أمد/ تل أبيب: أظهر تحقيق تقني استقصائي أجرته شركة "تشيك بوينت" الإسرائيلية الأمريكية أن مجموعة غامضة معارضة للحكومة الإيرانية ولوكلائها في المنطقة اسمها ”إندرا“، تقف على الأرجح وراء اختراق نظام السكك الحديدية الإيرانية في تموز يوليو الماضي وقبله في سوريا.

وبحسب صحيفة "يديعوت أحرنوت" العبرية، أنّ الهجوم الأخير من مجموعة "إندرا" التي اشتقّت اسمها تيمّنا بآلهة الحرب في الأساطير الهندوسية، جاء تحذيرا لإيران بالقدرة على إلحاق قدر كبير من الضرر بالدولة، مثلما سبق في عامي 2019 و2020، واستهدفت شركات سورية تتعامل مع فيلق القدس واعتبرت حزب الله بين المستهدفين.

وينقل التقرير عن الباحث في المركز، إيتاي كوهين، أن قراصنة ”إندرا“ المعارضين للنظام الإيراني ”يعملون  من داخل أو خارج البلاد، حيث تمكنوا من تطوير أدواتهم الفريدة للاختراق واستخدامها بفاعلية كبيرة“.

ووصفهم بأنهم ”أشبه بفريق من شباب مدفوعين أيديولوجيا مع قدرات علموها لأنفسهم في العالم السيبراني أكثر من كونها هيئة مرتبة ومنظمة“.

استهداف شبكة السكك

ويعرض التقرير تفاصيل وحيثيات من عملية تعطيل السكك الإيرانية الشهر الماضي، وهي التي اعترفت بها طهران رسميا، لكنها لم تتهم أحدا بها. 

وحذر حينها وزير الاتصالات، محمد جواد آذري جهرمي، من احتمال وقوع هجمات إلكترونية من خلال برامج فدية. وكانت إيران قد أبلغت في عام 2018 عن هجمات مماثلة.

ولفت التقرير إلى أن إيران عادة ما تتهم دولاً أجنبية بالوقوف وراء الهجمات الإلكترونية التي تستهدفها، إلا أنها لم تتهم أي جهة بعد هجمات يوليو على شبكة السكك الحديدية.

توثيق للحيثيات

ويعرض تقرير "تشيك بوينت" أن حادث تعطيل  السكك الحديدية الإيرانية حصل يوم الجمعة 9 تموز (يوليو)، حيث تعرضت بنيتها التحتية لهجوم إلكتروني.

وقد عرض القراصنة رسائل حول تأخر القطارات أو إلغائها على لوحات المعلومات في المحطات في جميع أنحاء البلاد، وحثوا الركاب على الاتصال برقم هاتف معين للحصول على مزيد من المعلومات. ويبدو أن هذا الرقم يخص مكتب المرشد الأعلى للبلاد، آية الله علي خامنئي، كما يفيد التقرير.

في اليوم التالي، العاشر من تموز (يوليو)، ورد أن المواقع الإلكترونية لوزارة الطرق الإيرانية خرجت عن الخدمة بعد ”اضطراب إلكتروني“ آخر. ونشرت مواقع التواصل الاجتماعي الإيرانية صور شاشة لأحد الحواسيب المخترقة، حيث حمل المهاجمون المسؤولية عن كلا الهجومين المتتاليين.

وبموجب اختصاصها في الأمن والتحليل السيبراني، فقد حللت ”تشيك بوينت“ مخلفات هذه الهجمات. وبناءً على هذا التحليل، كشفت عن مجموعة من الأدوات المماثلة التي تم استخدامها سابقا في عمليات أخرى خلال 2019-2020 جرى تنفيذها ضد أهداف متعددة في سوريا، ولم تجذب الكثير من الاهتمام العام في ذلك الوقت.

ويقول حساب "إندرا"، على تويتر إن مهمة المجموعة تتمثل بـ“وضع حد لفظائع فيلق القدس ووكلائه القتلة في المنطقة“.

ونشر الحساب قائمة بأسماء المستخدمين ومسؤولي هاتين الشركتين، بما في ذلك علاقتهما بحزب الله.

وأظهرت عمليات المقارنة والمقاربة تماثلاً فنيا بين عملية السكك الإيرانية وعملية ”ستاردست“ التي كانت قد حصلت في سوريا واستهدفت مجموعة قاطرجي وشركة أرفادا بتروليوم التابعة لها، باعتبارهما مرتبطتين بأنشطة الحرس الثوري الإيراني في سوريا.

A phone number--64411--was displayed on boards of train stations today in #Iran amid the reported cyberattack on the rail system. It directed commuters there to call for more information. It matched the number to #Iran's Supreme Leader's Office that is displayed on his website. pic.twitter.com/IQQ85I6QhJ

— Iran International English (@IranIntl_En) July 9, 2021