إسرائيل.. قراصنة مرتبطون بإيران يطورون أداة لاختراق مؤسسات حكومية
كشفت شركة الأمن السيبراني الإسرائيلية تشيك بوينت أن مجموعة قرصنة مرتبطة بإيران طورت إطار عمل جديدا لتنفيذ هجمات إلكترونية ضد منظمات إسرائيلية في القطاعين الحكومي وتكنولوجيا المعلومات، مع قدرة متقدمة على التهرب من أنظمة الكشف والتحليل التقليدية.
وقالت وحدة الأبحاث التابعة للشركة، Check Point Research (CPR)، إنها تتابع منذ مطلع عام 2026 نشاط مجموعة قرصنة تُعرف باسم Cavern Manticore، مشيرة إلى أنها مرتبطة بوزارة الاستخبارات والأمن الإيرانية، وتعمل على تطوير أدوات هجومية أكثر تعقيدا ومرونة في استهداف الشبكات الإسرائيلية.
مجموعة قرصنة إلكترونية إيرانية استهدفت مؤسسات تكنولوجيا المعلومات والحكومة الإسرائيلية بهجمات جديدة
وبحسب التقرير، فإن الإطار الجديد يمنح المهاجمين قدرة كبيرة على تكييف الهجمات مع البيئات التقنية المختلفة، ويقلل في الوقت نفسه من حجم البيانات أو الأدلة التي يمكن للمدافعين والمحللين الأمنيين استعادتها من كل ضحية، بما يصعّب عمليات التتبع والتحليل بعد الاختراق.
وأوضح التقرير أن الأداة الجديدة لا تقتصر على تنفيذ الاختراق الأولي، بل تتيح أيضا توسيع نطاق الوصول داخل الشبكات المستهدفة عبر وحدات متخصصة للتوسع والوصول إلى البيانات، بما يسمح للمهاجمين بالتغلغل بشكل أعمق داخل المؤسسات بعد تثبيت موطئ قدم أولي في أنظمتها.
وأشار التقرير إلى أن المجموعة اعتمدت في المرحلة الأولى من عملياتها على اختراق مزودي خدمات تكنولوجيا معلومات موثوقين، واستخدامهم كمنصة لنشر الأداة الخبيثة على نطاق أوسع. ومن خلال هذا الأسلوب، تمكنت الأداة من الوصول إلى الملفات الموجودة على أجهزة الكمبيوتر المصابة، وتنزيل برامج إضافية، والبحث داخل الملفات والشبكات الداخلية، واختبار كلمات المرور، ثم التوسع تدريجيا داخل المؤسسات المستهدفة.
ووفق التقرير، فإن خطورة الأداة تكمن أيضا في قدرتها على استغلال البرامج التي يستخدمها مزودو خدمات تكنولوجيا المعلومات للوصول إلى أجهزة عملائهم، ما يفتح الباب أمام تمرير برمجيات خبيثة متنكرة في صورة تحديثات شرعية صادرة عن مزود الخدمة نفسه.
وأضافت الشركة أن الأداة تبدو مصممة خصيصا لاستغلال حلول المراقبة والإدارة عن بعد المعروفة اختصارا بـRMM، وهي الأنظمة التي تسمح لمزودي الخدمات التقنية بإدارة أجهزة العملاء وصيانتها عن بُعد، ومن خلال اختراق هذه القنوات، يصبح بالإمكان نقل التحكم في الجهاز إلى طرف آخر من دون إثارة الشبهات بسهولة.
كما رصدت وحدة الأبحاث في "تشيك بوينت" حالات متعددة بدأت فيها سلسلة الاختراق عبر مزود خدمة واحد، ثم انتقلت إلى مزود آخر قبل أن تصل في النهاية إلى الهدف المقصود، وهو ما دفع الباحثين إلى ترجيح أن مجموعة Cavern Manticore تمتلك فهما تفصيليا لسلاسل موردي خدمات تكنولوجيا المعلومات داخل إسرائيل، وتعرف كيفية استغلالها كنقاط عبور للوصول إلى الجهات النهائية المستهدفة.
وحذر التقرير من أن هذه الحملة تعكس مستوى متقدما من القدرات السيبرانية الإيرانية، ليس فقط من حيث تطوير أدوات هجومية معقدة، بل أيضا من حيث المرونة التشغيلية والقدرة على تعديل الهجمات بسرعة بما يتناسب مع الأهداف الجديدة والبيئات التقنية المختلفة.
وخلص مركز الأبحاث إلى أن نشاط مجموعة Cavern Manticore يبرز "قوة وخطورة القدرات السيبرانية الإيرانية"، مشيرا إلى أن النظام الذي طورته المجموعة قادر على التكيف بسرعة مع الحملات والأهداف والمتطلبات التشغيلية الجديدة، بما يزيد من تعقيد مهمة فرق الدفاع السيبراني في رصد الهجمات واحتوائها.
ويأتي هذا التقرير في ظل تصاعد المواجهة السيبرانية بين إيران وإسرائيل خلال الأشهر الأخيرة، مع تزايد التحذيرات من انتقال الهجمات من الاستهداف المباشر للمؤسسات إلى استغلال سلاسل التوريد التقنية ومزودي الخدمات كمسار بديل لاختراق الجهات الحساسة والوصول إلى بياناتها وشبكاتها الداخلية.



