وجدت شركة Gambit أن قراصنة إيرانيين يقفون وراء الهجوم الإلكتروني الذي وقع في شهر مارس في لوس أنجلوس
اكتشف باحثون إسرائيليون في وقت سابق من هذا الأسبوع أن قراصنة إيرانيين كانوا مسؤولين عن اختراق كمبيوتر تخريبي في مارس/آذار، أجبر نظام النقل في لوس أنجلوس على إغلاق أجزاء من شبكته.
سرق المخربون ما لا يقل عن 700 غيغابايت من رسائل البريد الإلكتروني والنسخ الاحتياطية والملفات الأخرى من هيئة النقل الحضرية في مقاطعة لوس أنجلوس (LACMTA)، وفقًا لشركة Gambit Security، وهي شركة للأمن السيبراني مقرها تل أبيب قالت إنها اكتشفت البيانات المختلسة بعد أن تم الكشف عنها عن غير قصد عبر الإنترنت.
وفي تقرير نُشر يوم الثلاثاء، قالت الشركة إن سلسلة من الأدلة الرقمية ربطت الخادم الذي تم اكتشاف البيانات فيه بعملية قرصنة معروفة سابقًا نسبها مسؤولون وباحثون إسرائيليون إلى طهران.
ولم ترد هيئة النقل في لوس أنجلوس على الأسئلة المتعلقة بالنتائج. وفي بيان تمت مشاركته الشهر الماضي، قال مسؤولوها إنهم يعملون مع متخصصين في إنفاذ القانون والإنترنت أثناء إعادة أنظمتهم إلى الإنترنت. وقال البيان “إسناد جزء من التحقيق ولن نتكهن.”
وتسبب الهجوم في تعطيل الخدمات الرقمية للركاب، بما في ذلك عرض أوقات الوصول والقدرة على إضافة الأموال إلى البطاقات الرقمية. ثم ادعت LACMTA أن خدمة النقل نفسها لم تتأثر وأنه لم يتم العثور على أي مؤشر على حدوث ضرر للعملاء أو بيانات الموظفين.
أشارت Gambit أيضًا إلى أن الهجوم على أنظمة LACMTA لم يقتصر على سرقة المعلومات فقط. وفي بعض الحالات، عمل المهاجمون أيضًا على تدمير الأنظمة وإضعاف قدرة المؤسسات المتضررة على التعافي.
وفقًا لتقرير Gambit، تضمن نشاط المهاجم حذف الأجهزة الافتراضية وقواعد البيانات وأحجام التخزين، بالإضافة إلى إتلاف البنى التحتية للنسخ الاحتياطي – وبعبارة أخرى، ليس مجرد اختراق لجمع المعلومات، ولكن محاولة لجعل من الصعب على LACMTA العودة إلى العمليات العادية.
والجدير بالذكر أن مدينة لوس أنجلوس تعد إحدى المدن المستضيفة لبطولة كأس العالم لكرة القدم 2026، والتي تنطلق في 11 يونيو الجاري.
يشتبه متخصصو الأمن الرقمي في وجود يد إيرانية في العملية ضد LACMTA منذ أن أعلنت جماعة غامضة مؤيدة لإيران تطلق على نفسها اسم أبابيل ميناب مسؤوليتها. يشير اسم المجموعة إلى تفجير مدرسة للفتيات في مدينة ميناب الإيرانية، والذي يقول المسؤولون هناك إنه أدى إلى مقتل أكثر من 175 طفلاً ومعلماً، ويعد خطابها وطريقة عملها من سمات مجموعات القرصنة الأهلية التي تزعم أنها باحثون أمريكيون وإسرائيليون.
تدعي مجموعة التهديد أنها منظمة ناشطة مستقلة.
وقال إيال سيلا، مدير استخبارات التهديدات في شركة غامبيت، إن العلاقة بين أبابيل والدولة الإيرانية “كانت افتراضا عمليا”.
وقال “ما يضيفه بحثنا هو الأدلة الجنائية التي تدعمه”.
وقالت شركة Gambit، وهي شركة أمنية ناشئة أسسها جزئيًا قدامى المحاربين في الوحدة 8200، المعادل الإسرائيلي لوكالة الأمن القومي الأمريكية، إنها نبهت السلطات المعنية إلى النتائج التي توصلت إليها.
ولم تقم أبابيل بإرجاع الرسائل التي تركتها عبر نموذج على موقعها على الإنترنت. وقال مكتب التحقيقات الفيدرالي إنه على علم بحادثة LACMTA وكان “ينسق مع الشركاء ردًا على ذلك”. ورفض مكتب التحقيقات الفيدرالي المزيد من التعليقات.
ولم ترد هيئة الدفاع السيبراني المدنية الأمريكية، وكالة الأمن السيبراني وأمن البنية التحتية، على رسائل تطلب التعليق. ولم ترد بعثة إيران لدى الأمم المتحدة ومديرية الإنترنت الوطنية الإسرائيلية على طلب رويترز للتعليق.
يُزعم أن المتسللين المرتبطين بإيران والمدعومين نشطون منذ بداية الحرب
وقال مسؤولوها في بيانهم إنه تم اكتشاف الاختراق في LACMTA في 16 مارس تقريبًا. وبعد حوالي أسبوعين، ظهرت أبابيل على الإنترنت وادعت أنها مسحت كمية هائلة من البيانات في هجوم إلكتروني مدمر، ونشرت مقطع فيديو يُزعم أنه يظهرهم وهم يهاجمون شبكة نظام النقل.
كما زعم أبابيل الفضل في عمليات الاختراق التي أثرت على نظام نقل الركاب Tri-Rail في جنوب فلوريدا، وشركة تتبع المركبات Vyncs، وشركة البنية التحتية السعودية Unimac.
وأكدت شركة Tri-Rail في بيان لها أنها تعرضت للاختراق “منذ شهر تقريبًا”، لكنها قالت إن أيًا من البيانات المتأثرة لم تكن مهمة. وقالت شركة Agnik، مالكة Vyncs، إنها اكتشفت الاختراق في الثاني من أبريل، لكنها رفضت التعليق على طبيعة البيانات التي سرقها المتسللون.
وقال كل من Tri-Rail وAgnik إن مكتب التحقيقات الفيدرالي متورط، حيث قال Agnik في رسالة بالبريد الإلكتروني إن المكتب “لديه فهم جيد جدًا لمن هم هؤلاء المجرمين”. لم تقم Unimac بإرجاع الرسائل التي تطلب التعليق.
وقالت شركة Gambit Security، نقلاً عن تحليلها للبيانات الأخرى التي تركها الجواسيس على الإنترنت، إن المجموعة التي تقف وراء أبابيل اخترقت منظمات أخرى لم تعلن عن هويتها. وقال سيلا إن من بينهم منظمة إعلامية ومؤسسة تعليمية في إسرائيل وشركة وساطة تأمين في تركيا، لكنه رفض الكشف عن هويتهما أكثر.
يُزعم أن المتسللين الإيرانيين نفذوا سلسلة من العمليات الرقمية منذ أن شنت الولايات المتحدة وإسرائيل حربًا ضد إيران في أواخر فبراير، بما في ذلك هجوم مدمر على شركة الأجهزة الطبية سترايكر وتسريب رسائل البريد الإلكتروني الشخصية لمدير مكتب التحقيقات الفيدرالي كاش باتيل. وذكرت شبكة سي إن إن في وقت سابق من هذا الشهر أنه يشتبه أيضًا في أن قراصنة إيرانيين تلاعبوا عن بعد بمقاييس الوقود في محطات الوقود.
