حذرت وكالات الأمن ووكالات الاستخبارات من تصاعد خطير في تنفيذ هجمات إيرانية تستهدف أجهزة PLC المرتبطة بالإنترنت، مما يهدد البنية التحتية الأمريكية بشدة.
أكد مكتب التحقيقات الفيدرالي (FBI) أن هذه الاختراقات أدت إلى ضعف أداء أجهزة التحكم المنطقي القابل للبرمجة (PLC). كما تسببت في التلاعب ببيانات العرض، وحدوث اضطرابات تشغيلية وخسائر مالية فادحة.
كيف تنفذ قراصنة إيران اختراق أجهزة PLC؟
وفقاً للتقارير الأمنية، استخدم المهاجمون بنية تحتية مستضافة لدى جهات خارجية لإنشاء اتصالات غير مصرح بها. كما اعتمدوا على برمجيات تهيئة متقدمة للوصول إلى الأجهزة المستهدفة بكفاءة عالية وبشكل خفي.
تُعد أجهزة التحكم المنطقي القابل للبرمجة بمثابة العقل المدبر للعمليات الصناعية الحديثة. فهي تتحكم في كل شيء، بدءاً من تدفق المياه في محطات التنقية وحتى تنظيم الجهد في شبكات الكهرباء.
القطاعات والأجهزة المتضررة
تركزت الهجمات بشكل خاص على أجهزة من نوع Rockwell Automation و Allen-Bradley. وقد شملت قائمة الضحايا عدة قطاعات حيوية ومؤسسات حكومية:
- القطاعات المستهدفة: المرافق الحكومية، أنظمة المياه والصرف الصحي، وقطاعات الطاقة.
- الأجهزة المتضررة: أجهزة التحكم CompactLogix و Micro850 PLC.
- البرمجيات المستخدمة: أداة Studio 5000 Logix Designer لإنشاء الاتصال الخبيث.
بمجرد الوصول الأولي، يقوم القراصنة بنشر برنامج Dropbear، وهو أداة Secure Shell (SSH). يتيح ذلك الوصول عن بُعد عبر المنفذ 22 لتسهيل استخراج ملفات المشروع والتلاعب ببيانات النظام الأساسية.
تداعيات الهجمات على البنية التحتية الأمريكية
تمثل هذه الحملة جزءاً من تصعيد كبير في وتيرة الهجمات السيبرانية التي تنفذها مجموعات القرصنة الإيرانية. وتأتي هذه التحركات التخريبية كرد فعل مباشر على التوترات الجيوسياسية المستمرة في المنطقة.
وكما يتابع فريق تيكبامين، فإن الخطر الأكبر يكمن في انتقال المهاجمين من استهداف شبكات تقنية المعلومات (IT) إلى التركيز على الشبكات التشغيلية (OT). هذا التحول يجعل التأثير المادي والتشغيلي أكثر خطورة على حياة المواطنين، حيث يمكن للتلاعب في شاشات SCADA و HMI أن يخدع المشغلين البشريين.
طرق الحماية الموصى بها لتأمين الأجهزة
لمواجهة هذه التهديدات المعقدة، أوصت الوكالات الأمنية المؤسسات باتخاذ خطوات استباقية صارمة وفورية. من الضروري جداً عزل أجهزة التحكم عن شبكة الإنترنت المفتوحة لتقليل مساحة الهجوم المحتملة.
- تنفيذ المصادقة متعددة العوامل (MFA) بصرامة على جميع الأنظمة.
- منع التعديل عن بُعد باستخدام مفاتيح عزل فعلية أو برمجية متخصصة.
- وضع جدار حماية (Firewall) أو وكيل شبكة (Proxy) أمام أجهزة PLC للتحكم بحركة المرور.
- تحديث أجهزة PLC باستمرار وإغلاق أي ميزات مصادقة غير مستخدمة افتراضياً.
تاريخ من الاستهداف الإيراني الممنهج
لم تكن هذه الحادثة الأولى من نوعها في سجل التهديدات؛ ففي أواخر عام 2023، تم ربط مجموعة "Cyber Av3ngers" الإيرانية بهجمات مشابهة. استهدفت تلك الهجمات أجهزة Unitronics PLC التابعة لهيئة مياه بلدية أليكويبا في بنسلفانيا، مما أثار قلقاً وطنياً.
تُعرف المجموعة التي نفذت الهجمات السابقة بعدة أسماء مستعارة، منها Hydro Kitten و Shahid Kaveh Group، بالإضافة إلى UNC5691. أسفرت تلك الهجمات السابقة عن اختراق ما لا يقل عن 75 جهازاً حيوياً بنجاح.
ويؤكد الخبراء في تيكبامين أن وتيرة الهجمات تتسارع بشكل ملحوظ وتتخذ طابعاً أكثر شمولية من ذي قبل. فقد أصبح المهاجمون يتحركون بسرعة أكبر ويستهدفون نطاقاً أوسع من البنى التحتية.
في النهاية، يثبت هذا التصعيد أن استراتيجية تنفيذ هجمات إيرانية تستهدف أجهزة PLC تتبع نهجاً مدروساً ومتصاعداً. ويتطلب حماية البنية التحتية الأمريكية تعاوناً وثيقاً وتطبيقاً صارماً لمعايير الأمن السيبراني في كافة القطاعات التشغيلية الحساسة لضمان استمرار الخدمات بأمان.
