قالت شركة الأمن المعلوماتي الإسرائيلية “كلير سكاي” أنها اكتشفت موجة جارية من الهجمات المعلوماتية مصدرها إيران ضد أهداف في إسرائيل والشرق الأوسط. الهدف هو “التجسس ومصالح أخرى لدولة”، كما قالت الشركة.

واستخدم الهاكرز تقتيات مثل التصيد المستهدف – الذي يقوم من خلاله الهاكرز بجمع بيانات عن المستخدم بإستخدام صفحات إنترنت كاذبة تبدو وكأنها حقيقية – لإختراق 40 هدفا في إسرائيل و500 حول العالم. وشملت الأهداف في إسرائيل جنرالات متقاعدين وموظفين في شركات إستشارة أمنية وباحثين في الأكاديمية.

حوالي 44% من المستهدفين في السعودية، وتاليها إسرائيل (14%) ومن ثم اليمن (11%).

وقال مسؤولون في الشركة أن الأهداف خارج إسرائيل شملت وزير مالية في دولة شرق أوسطية والسفارة القطرية في بريطانيا وصحافيين ونشطاء حقوق إنسان، بحسب ما ذكرته الإذاعة الإسرائيلية.

وأفادت، “كلير سكاي أن “الحملة شملت عدة هجمات تهدف إلى الإستيلاء على كمبيوترات الأهداف أو الوصول إلى بريدهم الإلكتروني. نفترض أن هذا الوصول يُستخدم للتجسس أو مصالح أخرى لدولة”.

في الهجمات، التي قال مسؤولون في “كلير سكاي” بأن تاريخها يعود على الأقل إلى يوليو 2014، ولكن هناك إحتمال بأنه قد يكون أيضا قبل هذا التاريخ في 2011، قام الهاكرز بإرسال برمجيات خبيثة كمرفقات لبريد إلكتروني واستخدموا تقنيات الهندسة الإجتماعية لإختراق خطوط هاتف وحسابات بريد إلكتروني وفيسبوك.

وقال مسؤولون في “كلير سكاي”، أن الهجوم المعلوماتي الأخير كان الأصعب الذي واجهوه من حيث المدة والإستمرارية.

بحسب التقرير “جاءت الأهداف بمعظمها من المجالات التالية: باحثون أكاديميون وأصحاب مهنة في مجالات مكافحة الإرهاب والدبلوماسية والعلاقات الدولية وإيران والشرق الأوسط وميادين أخرى، مثل الفيزياء والأمن والدفاع؛ وصحافيين ونشطاء حقوق إنسان”.

وقال واضعو التقرير، أن “عددا من خصائص الهجمات قادتنا إلى الإستنتاج بأن طرف تهديد إيراني هو الجاني المحتمل”. وقالوا أن هذا هو إفتراضهم، ولكنهم لا يملكون دلائل مباشرة بأن حملة الإختراق مدعومة من النظام الإيراني أو النظام هو من يقوم بها: “سياق الهجمات والقصص لتغطيتها تدور كلها حول إيران”، بحسب ما أشار التقرير، الذي أضاف أن “المهاجمين يتحدثون ويكتبون بااللغة لفارسية الإيرانية الأصلية ويرتكبون أخطاء تميز المتحدثين بالفارسية. في أحد من الحسابات المخترقة، بعد إسترداده، تم تحويل لغة الواجهة إلى الفارسية”.

بالإضافة إلى ذلك، فإن الأهداف والضحايا يلائمون المصالح الإيرانية. علاوة على ذلك، بدلا من سرقة الأموال أو تنفيذ “هجمات معلوماتية إرهابية [كبيرة]… قام المهاجمون فقط بسرقة معلومات وإستخدام الوصول إلى الكمبيوترات لمزيد من الهجمات – تشير إلى التجسس وسرقة IP وما إلى ذلك”.

وفصلت الشركة نتائج تحقيقها في تقرير جديد تحت عنوات “Thamar Reservoir” على إسم دكتور تامار غيندين، خبيرة في في علم اللغة الإيرانية وإيران ما قبل الثورة الإسلامية، وهي أيضا محاضرة وباحثة زميلة في “مركز عيزري لإيران والخليج الفارسي في جامعة حيفا”. دكتور غيندين، التي كانت واحدة من أهداف الهجوم المعلوماتي، تساعد حاليا في التحقيق الذي تجريه “كلير سكاي”.

وجاء هذا التقرير بعد أيام من ظهور تقارير تحدثت عن إستهداف ثلاثة فنادق أوروبية استضافت المحادثات بين إيران والقوى العظمى حول الحد من برنامج إيران النووي بفيروس “دوكو” – وهو برنامج تجسس يُعتقد أنه مرتبط بإسرائيل.

وتحدثت تقارير عن أن فيروس “دوكو” مرتبط بـ”ستاكسنت”، وهي دودة حاسوب أصابت برنامج إيران النووي وأرجعته أشهرا أو سنوات إلى الوراء من خلال التأثير على أنظمة الحاسوب الإيرانية وأجهزة الطرد المركزي التي تُستخدم لتخصيب اليورانيوم بعد نشره في عام 2010. وذكرت صحيفة “نيويورك تايمز” أن “ستاكسنت” هي مشروع مشترك لإسرائيل والولايات المتحدة.

بالإضافة إلى الفنادق الثلاثة التي تم إختراق أجهزة الكمبيوتر فيها، عُثر على الفيروس أيضا في كمبيوترات في موقع إستضاف حفلا لإحياء الذكرى الـ70 لتحرير معسكر الإبادة النازي “أوشفيتس”، والذي حضر إليه عدد من قادة العالم.

ساهم في هذا التقرير دافيد شاما وجيه تي ايه.