خبايا صراع الظلام بين إسرائيل وإيران

في ساعات الفجر الأولى من أحد أيام شهر يونيو/حزيران 2025، كان المهندسون العسكريون الإيرانيون يراقبون شاشات الرادار في قبو محصن بالقرب من أحد المنشآت النووية متحفزين لهجوم إسرائيلي، أو ربما أميركي وشيك. لم تظهر الرادارات شيئا ذا بال، وبدت الليلة كما لو كانت ستمر هادئة لأول مرة منذ أكثر من أسبوع. لكن الرادارات لا تستطيع رصد كل تهديد.

ففي نفس الوقت تقريبًا، وعلى بُعد قرابة 2000 كيلومتر، كان عدد من العسكريين الإسرائيليين يتحلقون حول شاشات كبيرة ويضرب بعضهم بين الفينة والأخرى على لوحات المفاتيح أمامهم. وقبل دقائق من القصف العاصف الذي استهدف مواقع مختلفة في إيران، كان الهدوء يصاحب هجوم إسرائيل الإلكتروني الذي بدأ بالفعل للتشويش على الرادارات الإيرانية، واختراق أنظمة الإنذار المبكر.

هذا تقريبًا ما حدث بالضبط، فقد كشفت مصادر أمنية إسرائيلية أن جهاز الاستخبارات الإسرائيلي (الموساد) أقام منظومات وتمركزات سرية في إيران من أجل استهداف العديد من المواقع الإستراتيجية، من ضمنها قاعدة للمسيّرات المفخخة، مؤكدة أن ذلك حدث قبل فترة طويلة من بدء الضربة الافتتاحية يوم الجمعة 13 يونيو/حزيران.

وأشار الإعلام الإسرائيلي إلى أن هذه الطائرات المسيّرة دخلت بصورة سرية قبل الهجوم، وأن الموساد أقام مواقع خاصة لها بالقرب من العاصمة طهران، وجهزها لاستهداف منصات إطلاق الصواريخ ومنظومات الدفاع الجوي الإيرانية.

وعندما حانت ساعة الصفر، فعّل عملاء الموساد تلك الأسلحة عن بُعد وعلى الأغلب صاحبت ذلك عملية اختراق لأنظمة الرادار الإيرانية، وهو تكتيك استخدمه الجيش الإسرائيلي في الضربة الجوية السابقة لإيران في أكتوبر/تشرين الأول 2024.

في المحصلة، نجحت تلك العمليات الخفية، التي تمزج التجسس وأدوات الحرب السيبرانية والإلكترونية بالضربات الجوية، في إضعاف شبكات الإنذار المبكر الإيرانية. ونتيجة لذلك، تمكنت الطائرات الحربية الإسرائيلية من استهداف المنشآت المحصنة بمقاومة أقل وردّ أبطأ.

وبالتزامن مع الضربات الجوية، يعتقد أن إسرائيل شنت عمليات سيبرانية تخريبية ضد محطات ومنشآت الطاقة النووية في إيران دون أن تترك آثارا ظاهرة، بحسب تصريح ديفيد أولبرايت، الخبير النووي في معهد العلوم والأمن الدولي، لوكالة رويترز.

كان هذا كله شرارة البدء فقط. ففي الأيام التالية للعدوان الإسرائيلي تصاعدت وتيرة المواجهة السيبرانية بين إيران وإسرائيل، وهي حروب الظلام التي لا نسمع ضجيجها على وسائل الإعلام، لكنها شديدة التأثير على البنى التحتية التي يتم استهدافها لكل طرف.

ونقلت صحيفة جيروزالم بوست عن شركة الأمن السيبراني الإسرائيلية “رادوير” (Radware) أن هناك “زيادة بنسبة 700% في الأنشطة الخبيثة خلال يومين فقط، مرتبطة بعمليات إلكترونية شنتها مجموعات قراصنة إيرانية تابعة للدولة وموالية لها”، في المقابل تم رصد العديد من الهجمات السيبرانية الإسرائيلية على البنية التحتية الإيرانية، ركزت في المقام الأول على القطاع المالي في طهران.

إسرائيل.. هجمات منسقة أكثر تطورا

في يوم الثلاثاء 17 يونيو/حزيران الجاري، أعلنت مجموعة قراصنة إسرائيلية تدعى “بريداتوري سبارو” (Predatory Sparrow) مسؤوليتها عن هجوم إلكتروني على بنك سبه (Bank Sepah)، أحد أكبر المؤسسات المالية الحكومية في إيران، مما تسبب في انقطاعات واسعة النطاق في الخدمة.

بعد ذلك بوقت قصير، نشرت المجموعة وثائق مصرفية داخلية حساسة، بما في ذلك ملفات يُزعم ارتباطها بالحرس الثوري الإسلامي ورئيس الأركان محمد باقري، الذي اغتيل في بداية الهجوم الإسرائيلي.

من جانبهم، أبلغ عملاء بنك سبه عن مشاكل في الوصول إلى حساباتهم، وإجراء عمليات السحب، ومعالجة مدفوعات البطاقات. وقد حذرت وسائل الإعلام الرسمية الإيرانية من أن هذه الاضطرابات لربما تؤثر في محطات الوقود في البلاد، التي تعتمد على البنك لمعالجة المعاملات.

بعد ذلك، أفادت مصادر بتعرض قناة “IRIB TV”، إحدى القنوات الوطنية في البلاد، للاختراق حيث تم بث رسائل تشجع الإيرانيين على الاحتجاج ضد النظام، وعرضت شعارات مرتبطة بمعارضي النظام وأنصار الشاه لكن دون تبني رسمي للهجوم من أي جهة موالية لإسرائيل.

وبحلول الأربعاء، 18 يونيو/حزيران، أعلنت “بريداتوري سبارو” مسؤوليتها عن هجوم إلكتروني، أفادت التقارير أنه سرق أصولًا رقمية تزيد قيمتها على 90 مليون دولار من منصة تداول العملات المشفرة الإيرانية “نوبيتكس” (Nobitex).

وكما هو واضح، ركزت أبرز الهجمات السيبرانية المرتبطة بإسرائيل على القطاع المالي الإيراني، لا بغرض إحداث أضرار مالية ضخمة فقط بل بهدف مراكمة الاستياء الشعبي من خلال تعطيل المعاملات المالية وجعل حياة الإيرانيين أكثر صعوبة، بالتزامن مع اختراقات “إعلامية” لبث رسائل معادية للنظام تسهم في تعميق مشاعر الاستياء.

تنسجم هذه الإستراتيجية مع تصريحات وخطابات رئيس الوزراء الإسرائيلي نتنياهو وأعضاء حكومته التي تدعو الإيرانيين إلى الثورة ضد النظام، وهو ما يسلط الضوء على توظيف إسرائيل للهجمات السيبرانية لتحقيق أهداف سياسية، جنبا إلى جنب مع توظيفها ضمن الإستراتيجية العسكرية كما ظهر خلال هجمات 13 يونيو/حزيران. فمنذ عقدين ونيف على الأقل حرصت إسرائيل على دمج الهجمات السيبرانية ضمن حروبها ووجّهتها لتحقيق أهداف عسكرية فعلية.

المثال الأبرز على ذلك هو فيروس “ستوكسنت” الذي كُشف النقاب عنه في عام 2010 ويُعد أول سلاح سيبراني في العالم يُحدث دمارًا ماديًّا فعليًّا. صُمّم هذا الفيروس لاستهداف وحدات التحكم التي كانت تُشغّل أجهزة الطرد المركزي المستخدمة في تخصيب اليورانيوم الإيراني وقد تلاعب الفيروس بسرعات دوران الأجهزة وأدى إلى تلفها، مما تسبب في إبطاء وتعطيل جزء كبير من قدرة إيران النووية في ذلك الوقت.

منذ ذلك الحين، شنت إسرائيل “عمليات تخريب سيبراني” متعددة ضد إيران لكنها كانت أضيق نطاقا وأقل تدميرا. ولعل من أقرب الأمثلة على ذلك ما حدث في أواخر أبريل/نيسان الماضي، حين أعلن مسؤولون إيرانيون عن إحباط “هجوم سيبراني معقد وواسع النطاق” استهدف أنظمة الاتصالات والبنية التحتية في البلاد. وجاء هذا الإعلان بعد يوم واحد فقط من انفجار غامض في ميناء رجائي بمدينة بندر عباس جنوب شرقي إيران.

وقد سبق أن اتهمت طهران إسرائيل بتنفيذ هجمات مماثلة استهدفت موانئها وشبكات وقودها، مثل الهجوم على شبكة محطات البنزين عام 2023. كما سبق أن تعرض ميناء بندر عباس نفسه عام 2020 لهجوم سيبراني تسبب في شلل مؤقت للمسارات المائية المؤدية إليه، وهو الهجوم الذي رجّحت صحيفة واشنطن بوست حينها أن يكون ردًّا إسرائيليًّا على اختراق سيبراني إيراني.

إيران.. قدرات سيبرانية متصاعدة

على الجهة المقابلة، نجحت إيران سريعا فيما يبدو في امتصاص آثار الضربة الإسرائيلية الأولى، ولإدراكها للدور الكبير للاختراقات الرقمية فإنها فرضت قيودا على استخدام الإنترنت والاتصالات وسط المستويات القيادية.

ووفقا لما نقلته وكالة أنباء فارس، أمرت القيادة الإلكترونية كبار المسؤولين الحكوميين وفرق الأمن السيبراني التابعة لهم بالتخلي عن أجهزتهم المتصلة بالإنترنت كما فرضت الحكومة حالة تأهب قصوى في جميع المؤسسات الحكومية، وفي وقت لاحق فرضت قيودًا على جميع خدمات الإنترنت في البلاد ووجهت المواطنين لاستخدام شبكتها الداخلية الوطنية (Intranet).

بالتزامن مع ذلك، رصد خبراء الأمن السيبراني مجموعة من التدخلات الرقمية المرتبطة بإيران منذ بدء الحرب، ركزت بشكل أساسي على “حملات التضليل” الموجهة لاستهداف معنويات المواطنين الإسرائيليين وكسر ثقتهم في حكومتهم وتشويش رسائل الحكومة الإسرائيلية إلى مواطنيها.

على سبيل المثال، حذرت رسالة انتشرت على نطاق واسع الإسرائيليين من تعليق إمدادات الوقود في المحطات لمدة 24 ساعة. وزعم تنبيه زائف آخر أن هجومًا وشيكًا سيقع بالقرب من أحد الملاجئ، وحث الناس على الابتعاد، وذلك على ما يبدو بهدف إثارة الذعر وسط الضربات الصاروخية المستمرة، وفقًا لما ذكره موقع أكسيوس.

صُممت الرسائل لتبدو وكأنها تحذيرات رسمية من قيادة “الجبهة الداخلية الإسرائيلية”. وقد نجحت الهجمات السيبرانية الإيرانية -على بساطتها- في تحقيق أهدافها. غير أن طهران كانت تتباهى قبل أيام قليلة من الحرب بقدرات استخبارية وسيبرانية أكثر تعقيدا.

ففي 7 يونيو/حزيران الجاري، أعلنت طهران أن بحوزتها وثائق سرية تتعلق بمنشآت ومشاريع نووية إسرائيلية ستمكنها من استهداف المنشآت النووية والبنية التحتية الاقتصادية والعسكرية الإسرائيلية في حال وقوع هجوم على المنشآت النووية الإيرانية.

كما نقل التلفزيون الرسمي الإيراني، عن مصادر استخبارية، أن أجهزة الأمن الإيرانية تمكنت من الاستيلاء على “آلاف الوثائق السرية” تعود إلى جهاز الاستخبارات الإسرائيلي، وتشمل معلومات عن منشآت نووية، ورجحت وسائل إعلامية أن هذا الإعلان كان مرتبطًا مباشرة باختراق مركز سوريك للبحوث النووية في سبتمبر/أيلول الماضي.

وقتها، أفادت الصحافة الإسرائيلية أن مجموعة اختراق سيبراني يُزعم ارتباطها بإيران (وتصف نفسها بأنها مؤيدة لفلسطين)، تُعرف باسم مجموعة “حنظلة” أعلنت مسؤوليتها عن اختراق مركز سوريك للبحوث النووية، والاستيلاء على 197 غيغابايتًا من البيانات الحساسة.

مثلت هذه العملية تحولا واضحا نحو عمليات تجسس سيبراني أكثر دقة واستهدافا رصدت المخابرات الداخلية الإسرائيلية (الشاباك) العديد منها. على سبيل المثال، في أواخر مايو/أيار الماضي، كشف جهاز الشاباك ومديرية السايبر الإسرائيلية أن الدفاعات الإسرائيلية أحبطت 85 هجومًا سيبرانييًّا إيرانيًّا منذ بداية عام 2025. كان أغلب تلك الهجمات عمليات تصيّد موجّه استهدفت أفرادًا بغرض التجسس، وشملت الأهداف مسؤولين كبارًا في الدفاع، وسياسيين، وصحفيين، وأكاديميين.

تظاهر المهاجمون عادة بأنهم جهات اتصال موثوق بها عبر تطبيقات واتساب أو تلغرام أو البريد الإلكتروني، وأرسلوا دعوات مزيفة إلى اجتماعات على خدمة “غوغل ميت”. وعند الضغط على الرابط، كان يُطلب من الضحايا إدخال بياناتهم الشخصية، التي يستخدمها المخترق لتثبيت برمجيات تجسس على أجهزتهم.

وأفادت مصادر إسرائيلية بأن المعلومات المسروقة كانت ستتيح لإيران تتبع مواقع الأفراد واتصالاتهم، والتخطيط لهجمات مستقبلية. ووفقًا للشاباك، كان الهدف الإيراني من البيانات الشخصية المسربة هو “تنفيذ عمليات مستهدفة داخل إسرائيل، ربما من خلال عملاء يُجنّدون محليًّا”.

وفي عملية أخرى سابقة، في أكتوبر/تشرين الأول عام 2024، رُصد قيام مجموعة قرصنة إلكترونية مرتبطة بإيران تُعرف باسم “UNC2428” بتنفيذ هجوم سيبراني معقد ضد أهداف إسرائيلية، مستغلةً بابًا خلفيًّا، وكان الهجوم ضمن حملة خداع إلكتروني في هيئة عرض عمل مزيّف.

وبحسب تقرير لشركة “مانديانت” (Mandiant)، التابعة لشركة غوغل، فإن القراصنة تظاهروا بأنهم يمثلون الشركة الإسرائيلية “رافائيل” للصناعات العسكرية، وأرسلوا رسائل توظيف وهمية إلى أفراد مستهدفين.

عند تفاعل الضحية مع الرسالة، يُوجّه إلى موقع مزيّف يبدو وكأنه موقع رسمي لشركة “رافائيل”، وهناك يُطلب منه تحميل أداة لتسهيل التقديم على الوظيفة. تلك الأداة كانت في الواقع برمجية خبيثة، تُظهر واجهة بسيطة تطلب من الضحية إدخال بياناته الشخصية ورفع سيرته الذاتية. وما إن يحدث ذلك، حتى تعمل البرمجية الخبيثة في الخلفية، وتفتح منفذًا للمهاجمين للوصول إلى الجهاز والتحكم فيه بصورة دائمة.

وأوضح التقرير أن استخدام واجهة رسومية شبيهة بمنصات التوظيف المعتادة ساعد المهاجمين على خداع الضحايا، لأن المظهر المألوف قلّل من الشكوك وأوحى بأن عملية التقديم على الوظيفة طبيعية وآمنة.

طبيعة التجسس الإيراني

سلطت هذه العمليات الضوء على تصاعد القدرات السيبرانية الإيرانية خلال السنوات الماضية، وقد وصفها مسؤولو الأمن السيبراني الإسرائيليون لموقع “دارك ريدينغ” في يونيو/حزيران الجاري بأنها ارتقت في ثلاث مراحل متدرجة. كانت العمليات خلال المرحلة الأولى عشوائية وصاخبة، وتعتمد أساليب بدائية مثل مهاجمة المواقع الإلكترونية بهجمات الحرمان من الخدمة، بهدف الدعاية و”التخريب” بالدرجة الأولى.

وفي المرحلة الثانية تكررت محاولات الاختراق بشكل أكثر استمرارية وأدق استهدافًا، باستخدام برمجيات خبيثة بسيطة وتقنيات التصيد الإلكتروني التي تستهدف المؤسسات العسكرية والحكومية بصورة مباشرة. أما في المرحلة الثالثة الحالية، والأخطر بالنسبة لإسرائيل، فيشير التقرير إلى اختراقات سيبرانية تتسم بالعمليات العميقة والسرية.

لم تعد الوحدات السيبرانية الإيرانية تكتفي بإغراق الأنظمة بهجمات البريد العشوائي أو التشويش، بل تطورت لاستخدام برمجيات شرعية وأدوات تحكم عن بُعد شديدة التخصيص، مصممة لتجنب الكشف. يتيح هذا النهج المتطور والهادئ للمهاجمين إمكانية الوصول إلى الأنظمة على مدار فترة زمنية أطول، مما يمكّنهم من جمع البيانات بصورة شاملة، والتحضير لعمليات استهداف إستراتيجية.

ورغم هذا التطور “الإيراني”، فلا تزال هناك اختلافات بين الهجمات السيبرانية الإسرائيلية ونظيرتها الإيرانية، سواء في طبيعة الهجمات أو في طريقة تنسيقها وإدارتها.

أول هذه الاختلافات يظهر في وتيرة الهجمات، حيث عادة ما تكون الهجمات الإسرائيلية أقل عددا من نظيرتها الإيرانية ولكنها أكثر دقة واستهدافا (رغم التطور النوعي للهجمات الإيرانية مؤخرا)، كما تدار هذه الهجمات عادة من قبل وحدات الجيش أو عدد قليل من المجموعات المرتبطة بها بعكس الهجمات التي يربطها الخبراء بإيران والتي تتمتع بقدر أكبر من “اللا مركزية”، وبعضها تشنه مجموعات يُعتقد أن لديها ارتباطات بجهات رسمية، وبعض آخر تقوم به مجموعات لا يمكن إثبات علاقات رسمية لها بأي جهة في طهران.

ولا ننسى لفت الانتباه إلى أن منصات التحليلات الرقمية الغربية عادة ما تخلط بين الهجمات السيبرانية المرتبطة بإيران ومثيلتها التي تشنها المقاومة الفلسطينية والمجموعات المؤيدة لها ومجموعات أخرى تعمل بشكل مستقل باعتبار أن الجميع ينتمي لـ”محور واحد”.

وبصورة إجمالية رصد الباحثون المختصون ما بين 60 و100 مجموعة شنت هجمات متفرقة على إسرائيل في الآونة الأخيرة، تنوعت بين المجموعات الإيرانية ومجموعات من روسيا وجنوب آسيا وغيرها. وكما تشير شركة “سايبل” الأميركية المتخصصة في رصد التهديدات السيبرانية فإن العديد من هذه المجموعات تصور نفسها على أنها جزء من “منظومة مقاومة رقمية أوسع” تستهدف إسرائيل.

تشن هذه المجموعات هجمات متفاوتة الشدة والخطورة على إسرائيل أغلبها هجمات تقليدية على غرار هجمات الحرمان من الخدمة (DDoS) التي تهدف لإعاقة وصول المستخدمين إلى الويب. وفقا لشركة “رادوير” شهدت الفترة من 4 إلى 12 يونيو/حزيران 3 أو 4 هجمات حرمان من الخدمة يوميا ضد إسرائيل، لكن هذا الرقم ارتفع إلى 21 هجومًا في 13 يونيو/حزيران و34 هجومًا في اليوم التالي.

ومنذ ذلك الحين تم الإعلان عن حوالي 25 هجومًا أو أكثر يوميًّا. وبشكل عام، تتعرض إسرائيل الآن لحوالي 40% من جميع هجمات حجب الخدمة التي ينفذها نشطاء القرصنة في العالم، متجاوزة أي دولة أخرى بكثير.

إلى جانب هجمات حجب الخدمة الموزعة، سرّب نشطاء القرصنة أيضًا بيانات مهمة. على سبيل المثال، في 18 يونيو/حزيران، نشر نشطاء القرصنة في مجموعة “حنظلة” تسريبًا لبيانات تخص شركة شحن إسرائيلية تدعى “مور لوجيستكس المحدودة” (Mor Logistics Ltd) كما ادعوا حصولهم على 4 تيرابايتات من “وثائق داخلية وأبحاث حساسة وبيانات سرية” تابعة لمعهد وايزمان للعلوم، وهو جامعة بحثية إسرائيلية كبرى، تعرّضت لقصف صاروخي إيراني.

وقبل ذلك بساعات، أدرجت مجموعة حنظلة على موقع التسريب الخاص بها شركة النفط الإسرائيلية الكبرى “ديليك جروب” (Delek group) وشركتها التابعة “دلكول” (Delkol)، وقالت إنها حصلت على كميات ضخمة من البيانات منهما، وسربت المجموعة لاحقًا 300 وثيقة قالت إنها تضمنت تفاصيل تتعلق بشراكة مجموعة “ديليك” مع الجيش الإسرائيلي. كما قالت المجموعة إنها اخترقت أيضًا شركة البناء الإسرائيلية “واي جي نيو إيدان” (Y.G. New Idan) ومزود خدمة الإنترنت “099 بريمو كوميونيكيشنز” (099 Primo Communications)، إضافة إلى شركة تصنيع الطائرات المسيّرة الأرجنتينية “إيرودريمز” (AeroDreams)، التي اتهمتها بالعمل مع سلاح الجو الإسرائيلي.

يتميز التجسس السيبراني “المرتبط بإيران” إذن بأنه متعدد المستويات ويتراوح بين العمليات المستهدفة المتزايدة التعقيد وبين الهجمات البدائية، ويرجع ذلك بالأساس لطبيعته “اللا مركزية”.

ولكن بغض النظر عن تلك الاختلافات تشير التطورات الأخيرة إلى أن الحرب السيبرانية لم تعد مجرد عمل تكتيكي أو تكميلي، بل أصبحت جزءًا من إستراتيجية متكاملة لتحقيق أهداف عسكرية أوسع نطاقًا، قد تساهم في تشكيل الظروف الميدانية، أو التأثير في المواقف الدبلوماسية، وربما تحسم النزاعات الإقليمية المصيرية.