الصراع/الأزمة المستمرة في الشرق الأوسط التي تشمل إيران تجاوزت النزاع المحلي لتصبح حرباً شاملة. كما هو الحال مع النزاعات الأخرى والتوسع في خطوط الصدع الجيوسياسية، فقد تسرب هذا الصراع. وفقًا لتحليل استخبارات التهديد الذي أجرته وحدة استخبارات التهديد السيبراني في Shieldworkz، فإن مجموعات التهديد المتقدمة والمستدامة (APT) المرتبطة بالدولة الإيرانية إلى جانب وحدات التجميع الروسية والصينية تستهدف بنشاط الشبكات عبر دول مجلس التعاون الخليجي (GCC) ومنطقة الشرق الأوسط وشمال إفريقيا الأوسع.

إذا كانت شركتك تعمل في هذه المنطقة، أو لديها مورّدون وسلاسل توريد مرتبطة بها، فإن هذا ليس تهديدًا يُراقب بشكل سلبي. إنه تهديد يجب التعامل معه الآن. مع تصاعد النزاع، ستزداد أيضاً العواقب السيبرانية.

قبل أن نتابع، لا تنسَ الاطلاع على منشورنا السابق على المدونة حول "بناء برنامج أمن سيبراني للتكنولوجيا التشغيلية مع IEC 62443 وNIST SP 800-82" هنا.

ما الذي غيّره النزاع الإيراني: من الاستطلاع إلى التسلح

التقييم الأكثر أهمية في تقرير Shieldworkz هو هذا: البعد السيبراني لأزمة إيران-الولايات المتحدة قد انتقل من الاستطلاع إلى التسلح والاستغلال الفعلي. لم يعد المهاجمون يراقبون فقط. إنهم ينتظرون إشارة البدء.

تشمل الأنشطة التي تم رصدها:

• سرقة الاعتمادات عبر التصيّد المستهدف والموقت، متركزة خلال ساعات الصباح الباكر في الخليج (04:00-08:00 AST) - فترات عندما تكون مراكز عمليات الأمن عادةً ناقصة الموظفين

• الحركة الجانبية باستخدام ثنائيات العيش خارج الأرض (LOLBins) - أدوات ويندوز الشرعية كـ PowerShell و WMIC و Certutil و Mshta للتهرب من الكشف

• التموضع المسبق للبث التدميري، مع نافذة تفعيل تتراوح بين 24-72 ساعة مرتبطة بمراحل مختلفة من الصراع المستمر (بما في ذلك إطلاق أسراب الطائرات بدون طيار)

هذا سيناريو متكرر. لقد شهدت المنطقة ذلك من قبل. أحداث شامون في 2012 و2016/17، وZeroCleare في 2019، أثبتت أن نشر البرمجيات الخبيثة الماسحة هو مسار تصعيد مقبول خلال فترات التوتر الجيوسياسي. التاريخ يشير إلى أننا بحاجة لأخذ هذا الإنذار على محمل الجد.

أي القطاعات في مرمى النار

تقرير تقييم المخاطر القطاعية في التقرير صارم. تم تقييم ثلاثة قطاعات بأنها حرجة:

• الطاقة والنفط/الغاز: تواجه خطر نشر البرمجيات الماسحة، استهداف نظام SCADA/ICS، والتعرض لخطر سلاسل التوريد

• الحكومة والخدمات الأساسية: معرضة لسرقة الاعتمادات والجاسوسية وتسريب البيانات

• الاتصالات: مستهدفة لاختراق البنية التحتية، واعتراض الحركة، والوصول المستمر على المدى الطويل

• الطيران: لخلق الفوضى والتأثير سلبًا على الناتج المحلي الإجمالي عن طريق إبطاء حركة الركاب والبضائع

الخدمات المالية، والرعاية الصحية، واللوجستيات والموانئ مصنفة عالية المخاطر.

بحساسية، يشير تحليلنا إلى أن الشركات متعددة الجنسيات ذات العمليات في الخليج تواجه تعرضاً عبر الحدود. إذا تداخل نظام المورّد لديك مع بنية تحتية في دول مجلس التعاون الخليجي / منطقة الشرق الأوسط وشمال إفريقيا على أي مستوى، حتى ولو بشكل غير مباشر، فقد تكون شركتك هدفاً ثانوياً. تم التنبيه بشكل خاص إلى التهديد النشط عبر نافذة الأزمة التي تمتد 72 ساعة.

جهات التهديد وراء الأنشطة

تم تحديد أربع مجموعات على أنها "نشطة للغاية" في المنطقة (منذ 1 مارس) وفقًا لتحليلنا:

MuddyWater (إيران / وزارة الاستخبارات): مصنفة بالغة الخطورة. مرتبطة بوزارة الاستخبارات والأمن الإيرانية، تستهدف هذه المجموعة باستمرار منظمات الحكومة والطاقة في دول مجلس التعاون الخليجي باستخدام التصيّد الاحتيالي المستهدف، وسيلة PowerShell، سرقة الاعتمادات، وتقنيات التناقل.

Salt Typhoon (الصين): مصنفة عالية الخطورة. مجموعة مرتبطة بالصين تركز على الوصول المستدام للبنية التحتية للاتصالات، مزودي الإنترنت، وشبكات الحكومة.

وحدات التجميع الروسية الموازية (GRU/SVR): مصنفة عالية الخطورة. تعمل بالتوازي مع الأنشطة الإيرانية، تقوم هذه الوحدات بجمع المعلومات الاستخبارية السرية التي تستهدف قطاعات الطاقة والدفاع والحكومة. تقوم هذه المجموعات بدمج عملياتها عمداً مع الضوضاء المرتبطة بإيران لزيادة تعقيد تحديد الجهة المسؤولة. قد يكون هذا عبارة عن لعبة حربية مشتركة متفق عليها من قبل جهات الدولة في كلا البلدين.

Prince of Persia (عنقود مرتبط بإيران): أصبحت هذه المجموعة نشطة للغاية في الفضاء السيبراني الإقليمي. تشمل أهدافه الرئيسية البنية التحتية الحيوية والشركات ذات الأهمية الاقتصادية.

علامات التحذير المبكرة التي يجب مراقبتها

يحدد التقرير ثمانية مؤشرات سلوك يجب أن يعاملها المدافعون كمؤشرات إنذار مبكر:

• الارتفاعات في عمليات فشل المصادقة خارج ساعات العمل العادية، خاصة 04:00-08:00 AST

• تسجيل دخول حسابات ذات امتيازات من مواقع جغرافية غير متوقعة أو أجهزة غير معروفة

• أنماط حركة جانبية غير معتادة عبر SMB أو WMI أو RDP بين أجزاء الشبكة

• ارتفاعات في استخدام أدوات الإدارة - PowerShell وcertutil وmshta وwmic

• قفزات غير معتادة في حركة الشبكة متوافقة مع دورات البيانات الخليجية

• محاولات استغلال ضد الأصول العامة وتطبيقات الويب

• المؤشرات المتعلقة بـ CVE-2026-22769 (Dell RecoverPoint) - يتم استغلالها بنشاط في المنطقة

• نشاط غير متوقع للحسابات المورّد أو الطرف الثالث، أو تصعيد الامتيازات غير المبرر

لا يضمن أي من هذه المؤشرات بمفرده حدوث اختراق. لكن أي مجموعة منها تتطلب التحقيق الفوري.

ما يجب أن تفعله: إجراءات الأولوية لفِرق الأمن السيبراني

ينظم التقرير الإجراءات الدفاعية الموصى بها عبر خمسة مجالات. وهنا ما يجب التركيز عليه الآن:

أمن الوصول والهوية

• فرض مصادقة قوية متعددة العوامل عبر جميع الخدمات. الأولوية لمفاتيح الأجهزة FIDO2/WebAuthn وتعطيل المصادقة عبر الرسائل النصية حيثما أمكن ذلك تشغيلياً

• فرض سياسات التخويل الأقل و إزالة الحسابات الراكدة أو اليتيمة من Active Directory وcloud IAM

• إجراء مراجعة وصول ذات امتياز طارئة في غضون 24 ساعة

• مطالبة بالمصادقة متعددة العوامل للإدارة عن بعد، خطوط أنابيب CI/CD، ومستويات التحكم السحابية

مراقبة الحركة وتشديد الشبكة

• البحث الفعّال عن نشاط LOLBin: أوامر PowerShell المشفرة، تنزيلات certutil، تنفيذ mshta، واستدعاءات العمليات البعيدة عبر WMIC

• تنفيذ قوائم السماح للتطبيقات على الخوادم والأصول الحرجة

• تعميق تقسيم الشبكة (تحديد صارم للمناطق) ونشر التقسيم المصغر للمناطق الحرجة

• إعطاء الأولوية لترقية مكونات سلسلة التوريد، وخاصة

الجاهزية للاستجابة للحوادث

• تحديث كتيبات الاستجابة للحوادث الآن لتشمل سيناريوهات المسح المدمر وتكتيكات وتقنيات وإجراءات (TTP) التهديدات الإيرانية APT

• التحقق من سلامة النسخ الاحتياطي وقدرة الاسترداد دون اتصال - قم بذلك في غضون 24 ساعة، وليس عندما يكون الحادث قائمًا بالفعل

• إجراء تدريبات لوحية تحاكي نشر الماسحات قبل أن تحتاج إلى الرد على حالة حقيقية

المراقبة والاستخبارات

• تشغيل عمليات البحث عن التهديد على مدار 24/7 خلال فترة التهديد الحالية

• نشر لوحات تحكم مركز العمليات الأمنية تركز على تفردات المصادقة، والحركة الجانبية، وتيليمترية سلسلة التوريد

• دمج خلاصات التهديدات الحكومية، والمعلومات العامة في المصادر المفتوحة (OSINT)، ومنصات الاستخبارات التجارية للتهديدات

الإدارة التنفيذية

• إطلاع القيادة بمعدل لا يقل عن كل 12 ساعة خلال فترات التهديد المرتفعة

• إعداد كتيبات اتصالات الأزمات للجماهير الداخلية والخارجية

• تنسيق الفرق القانونية والامتثال والعلاقات العامة مقدماً لحالات التصعيد المحتملة

الاستعداد لإدارة مشهد التهديد الديناميكي

يحدد تقرير Shieldworkz أربعة سيناريوهات يجب على المنظمات الاستعداد لها في نفس الوقت:

التأثير التشغيلي الرئيسي هو أن هذه السيناريوهات ليست متتابعة. من المحتمل أنها ستتداخل.

الصورة الاستخبارية واضحة. عمليات السيبراني المرتبطة بأزمة إيران نشطة ومعقدة وتتصاعد في الوقت الفعلي. منطقة دول مجلس التعاون الخليجي ومنطقة الشرق الأوسط وشمال إفريقيا هي المسرح التشغيلي الرئيسي، ولكن دائرة الانفجار تمتد إلى أي منظمة مرتبطة بها من خلال المورّدين أو البنية التحتية السحابية أو سلاسل التوريد. في الواقع، مشهد التهديد عالمي بينما قد تكون التكتيكات إقليمية.

ينصح تقرير Shieldworkz المدافعين بالعمل باستخدام نموذج افتراض حدوث اختراق. لا تنتظر للحصول على تنبيه للتحقق من دفاعاتك. افترض أن المهاجمين قد يكونون موجودين بالفعل في بيئتك وابحث وفقًا لذلك.

الوقت للعمل ليس بعد تفعيل البث المدمر. إنه الآن.

اتصل بنا لمعرفة المزيد عن بيئة التهديدات في الشرق الأوسط.  

قم بتحميل قائمتنا المرجعية الأخيرة حول دمج IEC 62443 وNIST SP 100-82، هنا