مجموعة الأمن السيبراني: العمليات التي استهدفت مواقع حكومية إيرانية تم تنفيذها داخليًا داخل إيران

قامت مجموعة بارزة من الأمن السيبراني بالتحقيق في العمليات ضد المواقع الحكومية في إيران وخلصت إلى أنه نظرًا لبنية الإنترنت الإيرانية وانفصالها عن الإنترنت العالمي، فقد تم تنفيذ عمليات ضد المواقع الحكومية، بما في ذلك تلك التابعة للإذاعة والتلفزيون الحكومي في 27 يناير 2022. وزارة الخارجية في 7 مايو 2023، ومكتب رئيس الجمهورية في 29 مايو 2023، تم إجراؤهما عن طريق التسلل ولا يمكن أن يكون نتيجة اختراق من خارج إيران.

في السنوات الأخيرة، نشرت مجموعة Treadstone71 للأمن السيبراني عدة تقارير عن الحكومة الإيرانية وهجماتها السيبرانية وتطورت لتصبح مرجعًا في هذا المجال.

ويؤكد تقرير تريدستون 71 أن الهجمات الكبرى على المواقع الحكومية الإيرانية تم تنفيذها على الأرجح عن طريق اختراقات من داخل إيران، ولا سيما من قبل المطلعين الذين تمكنوا من الوصول إلى هذه الأنظمة.

تعرضت العشرات من أهم المواقع الإلكترونية للحكومة الإيرانية، بالإضافة إلى الأنظمة الإلكترونية لبلدية طهران وشبكات الإذاعة والتلفزيون الوطنية، لهجمات واسعة النطاق منذ يناير 2022.

المجموعة "جيامسارنيجوني ("الانتفاضة حتى الإطاحة") وأعلنت مسؤوليتها عن الهجمات الرئيسية وكشفت عن وثائق حكومية داخلية واسعة النطاق للحكومة الإيرانية على حسابها على تيليغرام. قامت المجموعة بتشويه الصفحات الرئيسية لعدد من المواقع الإلكترونية، ونشر صور مشطوبة للمرشد الأعلى علي خامنئي، ووضع صور لقادة المعارضة الإيرانية.

في عام 2022، تعرضت هياكل وخدمات الإنترنت الحكومية في ألبانيا لهجوم إلكتروني ضخم، مما تسبب في العديد من المشاكل. وأشار التحقيق الشامل الذي أجرته مايكروسوفت وآخرون بأصابع الاتهام إلى طهران.

وفقًا لتقييم Treadstone71، "تتمتع إيران بتاريخ طويل من الانخراط في هجمات الأمن السيبراني، ووفقًا لبعض الإحصائيات، تحتل إيران المرتبة الخامسة بين الدول المعروفة باستهداف خصومها من خلال الحرب السيبرانية".

الإعلانات

"كإجراء احترازي للسلامة،" تشير Treadstone71 في تقريرها، "قررت إيران تحويل مواقعها الحكومية من خوادم الاستضافة الأوروبية إلى شركات الاستضافة المحلية، كجزء من "الإنترنت الوطني" الخاص بها"، ونتيجة لذلك، "جميع الحكومات والدول تم نقل المواقع التي تسيطر عليها من خوادم الاستضافة الأوروبية والأمريكية إلى مضيفين محليين، وكان الوصول إلى مواقع مختارة تابعة للحكومة والمواقع التي تسيطر عليها الدولة مقصورًا على "الإنترنت الوطني"، مما جعل الوصول إليها غير قابل للوصول عبر الإنترنت العالمي.

وشدد تقرير تريدستون 71 على أنه “شهدنا أيضًا نوعًا مختلفًا من الهجمات، منفصلاً عن تلك الهجمات التي تتسلل إلى المواقع الحكومية على خدمات الاستضافة الإيرانية الضعيفة؛ تلك التي صنعها جيامسارنيجوني ("الانتفاضة حتى الإطاحة"). وكانت الهجمات التي نفذتها هذه المجموعة من بين أعمق عمليات التسلل ضد شبكات الحكومة الإيرانية.

ويشير التقرير إلى:

وبرزت هذه الهجمات بسبب ثلاث خصائص رئيسية:

1. مدى التسلل إلى الشبكات الحكومية الأكثر أمانًا، لا يمكن مقارنته إلا بهجوم Stuxnet (الذي استخدم محرك أقراص فلاش).

2. حجم الوثائق المسربة.

3. الانتشار الواسع للخوادم وأجهزة الكمبيوتر.

ويؤكد تقرير تريدستون 71 أن شبكات الإذاعة والتلفزيون الحكومية، وخاصة في البلدان غير الديمقراطية مثل إيران، "تعد من بين الشبكات الأكثر عزلة والأكثر حماية". وتقول كذلك: “شبكة البث الداخلية في إيران غير متصلة بالإنترنت وهي تعاني من انقطاع شديد في الهواء؛ وهذا يعني أنها معزولة ماديًا عن الإنترنت ولا يمكن الوصول إليها إلا من الداخل… والطريقة الوحيدة التي يمكن لأي شخص خارجي أن يتمكن من الوصول إلى الشبكة هي من خلال التسلل المادي.

في يناير 2022، أشارت وسائل الإعلام الإيرانية إلى أن المؤسسات الحكومية تعتقد أن هذا الهجوم نفذه أفراد لديهم معلومات داخلية عن أنظمة الإذاعة والتلفزيون الحكومية الإيرانية.

وشمل الهجوم على المواقع الإلكترونية لبلدية طهران في 2 يونيو 2022، اقتحام 5,000 كاميرا تستخدم لمراقبة حركة المرور والتعرف على الوجوه. وفقًا لـ Treadstone71، فإن المتسللين "كانوا على علم بأن الكاميرات لم تكن متصلة بالإنترنت وأنهم سيحتاجون إلى الوصول الفعلي إلى الكاميرات لاختراقها".

لكن النتائج الأكثر إثارة للدهشة التي توصلت إليها Treadstone71 تتعلق بالهجومين البارزين والملفتين للانتباه من قبل جيامسارنيجوني مايو 2023.

خلال الهجوم على الموقع الإلكتروني لوزارة الخارجية الإيرانية، تمكن المتسللون من الوصول إلى 50 تيرابايت من البيانات من أرشيف الوزارة. تقييم Treadstone71 هو أن هذا يتطلب "اختراق الطبقات الداخلية لهذه الهيئة الحكومية. وتشير طبيعة الوثائق المسربة إلى أنه لن يكون من الممكن الوصول إلى هذه الوثائق من الإنترنت، مما يدعم الشكوك حول تورط من الداخل".

وخلص تقييم خبراء Treadstone71 إلى أن "نقل 50 تيرابايت من البيانات لن يكون ممكنًا عن بعد - وعلى شبكة تمت تصفيتها مثل تلك الموجودة في إيران"، وأضاف أن الحجم الهائل للاختراق يكشف أيضًا عن كيفية تنفيذه.

“تبلغ سرعة تنزيل الإنترنت العادية للإيرانيين 11.8 ميغابت في الثانية. إن تنزيل 50 تيرابايت من البيانات من وزارة الخارجية الإيرانية بهذه السرعة سيستغرق أكثر من 392 يومًا أو أكثر من عام من وقت التنزيل المتواصل، وكثيرًا ما ينقطع الإنترنت في إيران، وتخنقه الحكومة، ويعاني من انقطاع التيار الكهربائي بشكل منتظم بسبب الحكومة. وذكر التقرير.

"بناءً على هذه الأرقام، من المحتمل جدًا أن يكون مثل هذا الهجوم قد حدث من خلال الوصول المباشر إلى البيانات."

وفيما يتعلق بالهجوم على الموقع الإلكتروني للمكتب الرئاسي، اخترق المتسللون أنظمة الاتصالات الأكثر أمانًا للحكومة وحصلوا على عشرات الآلاف من الوثائق التي لم يتجاوز عمرها بضعة أشهر.

وبحسب خبير إيراني، فإن هذا الموقع "استخدم عنوان IP مخصصًا كان غير قابل للاختراق".

"إن حقيقة تمكن المتسللين من الوصول إلى عشرات الآلاف من المستندات التي لا يزيد عمرها عن بضعة أشهر تشير أيضًا إلى أن المطلعين نفذوا الهجوم. وكان من الممكن تخزين هذه المستندات على أجهزة كمبيوتر ذات وصول محدود إلى الإنترنت، وكان من الصعب "ليتمكن شخص خارجي من الوصول إليها"، صرح Treadstone71.

واختتم التقرير بالقول: “أرجعت الحكومة الإيرانية اللوم في البداية إلى الخصوم الأجانب. ومع ذلك، يشير خبراء الأمن السيبراني والأدلة المتزايدة إلى تورط من الداخل”.

حصة هذه المادة: