image
28 نوفمبر 2025, الجمعة 9:17 م
بتوقيت القدس المحتلة
×
  1. الرئيسية
  2. عربي ودولي
  3. أخر تحديث: 28 نوفمبر 2025 - 8:30 ص (منذ 12 ساعة)
لا مزيد من الهجمات الواسعة.. إيران تنتقل إلى تجسّس ‏يستهدف مسؤولين إسرائيليين
‏واي نت

كشفت الهيئة الوطنية الرقمية مؤخرًا عن بحث جديد حول حملة تجسّس إيرانية متطورة وغير مسبوقة تُعرف باسم "SpearSpecter".

وكما هو متوقع، تُنسب الحملة إلى مجموعة هجومية إيرانية مرتبطة بجهاز استخبارات الحرس الثوري (IRGC-IO)، وتعمل تحت أسماء متعددة مثل APT42 وCharmingCypress.

وقد أظهرت المجموعة تحولًا استراتيجيًا مهمًا: الانتقال من هجمات واسعة وشاملة إلى تجسّس شخصي يعتمد على هندسة اجتماعية متطورة.

تستهدف الحملة بشكل منهجي مسؤولين رفيعي المستوى في القطاع الأمني والحكومي في إسرائيل، وكذلك أفراد عائلاتهم.

في حديث مع الباحث في الأمن السيبراني شيمي كوهين، ورئيس وحدة السايبر الحكومية في الهيئة الوطنية الرقمية، نير بر يوسف، تتكشف تفاصيل الحملة التي تركز على محاولات الحصول على موطئ قدم داخل أجهزة أشخاص ذوي قيمة استخباراتية عالية.

قال بر يوسف: إن "هذه الحملة تعني أن الهجمات السيبرانية أصبحت أكثر شخصية وتتطلب موارد أكبر بكثير. الهدف ليس فقط سرقة كلمات المرور، بل تحقيق سيطرة مستمرة وطويلة الأمد على مواقع محددة".

يتّبع المهاجمون أساليب طويلة المدى لبناء علاقات تبدو حقيقية، ويستثمرون أيامًا وأحيانًا أسابيع في تطوير علاقة مع الهدف، يشمل الطُعم دعوات إلى "مؤتمرات مرموقة" أو تحديد "اجتماعات مهمة" مع الضحية.

إحدى الوسائل المركزية للمجموعة هي تطبيق واتساب، وهو أداة معروفة للهندسة الاجتماعية تمنح شعورًا بالشرعية والألفة بين الطرفين. يوضح كوهين: "تبدأ الحملة بمرحلة مسبقة من جمع المعلومات عن الضحية، ثم ينتحل المهاجمون هوية جهة شرعية ويتواصلون مع الضحية غالبًا عبر واتساب".

أولًا بناء الثقة – ثم الهجوم

بعد مرحلة بناء الثقة، يُرسل رابط خبيث يُفعّل سلسلة هجوم معقدة، بالنسبة لأهداف منخفضة القيمة، يستخدم المهاجمون صفحات اجتماعات مزيفة مُعدة مسبقًا، تلتقط تفاصيل الدخول في الزمن الحقيقي.

أما بالنسبة للأهداف عالية القيمة، فالغاية هي زرع باب خلفي (Backdoor) متطور يُدعى TAMECAT (بحسب تسمية غوغل)، تعتمد البرمجية الخبيثة على PowerShell، ما يجعل اكتشافها صعبًا على أدوات الحماية التقليدية.

يستخدم المهاجمون استغلالًا مبتكرًا لميزات مدمجة في نظام ويندوز وبنية WebDAV لوضع الشيفرة الخبيثة، ولتفادي الاكتشاف، تعتمد المجموعة على بنية تحكم وسيطرة (C2) متعددة القنوات تستغل خدمات شرعية مثل تيليغرام وDiscord، تمر الاتصالات الحساسة عبر هذه التطبيقات، فتبدو كاستخدام عادي.

وأوضح كوهين: "الجديد هنا هو إخفاء الاتصالات ط، فالمهاجمون يستخدمون منصات شرعية مثل تيليغرام وديسكورد كخوادم تحكم، هذا الأسلوب يجعل من الصعب جدًا على أنظمة الحماية التقليدية رصد حركة البيانات الخارجة".

وأضاف بر يوسف: أمام هذا الأسلوب، القاعدة الأهم هي التحقق، ثم التحقق، ثم التحقق".

توصيات الهيئة الوطنية الرقمية

التحقق المزدوج: إذا وصلتكم رسالة في واتساب أو البريد تطلب الضغط على رابط، يجب التأكد هاتفيًا عبر رقم رسمي وموثوق بأن المرسل هو بالفعل صاحب الرسالة.

تفعيل المصادقة متعددة الخطوات (MFA) في جميع الحسابات الحساسة.

تقليل الانكشاف: الحد من نشر معلومات حساسة مثل الماضي العسكري أو المناصب الرسمية السابقة في الملفات الشخصية العامة، تُستخدم هذه المعلومات لإنشاء سيناريوهات انتحال واقعية أو لأغراض تجسّس ومتابعة، (كما شوهد سابقًا في قضية مراقبة الجنود عبر الشبكات من قبل حماس).

آخر عربي ودولي

من تركيا: البابا ليو الرابع عشر يدعو إلى الوحدة المسيحية ويدين استخدام الدين لتبرير العنف

28 نوفمبر 2025 - 7:55 م

إصابة ستة جنود وضباط بينهم ثلاثة بجروح خطيرة

28 نوفمبر 2025 - 8:44 ص

كيف تجاوزت إيران العقوبات وحولت مئات الملايين إلى حزب الله؟

28 نوفمبر 2025 - 8:16 ص

سوريا: رئيس المجلس الإسلامي العلوي الأعلى الشيخ غزال غزال: لن نقبل بإمارة إسلامية سياسية مركزية تذبحنا على الهوية

27 نوفمبر 2025 - 11:28 م
من نحن
اتصل بنا

جميع الحقوق محفوظة لـمركز حضارات للدراسات السياسية والإستراتيجية © 2025