الاستخبارات ـ وحدة “Magic Cat” الإيرانية، المهام والأهداف

خاص ـ المركز الأوروبي لدراسات مكافحة الإرهاب والاستخبارات  ـ ألمانيا وهولندا ECCI

الاستخبارات ـ وحدة “Magic Cat” الإيرانية، المهام والأهداف

لم تقتصر عمليات وحدة “Magic Cat” على الاختراق التقني فحسب، بل شملت حملات نفسية وإعلامية معقدة. نشرت نُشر تحقيق يكشف تسريبًا واسعًا لعمليات سيبرانية نفذتها وحدة نخبوية تابعة للحرس الثوري الإيراني، تُعد من بين 3 أشهر مجموعات القرصنة الإيرانية المتخصصة في سرقة الهوية واختراق الأنظمة الحساسة والبنى التحتية الحيوية. التسريب، الذي نشره حساب مجهول على منصة GitHub تحت اسم “Kitten Busters”، يكشف هويات القراصنة العسكريين وقادتهم، وأدواتهم، وهيكلية الهجمات السيبرانية التي نفذوها، بما في ذلك محاولات اختراق أنظمة شركات إسرائيلية مهمة.

الهيكل والمهام

تُعرف الوحدة رسميًا باسم “مجموعة الاستخبارات السيبرانية 1500” (IRGC-IO/CI-1500)، وتتبع مركز العمليات السيبرانية في جهاز استخبارات الحرس الثوري. يُعد “عباس رهروي ” (المعروف بعباس حسيني)، رئيس عمليات الوحدة والمسؤول عن التنسيق المباشر مع جهاز استخبارات الحرس الثوري. داخل الوحدة قادة فرق عمليات، وخبراء اختراق، ومطوري برمجيات تجسس، ومتخصصين في التصيّد الإلكتروني، ومبرمجي برمجيات خبيثة، إلى جانب مشغلي حملات التأثير ومنسقي العمل الإعلامي المرتبط بالوحدة.

تستخدم الوحدة مواد تقنية متقدمة، منها الشيفرة المصدرية لبرمجية التجسس على الهواتف “BellaCiao” التي طوّرتها إيران، إضافة إلى كتيبات تشغيل لبرمجيات “أحصنة طروادة” محلية الصنع تُستخدم في الوصول إلى الأنظمة المستهدفة. بحسب باحث مطلع على الوثائق المسربة، فإن هذه الوحدة ليست مجموعة قرصنة مدعومة من الدولة، بل وحدة عسكرية فعلية تضم جنودًا ذوي رتب عسكرية وأرقام هوية، يقدمون تقارير يومية لقادتهم ويعملون على تنفيذ ما وصفه الباحث بأنه “إرهاب سيبراني ترعاه الدولة ضد مواطني دولة معادية”. تمتلك المجموعة تاريخًا طويلًا من الأنشطة، وقد تم ضبطها سابقًا أثناء محاولتها اختراق ملفات علماء نوويين. ويؤكد التقرير تقييمات سابقة لخبراء الأمن السيبراني في شركات مثل غوغل ومايكروسوفت، بالإضافة إلى شركة تشيك بوينت الإسرائيلية.

هجمات على إسرائيل، من الصناعة إلى البنية التحتية

كشف التقرير سلسلة من الهجمات السيبرانية على مؤسسات إسرائيلية مهمة، ما يظهر مستوى التعقيد والاحتراف في العمليات. حاولت الوحدة اختراق أنظمة شركة رافائيل، بما يشمل البريد الداخلي ونظم إدارة المشاريع، واستهدفت سلطة المطارات الإسرائيلية ووزارة النقل عبر التركيز على خوادم البريد الإلكتروني وأنظمة مشاركة الملفات. كما استغلت الوحدة ثغرات في برامج VPN عن بعد، واستهدفت منظمات لم تحدّث أنظمتها الأمنية، إلى جانب مهاجمة أنظمة صناعية مثل أنظمة صناعية تابعة لشركة Enersun.

كشف تقرير فبراير 2024 عن مسح منهجي نفّذته وحدة إيرانية على 256 خادمًا إسرائيليًا بتقنية “VPN”، تم خلالها العثور على 29 خادمًا ضعيف الحماية واختراق اثنين منهما. واستُغلت ثغرة في برنامج “Ivanti” الأميركي، ما دفع المدير العام للأمن السيبراني الإسرائيلي لتحذير المؤسسات وتنفيذ تحديثات أمنية عاجلة. وأكد أن 6 اختراقات على الأقل استغلت هذه الثغرة، مع احتمال وجود اختراقات أخرى غير مُبلغ عنها، ما يعكس سرعة وكفاءة العمليات السيبرانية الإيرانية تجاه الأهداف المتأخرة في التحديث الأمني. تربط التسريبات بين هجمات سابقة، مثل اختراق شركة التأمين “شيربيت” عام 2020، وعمليات لاحقة استهدفت المصالح الإسرائيلية، موضحةً أن الهجوم الذي بدا في البداية جنائياً تقليدياً كان جزءاً من نمط هجمات إلكترونية منهجية تنفذه الوحدة الإيرانية عبر مجموعات متعددة، ما يدل على تنسيقها وقدرتها على تنفيذ سلسلة من الهجمات المتعاقبة.

عمليات نفسية وحملات تأثير إعلامي

لم تقتصر عمليات وحدة “Magic Cat” على الاختراق التقني، بل شملت حملات نفسية وإعلامية معقدة تهدف إلى التأثير على الأفراد والمؤسسات على حد سواء. تكشف الوثائق أن مجموعات مثل “Moses Staff” و”Handala”، المرتبطتين مباشرة بالوحدة الإيرانية، قامت بتسريب وثائق حساسة وصور شخصية لمسؤولين إسرائيليين، واختراق كاميرات مراقبة في أماكن عامة وحساسة لـ “زرع الخوف، وتشويه السمعة، وتهديد الاقتصاد المحلي”. تشير التحليلات الأمنية إلى أن هذه العمليات تظهر مدى استخدام إيران للأدوات السيبرانية ليس فقط للاختراق، بل للتحكم في الصورة الإعلامية، وإثارة الخوف العام، وحتى التأثير في قرارات المؤسسات الإسرائيلية في مجالي الأمن والاقتصاد. اعتمدت الوحدة على هويات إسرائيلية مزيفة وأرقام هواتف محلية وخوادم افتراضية داخل إسرائيل، ما عزز مصداقية هجماتها عبر التصيد الإلكتروني، وسهّل جمع المعلومات الدقيقة ومراقبة الأهداف، وربما تجنيد عناصر محلية لدعم عملياتها السيبرانية والإعلامية.

مدى إقليمي للهجمات

لم تقتصر عمليات وحدة “Magic Cat” على الأراضي الإسرائيلية، بل امتدت لتشمل دولًا عدة في الشرق الأوسط وأوروبا. استهدفت الوحدة بشكل مباشر شرطة دبي والحكومة الأردنية، وركزت على شركات شحن يونانية لمراقبة حركة السفن والالتفاف على العقوبات المفروضة على إيران، إضافة إلى استهداف وزارة الخارجية التركية ومعارضين للنظام الإيراني داخل البلاد وخارجها.

كيف تم كشف الوحدة؟

لا يزال مصدر هذا التسريب غير واضح، لكن الشبهات الأولية تشير إلى مجموعة “Predatory Sparrow”، إحدى عدة مجموعات سيبرانية مجهولة تدعم إسرائيل، تعمل على تعطيل المنشآت الاستراتيجية، وكشف المعلومات السرية، وتسريب مقاطع فيديو، وإحراج النظام الإيراني. ويعتقد باحثون إسرائيليون في مجال الأمن السيبراني أن التسريب قد تكون وراءه الولايات المتحدة، أو دولة غربية أخرى مثل بريطانيا، أو أنه نتيجة لصراع داخلي بين مجموعات الهاكرز داخل إيران نفسها.

النتائج

يكشف التقرير عن تحول ملحوظ في طبيعة التهديد السيبراني الذي تمارسه إيران، حيث لم تعد العمليات تقتصر على اختراق الأنظمة التقنية فحسب، بل امتدت لتشمل حملات نفسية وإعلامية معقدة تهدف إلى التأثير في الرأي العام واتخاذ القرارات داخل الدول المستهدفة. وحدة “Magic Cat” تمثل نموذجًا للوحدة العسكرية السيبرانية الحديثة التي تجمع بين القدرات التقنية العالية والتنظيم العسكري الصارم، بما يعكس توجه إيران إلى استخدام الأدوات السيبرانية كامتداد لقوتها العسكرية التقليدية، وهو ما يجعل مواجهتها أكثر تعقيدًا من مواجهة مجموعات قرصنة تقليدية.

تركز الهجمات على مؤسسات حيوية في إسرائيل، بما في ذلك شركات الدفاع والبنى التحتية الصناعية والمطارات، ما يدل على فهم دقيق من قبل إيران لمفاصل الاقتصاد والأمن الإسرائيلي. إضافة إلى ذلك، يظهر التقرير أن الوحدة لا تقتصر عملياتها على الجانب التقني، بل تستخدم وسائل إعلامية ونفسية متقدمة لاستهداف الأفراد وخلق حالة من الخوف والارتباك، ما يعزز تأثير الهجمات على المستوى المجتمعي والاقتصادي. هذه الاستراتيجية تجعل الهجمات السيبرانية أداة شاملة للضغط السياسي والاقتصادي، وليس مجرد وسيلة لاختراق البيانات.

المدى الإقليمي للهجمات يوضح أن إيران تستغل بيئة الصراعات الإقليمية لتعزيز نفوذها، مستهدفة دولًا في الشرق الأوسط وأوروبا، وهو ما يبرز قدرة الدولة على تنفيذ عمليات متزامنة ومتعددة الأبعاد. استخدام هويات مزيفة وأرقام محلية وخوادم افتراضية في إسرائيل يعكس مستوى الاحترافية في التخطيط، ويعطي مؤشرًا على قدرة إيران على توسيع عملياتها دون الحاجة إلى حضور فعلي على الأرض، ما يرفع من مستوى التهديد العالمي.

من المرجح أن تستمر إيران في تطوير قدرات وحداتها السيبرانية، مع التركيز على الجمع بين الهجمات التقنية والحملات الإعلامية والنفسية، ما يشير إلى أن الصراع السيبراني مع إيران لن يقتصر على حيز جغرافي محدد. الدول المستهدفة، وخصوصًا إسرائيل وحلفاؤها، ستحتاج إلى تعزيز آليات الدفاع السيبراني بشكل متكامل، بما يشمل حماية البنى التحتية الحيوية، وتطوير قدرات الرصد والتحليل، وإعداد استراتيجيات لمواجهة الحملات النفسية والإعلامية.

بشكل عام، تعكس عمليات “Magic Cat” تحولًا استراتيجيًا في مفهوم القوة السيبرانية، حيث تصبح الهجمات متعددة الأبعاد أداة للضغط السياسي والعسكري، مما يفرض على المجتمع الدولي تطوير سياسات دفاعية أكثر شمولية وتنسيقًا بين الأمن السيبراني والاستخبارات والدبلوماسية، للحد من مخاطر هذه التهديدات التي تتجاوز الحدود الوطنية التقليدية.

رابط مختصر..  https://www.europarabct.com/?p=111983