قالت شركة "كليرسكاي" الإسرائيلية، في 28 كانون الثاني/ يناير، للأمن السيبراني إن مجموعة قراصنة تعتبر وكيلةً لحزب الله اللبناني اخترقت أنظمة الاتصالات في أنحاء العالم، مؤكدةً قرصنة أكثر من 250 خادماً في الولايات المتحدة وبريطانيا ومصر والأردن ولبنان وإسرائيل والضفة الغربية.

ولفتت الشركة الإسرائيلية، ومقرها تل أبيب، إلى أن "حملة التجسس العالمية" التي اتهمت بها الجماعة الشيعية المسلحة أدت إلى اختراق شبكات إنترنت وهواتف محمولة في المناطق المشار إليها.

ما هي الأهداف المخترقة؟

واتهمت "كليرسكاي" المجموعة المعروفة باسم "أرز لبناني" (Lebanese Cedar) باستخدام برامج وتقنيات كانت مرتبطة في الماضي بالقراصنة المحسوبين على الدولة الإيرانية لاختراق أكثر من 250 خادماً لأهداف في الولايات المتحدة وبريطانيا ومصر والأردن ولبنان وإسرائيل وحتى المناطق الخاضعة لسيطرة السلطة الفلسطينية في الضفة الغربية.

"معلومات قيّمة سُرقت على مدى شهور وسنوات"... شركة أمن سيبراني إسرائيلية تُفصّل اختراق مجموعة قرصنة محسوبة على حزب الله لأكثر من 250 من خوادم مزودي الإنترنت وشركات الهواتف المحمولة حول العالم

ورد في تقريرها: "نحن نُقدّر أن هناك العديد من الشركات التي تم اختراقها وأن المعلومات القيّمة قد سُرقت من هذه الشركات على مدى شهور وسنوات".

يرجح التقرير السيبراني الإسرائيلي أن الخوادم في الولايات المتحدة وبريطانيا ربما استخدمت لشن الهجوم فقط، فيما كانت الخوادم في الشرق الأوسط والعالم العربي هي الهدف الرئيسي للهجوم المزعوم انطلاقه أواخر عام 2019 واستمراره سراً طوال عام 2020.

ومن الأهداف المزعوم اختراقها شركة فودافون مصر ومزود الإنترنت المصري "تي إي داتا" ، ومزود الإنترنت الرئيسي في مناطق السلطة الفلسطينية "حضارة"، بالإضافة إلى عدد من الأهداف المماثلة في الإمارات والسعودية. 

بين إيران وحزب الله

تنشط "أرز لبناني" لعدة سنوات كواحدة ممن يطلق عليهم اصطلاحاً في هذا المجال APT  أي "تهديد مستمر متقدم"، ويُطلق عادةً على قراصنة ترعاهم الدول والحكومات.

وكانت الشركة الأمريكية الإسرائيلية "تشيك بوينت سوفت وير تكنولوجيز" أول من كشف عن نشاطها عام 2012، موضحةً أن المجموعة كانت مدفوعة بـ"أهداف سياسية وأيديولوجية"، ثم عادت تقترح عام 2015 أنها مرتبطة بإيران، بينما أخفقت في كشف صلتها بحزب الله.

"تشتهر بتنفيذ عمليات مراوغة للغاية وموجهة بشكل انتقائي ومُدارة بعناية"... عام 2012، كُشف عن نشاط "الأرز المتطاير" لأول مرة. منذ ذاك الحين تم ربطها بعمليات استخدمت تقنيات تجسس متصلة بقراصنة الدولة الإيرانية، أما صلتها بحزب الله فهي الأحدث

لكن "كليرسكاي" أوضحت في تقريرها: "منذ عام 2015، حافظت مجموعة الأرز اللبناني - التي يشار إليها أيضًا باسم ‘ الأرز المتطاير (Volatile Cedar)‘ - على مستوى منخفض من النشاط بينما تعمل بعيداً عن الأنظار".

أسندت الشركة الإسرائيلية هجمات القرصنة للمجموعة اللبناني من خلال ربط التكتيكات والتقنيات والإجراءات والأهداف لهجوم معين بالأهداف السابقة كما هو معتاد مع مثل هذه الهجمات الإلكترونية.

وأوضحت "كليرسكاي" في تقريرها: "تشتهر مجموعة أرز لبناني بعمليات مراوغة للغاية وموجهة بشكل انتقائي ومُدارة بعناية، وهي تتبع مسارات عمل مرتبطة بمجموعات APTs التي تمولها الدول أو الجماعات السياسية".

هذه المرة، أُسندت الاتهامات عبر برنامج كان معروفاً سلفاً أنه يُنشر فقط من قبل المتسللين المرتبطين بحزب الله. علماً أنه في جانب آخر من عمليات القرصنة، استُخدمت تكنولوجيا مرتبطة بقراصنة الدولة الإيرانية أيضاً.

بعد تحليل ملاحظاتها، خلُصت الشركة الإسرائيلية إلى أن نتائجها "تعزز ادعاءات ‘تشيك بوينت‘ القوية في إسناد ‘أرز لبناني‘ إلى الحكومة اللبنانية أو مجموعة سياسية هناك"، مضيفةً: "علاوة على ذلك، هناك العديد من الدلائل التي تربط بين المجموعة ووحدة حزب الله الإلكترونية".

ولفتت "كليرسكاي" إلى أهمية تسليط الضوء على هذا الارتباط "لأنه قد يشير إلى وجود صلة بين APT، المرتبط بحزب الله، والنظام الإيراني".

وعقّب يانيف بالماس، رئيس قسم الأبحاث السيبرانية في "تشيك بوينت"، على نتائج "كليرسكاي" بالقول إنها "تربط جيداً بين التقنيات التي استخدمتها هذه المجموعة، ويبدو أنها حقاً المجموعة نفسها".

لكنه نبّه إلى أن شركته أسندت المجموعة إلى لبنان "بناءً على عدة مؤشرات حددت المجموعة في البلد. ومع ذلك، لم يتم تحديد بمن تتصل في لبنان، على الرغم من أن مجموعة الأهداف خارج لبنان وداخله يمكن أن تتطابق مع دوافع حزب الله في وقت الكشف".