهدف أدق المواقع العسكرية ومصانع السلاح الإسرائيلية

نُشر على الإنترنت تسريب ضخم يكشف وحدة سيبرانية نخبوية تابعة لـ«الحرس الثوري» الإيراني، ويُظهر هويات الجنود-الهاكرز، وقادتهم، والأدوات التي يستخدمونها، إضافة إلى البنية التحتية للاختراق التي أنشأوها حول العالم -بما في ذلك داخل إسرائيل-، والعمليات التي نفّذوها.

تحمل هذه الوحدة السيبرانية الاسم المستعار «القط الساحر» (Charming Kitten)، وتُعدّ واحدة من ثلاث مجموعات اختراق إيرانية بارزة. وتختص هذه الوحدة تحديداً في سرقة الهوية بهدف اختراق الحسابات البريدية، والأنظمة البعيدة، والبُنى التحتية الحسّاسة.

حلّلت صحيفة «هآرتس» الوثائق المسرّبة التي تكشف كيف حاول الهاكرز اختراق شبكات ومواقع جهات مثل شركة الصناعات العسكرية «رافائيل»، وسلطة المطارات الإسرائيلية، ووزارة المواصلات. وقد نجحت بعض هذه المحاولات.

نُشر التسريب على منصة «GitHub» -وهي منصة استضافة للمبرمجين- بواسطة حساب مجهول يطلق على نفسه اسم «Kitten Busters». ويتضمّن التسريب سجلات نشاط الوحدة المخترِقة، والشفرة المصدرية لبرمجيات خبيثة، وأدوات تجسّس، إضافة إلى ملفات تحتوي على بطاقات هوية وصور تعود للجنود-الهاكرز في «الحرس الثوري».

إلى جانب التقارير المنظّمة، يشكّل التسريب توثيقاً مفصلاً لسلسلة من الهجمات السيبرانية، وعمليات التأثير التي قادتها المجموعة ضد إسرائيل، ودول أخرى بين عامي 2022 و2025. وقد جرى ترتيب هذا التوثيق في تقارير أسبوعية وشهرية قُدّمت إلى قادة الهاكرز، أي كبار المسؤولين في «الحرس الثوري».

تحمل وحدة الاختراق الإيرانية لدى باحثي الأمن السيبراني، ومسؤولي الاستخبارات اسم «APT35»، وللمجموعة سجل طويل من الأنشطة، وقد ضُبطت سابقاً وهي تحاول اختراق ملفات علماء نوويين. ويؤكّد التسريب تقييماً سابقاً لخبراء الأمن السيبراني في «غوغل» و«مايكروسوفت» وشركة «تشيك بوينت» الإسرائيلية، إضافة إلى تقديرات استخباراتية غربية، وإسرائيلية، أن هذه المجموعة ليست سوى هوية إلكترونية واجهة تستخدمها إيران لتنفيذ عمليات استخبارية عبر وكلاء.

«وحدة عسكرية حقيقية»

قال باحث إسرائيلي بارز اطّلع على التسريب، وتابع هجمات المجموعة داخل إسرائيل لسنوات: «هذه وحدة عسكرية حقيقية، وليست مجرد مجموعة هاكرز مدعومة من دولة. ليست مدعومة من الدولة، بل هي الدولة نفسها. ليست وكيلاً، أو جهة بالنيابة، بل جنود فعليون، لديهم أرقام عسكرية، ورتب، ويكتبون تقارير يومية لقادتهم، ومهمتهم تنفيذ إرهابٍ ترعاه الدولة ضد مواطني دولة عدوة».

ولا يزال من غير الواضح أي جهة أو دولة تقف وراء هذا التسريب. وتتجه الشبهات الأولية نحو مجموعة «العصفور المفترس» (Predatory Sparrow)، وهي واحدة من عدة مجموعات سيبرانية مجهولة مؤيدة لإسرائيل تعمل على تعطيل منشآت استراتيجية، وكشف معلومات سرية، وتسريب مقاطع فيديو، وإحراج النظام الإيراني.

لكن لا يوجد دليل قاطع على أن مجموعة «العصفور المفترس» هي من اخترقت «القط الساحر»، أو أنها وراء التسريب. ويرى باحثون إسرائيليون في الأمن السيبراني أنه من المحتمل أيضاً أن تكون الولايات المتحدة، أو دولة غربية أخرى مثل بريطانيا وراء التسريب، أو أن الأمر ناتج عن صراع داخلي بين مجموعات الهاكرز داخل إيران نفسها.

«الكوماندوز السيبرانيون»

ينقسم التسريب الضخم إلى أربع «حلقات»، تكشف كل واحدة منها جانباً مختلفاً من نشاط مجموعة الهاكرز. وبهذا المعنى، يُعدّ التسريب عملية تأثير بحدّ ذاتها، صُمِّمت لإحراج إيران باستخدام الأساليب نفسها التي يستخدمها قراصنتها ضد إسرائيل.

وكتب الباحث والصحافي السيبراني نريمان غريب، المولود في إيران، والذي كان أول من حلّل التسريب، ونشر لاحقاً سلسلة تدوينات غالباً ما تركز على عمليات إيران السيبرانية: «هذا واحد من أكبر الانكشافات للبنية التحتية الهجومية الإيرانية في الفضاء السيبراني حتى اليوم».

تكشف الوثائق المسرّبة الاسم الرسمي للوحدة: مجموعة الاستخبارات السيبرانية 1500 (IRGC-IO / CI-1500). وقد طُبعت الوثائق على أوراق تحمل ترويسة «مركز العمليات السيبرانية–جهاز الاستخبارات–الحرس الثوري»، مع شعار رسمي معتمد.

وتفصّل الوثائق أيضاً هيكل الوحدة، وأساليب عملها، بينما تكشف الملفات الشخصية أدوار «الكوماندوز السيبرانيين» الإيرانيين، بما يشمل قادة الفرق، وخبراء الاختراق، ومطوّري برامج التجسّس، ومختصّي التصيّد الإلكتروني، ومصمّمي البرمجيات الخبيثة، ومشغّلي حملات التأثير، ومنسّقي العمل الإعلامي.

وتعرّي الملفات عباس رَهْروِي (المعروف أيضاً باسم عباس حسيني) الذي يُقدَّم بصفته رئيس عمليات الوحدة، والجهة التي تنسّق مع جهاز استخبارات «الحرس الثوري». أمّا الوثائق الأكثر حساسية فهي تقارير الهجمات التي تتضمن ملخّصات عمليات، وصوراً ملتقطة للشاشات توثّق هجمات اختراق، وعمليات تأثير نُفذت في أوروبا، والشرق الأوسط، وهي أهداف تتماشى مع المصالح الجيوسياسية لإيران، وما توصّل إليه الباحثون سابقاً حول نشاطات هذه المجموعة.

كما تضمّنت التسريبات مواد تقنية، بينها الشيفرة المصدرية لبرمجية التجسّس على الهواتف «BellaCiao» التي طوّرتها إيران (وتم كشفها سابقاً، ما يربطها مباشرة بطهران). وكُشف أيضاً عن كتيّبات تشغيل لـ«أحصنة طروادة» إيرانية الصنع، وهي برامج خبيثة تتيح الوصول غير المشروع إلى الهواتف الجوالة.

جهود منهجية لمسح الشبكات

عثرت صحيفة «هآرتس» في التقارير المسرّبة على عشرات عناوين الشبكات (الدومينات) الإسرائيلية، وأرقام الهواتف الإسرائيلية التي استخدمتها الوحدة السيبرانية الإيرانية للتستّر على محاولات الاختراق.

وتوثّق عشرات تقارير الهجمات جهوداً منهجية لمسح الشبكات الإسرائيلية المستهدفة، ورصد الثغرات القابلة للاختراق. كما تكشف لقطات شاشة وصولاً عن بُعد إلى واجهات صناعية تحتوي على أزرار، ولافتات باللغة العبرية، ما يشير إلى أن المجموعة نجحت في بعض الحالات في العثور على ثغرات، واستغلالها لاختراق عمليات شركات داخل إسرائيل، بما في ذلك نظام لحلب الأبقار.

وأكدت شركة «Enersun»، وهي شركة تطوّر أنظمة مرافق المياه، وأنظمة صناعية أخرى، أن إحدى لقطات الشاشة التي ظهرت في الوثائق المسرّبة تعود إلى «مشروع نفّذناه في عدة منشآت بين عامي 2018 و2019. كان من المفترض أن تكون هذه الأنظمة نظام تحكّم داخلي غير متصل بالإنترنت إطلاقاً. أحد موظفي الجهة العميلة، أو أحد مقاولِيها اشترى قطعة عتاد لم نقم نحن بتركيبها في الموقع، وهي التي أتاحت إمكانية الاتصال عن بُعد عند الحاجة».

وتقول الشركة إن أنظمتها محمية، وتستوفي معايير الأمن السيبراني المطلوبة من «سلطة المياه»، لكنها لا تستطيع التحكّم بقرارات العملاء الذين، رغم توصيات الشركة، يثبتون تقنيات إضافية تتيح التحكم عن بُعد، وهو ما يُعرّض أنظمة «Enersun» للخطر. وقد كُشف سابقاً عن محاولات من جانب هاكرز لاستهداف منشآت المياه في إسرائيل عبر اختراق أنظمة صناعية قديمة، وهي محاولات قد تؤدي نظرياً إلى حصول فيضانات، أو إيقاف إمدادات المياه.

استهدافات متعددة

كما كُشف عن محاولات اختراق استهدفت شركة «رافائيل»؛ وتحديداً محاولات للوصول إلى الموقع الذي يتيح لموظفي الشركة الاتصال عن بُعد بخادم البريد الإلكتروني الداخلي، وأنظمة إدارة المشاريع. وتُعدّ «رافائيل» واحدة من كبرى شركات الصناعات العسكرية في إسرائيل، وهي المطوّر الرئيس لمنظومة القبة الحديدية لاعتراض الصواريخ.

وعثرت «هآرتس» أيضاً على محاولات متعددة قام بها الهاكرز الإيرانيون لمسح شبكات جهات إسرائيلية أخرى، ومحاولة اختراقها، مثل سلطة المطارات، ووزارة المواصلات، بما في ذلك خادم البريد الإلكتروني، وأنظمة إرسال الملفات. وشملت أهداف إضافية مزوّد الإنترنت «Bezeq International»، وموقع «act. il» الخاص بالدعاية المؤيدة لإسرائيل، ووكالة السفر «Issta».

وتسجّل الوثائق الداخلية كيف استغلّ الإيرانيون ثغرة أمنية عالمية في برنامج «VPN»، وهو البرنامج الذي يستخدمه العديد من الموظفين للاتصال عن بُعد بأنظمة مؤسساتهم، ما يظهر كيف يمكن لأنظمة ثانوية واسعة الاستخدام أن تعرّض جهات كبيرة للخطر. وقد استغل الإيرانيون هذه الثغرة لمهاجمة مؤسسات إسرائيلية لم تستجب لتحذيرات السلطات، ولم تُجرِ التحديثات الأمنية المطلوبة.

ثغرة في برنامج الـ«VPN»

يرصد تقرير صادر في فبراير (شباط) 2024 عملية مسح منهجية لـ256 خادماً إسرائيلياً يعمل بتقنية «VPN»، جرى خلالها العثور على 29 خادماً ضعيف الحماية، واختراق اثنين منها. وكان المدير العام للأمن السيبراني في إسرائيل قد حذّر قبل ذلك بشهر من أن الهاكرز يستغلون ثغرة في برنامج الـ«VPN» الذي تنتجه شركة «Ivanti» الأميركية، ودعا المؤسسات إلى تنفيذ تحديث أمني فوري، كما فعلت جهات عديدة حول العالم فور اكتشاف الثغرة.

وفي ردّ على مقال نشرته «هآرتس»، أكد المدير العام للأمن السيبراني أن ما لا يقل عن ستة اختراقات في إسرائيل استغلّت ثغرة «Ivanti»، مضيفاً أن «هناك ربما اختراقات أخرى لم يُبلّغ عنها». ويُظهر ذلك كيف تعمل عمليات المسح المنهجي التي ينفذها الإيرانيون بسرعة، وتستهدف المؤسسات التي تتأخر في تحديث أنظمتها.

وترجّح التسريبات بقوة أن تكون الوحدة الإيرانية مسؤولة أيضاً عن اختراق شركة التأمين «شيربيت» في عام 2020، وهو الهجوم الذي مثّل أول ضربة في نمط جديد من الهجمات السيبرانية التي سرعان ما انتشرت في إسرائيل. وقد شكّل هجوم «شيربيت» بداية موجة لا تتوقف من الهجمات الإلكترونية ضد الشركات، والمصالح الإسرائيلية، نفّذتها ظاهرياً مجموعات هاكرز متعدّدة.

لكن التسريب يساعد في ربط كل هذه الهجمات ببعضها البعض. فقد كانت عملية اختراق «شيربيت» منسوبة إلى مجموعة هاكرز صغيرة، وبدت في البداية هجوماً سيبرانياً جنائياً تقليدياً: هاكرز يسرقون بيانات، ويطالبون بفدية مقابل عدم نشرها.

عملية سيبرانية معقّدة

لكن مع مرور الوقت، تبيّن أن ما حدث لم يكن هجوماً جنائياً بسيطاً، بل عملية سيبرانية معقّدة بدأت قبل وقت طويل من انكشافها، وكانت جزءاً من حملة أوسع تهدف إلى خلق انطباع بأن هاكرز «مثاليين» مدفوعين بدوافع اقتصادية يستهدفون شركة إسرائيلية.

في الواقع، كان ذلك أول اختراق في موجة من الهجمات السيبرانية التي تقودها إيران، أو مجموعات تعمل لحسابها ضد أهداف إسرائيلية، من بينها شركات، وجهات خاصة. وتشمل بيانات التأمين الحكومية للمركبات الإسرائيلية معلومات شخصية عن مئات كبار المسؤولين في المؤسسات السياسية، والقضائية، والأمنية، والشرطية.

ومنذ ذلك الحين، نُفذت مئات الهجمات من قبل مجموعات تبدو كأنها شبكة من هاكرز معادين لإسرائيل، لكنها في الحقيقة جزء من الحرب السيبرانية الإيرانية ضد إسرائيل. وتشمل هذه الهجمات عمليات اختراق تستهدف شركات صغيرة، ومتوسطة، إضافة إلى أفراد يجدون أنفسهم بلا حماية حقيقية أمام هاكرز ترعاهم دولة، ويتنكرون في صورة مجرمين سيبرانيين، أو مهاجمين هواة.

وتصف الوثائق عملية نُفذت عامي 2020 و2021 باستخدام برمجية خبيثة متطورة تُسمّى «Sponsor» ضد شركة تأمين لم يُكشف اسمها. بدأت العملية بهجوم تصيّد، وهو عادة رسالة بريد إلكتروني احتيالية تهدف إلى دفع المستخدم للنقر على رابط خبيث، أو كشف اسم المستخدم، وكلمة السر. وتواصلت العملية عبر سلسلة من الاختراقات، والأدوات التي أدّت في النهاية إلى زرع الفيروس المصمّم خصيصاً داخل الشركة، ومنح الهاكرز إمكانية الوصول.

وكانت هذه الطريقة مطابقة تماماً لأسلوب اختراق «شيربيت»، الذي نُسب إلى مجموعة تُدعى «BlackShadow». وتظهر الأسماء نفسها للمشغلين، والخوادم، وأدوات الاختراق الواردة في التسريب في عمليات نُسبت خلال السنوات الأخيرة إلى مجموعة إيرانية أخرى تُسمّى «Moses Staff». ويبدو أن هذه المجموعات لم تكن سوى واجهات وهمية تعمل تحت إدارة «القط الساحر»، أي وحدة «الحرس الثوري» السيبرانية.

كاميرات المراقبة والدعاية

«Moses Staff» هو الاسم الذي استخدمته مجموعة «ناشطة» أعلنت مسؤوليتها عن سلسلة هجمات سيبرانية على إسرائيل منذ عام 2020. شملت هذه العمليات اختراقاً، وتسريباً لبيانات مرتبطة برئيس الموساد ديفيد برنياع، حيث نُشرت قسيمة راتبه، وسجلاته الطبية للأسنان، إضافة إلى اختراق شهير لكاميرات المراقبة في أنحاء إسرائيل. وفي عام 2022، نشرت المجموعة مقطع فيديو سرقته من كاميرا مراقبة بعد اختراقها، تُظهر مشاهد لهجوم إرهابي في القدس، وهو حادث حقق فيه جهاز «الشاباك».

ولسنوات، قيل إن «Moses Staff» نفّذت هجمات سيبرانية بسيطة نسبياً هدفها لم يكن التجسس، أو التدمير، بل الحرب النفسية: اختراق، ثم سرقة وثائق، ورسائل، وصور شخصية، ومن ثم تسريبها لإحراج الضحية، أو إذلالها، وبث شعور بالاختراق، والضعف. كما تهدف هذه العمليات إلى إلحاق الضرر بشركات إسرائيلية، وبث الذعر في قطاع الأعمال في البلاد.

تقوم مجموعة إيرانية أخرى تُسمّى «Handala» بالنمط نفسه من الهجمات، حيث تنشر رسائل بريد إلكتروني، ووثائق، وصوراً خاصة مأخوذة من أجهزة مسؤولين سياسيين، وأمنيين إسرائيليين كبار. ووفقاً لمطلعين في مجتمع الأمن السيبراني، فمن المرجّح جداً أن تكون «Handala» أيضاً هوية وهمية، وواجهة تستخدمها جهة إيرانية تتولى نشر المعلومات التي يسرقها هاكرز آخرون يعملون لصالحها.

وتكشف وثائق التسريب الحالي أن كياناً إعلامياً فعلياً كان يدير «Moses Staff»، وأن عمله شمل تنسيق «عمليات الجمع»، و«العمليات الإعلامية» للوحدة، والتي هدفت إلى «اختراق كاميرات المراقبة في الأماكن الحساسة، والعامة». وتربط الوثائق بشكل مباشر بين الوحدة ودعاية «Moses Staff»، بما في ذلك المواد الرسومية، والشعارات التي تطابق تماماً ما نشرته المجموعة على «تلغرام» عبر السنوات.

«شيلدون» من بيتاح تكفا

تكشف الفواتير وسجلات تحويل العملات الرقمية الواردة في التسريب -والتي حلّلتها «هآرتس»- أن إيران أنشأت بنية تحتية واسعة لعمليات التأثير السيبراني، شملت هويات إسرائيلية مزيفة تستخدم أرقام هواتف إسرائيلية. فـ«شيلدون بايير» يُفترض أنه يعيش في 85 شارع أحد هعام في بيتاح تكفا، و«مالكي تايختِل» تعيش في تل أبيب.

وباستخدام العملات الرقمية، اشترت إيران وشغّلت عبر «شيلدون» و«مالكي» ثلاثة خوادم افتراضية خاصة (VPS) موجودة فعلياً داخل إسرائيل، ونفّذت منها عمليات سيبرانية باستخدام عناوين IP محلية -ما منح هجمات التصيّد مصداقية أكبر، وساعد على تمويه النشاط.

ويكشف التسريب أرقام الهواتف الإسرائيلية التي تم شراؤها لـ«مالكي» و«شيلدون». وقد يكون هذا الجهد قد ساعد إيران أيضاً في تجنيد وتشغيل عناصر داخل إسرائيل. وكما نشرت «هآرتس» سابقاً، فإن إيران استخدمت «تلغرام» خلال حرب غزة لتجنيد عملاء، وتنفيذ حرب نفسية، شملت توجيه تهديدات، وإرسال طرود إلى صحافيين، وأعضاء كنيست، وعائلات رهائن، وكل ذلك باستخدام أرقام محلية فقط.