الحرب السيبرانية بين إيران وكيان الاحتلال

دعونا في البداية نقدم لمحة تاريخية موجزة عن أصل ومعنى كلمة «سايبر» Cyber. إنها مشتقة من الكلمة اليونانية (كايبرنيتيس) التي تعني «ربان السفينة» أو «القيادة». وتطور المصطلح عبر التاريخ، حيث استخدمه أفلاطون مجازياً للقيادة المجتمعية، ثم أعاده العالم أمبير في القرن التاسع عشر ضمن تصنيف العلوم. في منتصف القرن العشرين، أعاد عالم الرياضيات نوربرت فينر إحياء المصطلح في كتابه عن علم التحكم الآلي والاتصالات بين الكائنات الحية والآلات. ومع ظهور الإنترنت، أصبحت «سايبر» مرتبطة بالعالَم الرقمي، حيث تُستخدم اليوم للإشارة إلى كل ما يتعلق بالحواسيب والشبكات، مثل الأمن السيبراني والفضاء الإلكتروني والجرائم الإلكترونية.

الهجمات السيبرانية على «إسرائيل»

زادت الهجمات السيبرانية على «إسرائيل» من حيث حجمها وطبيعتها منذ بداية المعركة الحالية، حيث سجلت شركة الأمن السيبراني رادوير (Radware) زيادة بنسبة 700% في الهجمات ما بين فترتين: 4-12 حزيران الجاري إلى 13-14 من الشهر نفسه. وواجهت «إسرائيل» 21 هجوماً من نوع DDoS (توزيع الحرمان من الخدمة، وسنأتي على شرحه أدناه) في 13 حزيران، و34 هجوماً في اليوم التالي. تمثل «إسرائيل» الآن الوُجهة لما يقرب من 40% من هجمات DDoS العالمية التي يشنها الناشطون في القرصنة (الهاكتيفيست).
وشارك في الهجمات أكثر من 100 مجموعة قرصنة سيبرانية، معظمها موالية لإيران، بما في ذلك مجموعات من إيران وروسيا وجنوب آسيا.
وأعلنت المجموعة الداعمة لفلسطين «هندالا» مسؤوليتها عن هجومين كبيرين في 18 حزيران 2025. وجرى تسريب 425 غيغابايت من بيانات شركة مور «الإسرائيلية» للوجستيات الشحن. كذلك أفادت تقارير باختراق لـ 4 تيرابايت من الأبحاث الحساسة من معهد وايزمان للعلوم، الذي ضربته إيران بصاروخ أيضاً، بسبب دوره في البحث العلمي الذي يدعم كيان الاحتلال.

تكتيكات الهجمات السيبرانية

يعدّ «توزيع الحرمان من الخدمة» DDoS من أشهر التكتيكات في الهجمات السيبرانية، ويمكن شرحه بإيجاز، بأنه يشبه محاولة إغلاق طريق بإرسال آلاف السيارات المزيَّفة لإحداث ازدحام، مما يمنع حركة المرور الحقيقية. الهدف هو تعطيل الخدمة وإحداث فوضى. ويستخدم المهاجمون في هذا التكتيك شبكة من الأجهزة للتحكم بأجهزة كمبيوتر أو أجهزة متصلة بالإنترنت (كالهواتف أو كاميرات مراقبة) عن طريق إصابتها ببرمجيات خبيثة. تُعرف هذه الأجهزة بـ«البوتات» أو «شبكة البوتات» Botnet. حيث يقومون بإرسال عدد هائل من الطلبات المزيفة إلى الموقع أو الخادم المستهدف (مثل طلب فتح صفحة ويب أو إرسال بيانات). وهذا يؤدي إلى إرهاق الخادم (أيْ الكمبيوتر الذي يدير الموقع) فيصبح عاجزاً على التعامل مع كل هذه الطلبات، فيتباطأ أو يتوقف تماماً، مما يمنع المستخدمين الحقيقيين من الوصول إلى الموقع أو الخدمة. يمكن أن يستخدم هذا التكتيك أيضاً كإلهاء بينما ينفذ المهاجمون هجمات أخرى، مثل سرقة بيانات.
إضافة إلى تكتيك DDoS، هناك تكتيكات أخرى عديدة، ومنها: تسريب البيانات، نشر البرمجيات الخبيثة، وحملات لتحقيق تأثير نفسي. على سبيل المثال، استهدفت «هندالا» قناة TBN «الإسرائيلية» وقالت إنها أداة دعاية مرتبطة بالشاباك، وسربت 542 غيغابايت من البيانات.

الإجراءات السيبرانية الدفاعية والهجومية لإيران

قدرات إيران، رغم تحسنها (خاصة مع التعاون المحتمل مع روسيا)، تقول تقارير أنها ما زالت أقل تقدماً، وتعتمد غالباً على هجمات تخريبية أقل دقة.
تقييد الإنترنت: فرضت إيران قيوداً على الإنترنت لحماية فضائها السيبراني من التهديدات السيبرانية «الإسرائيلية». في 18 حزيران الجاري، أفادت خدمة مراقبة حركة الإنترنت «نيتبلوكس» NetBlocks بانخفاض كبير في الحركة في إيران، ووصفت الشرطة السيبرانية الإيرانية (FATA) هذا التباطؤ بأنّه «مؤقَّت وموجَّه ومُتحكَّم فيه» بغرض صدّ الهجمات. كما حثّت الحكومة الإيرانية المواطنين على حذف تطبيق واتساب، وقالت إنه يُستخدَم من قبل «إسرائيل» للتجسس.
الدفاع السيبراني: أعلنت قيادة الأمن السيبراني الإيرانية عن صدّ هجمات «إسرائيلية» متعددة، وتم تفعيل مراكز تنظيف داخل الشبكة وتقنيات لعزل حركة المرور العدائية.
الوسائل الهجومية: استهدفت مجموعات مدعومة من الدولة الإيرانية، مثل «سايبر-أفينجيرز» CyberAv3ngers المرتبطة بالحرس الثوري، البنية التحتية الحيوية للعدو. على الرغم من أن هجماتها أقل تطوراً من التي لدى «إسرائيل»، فقد استطاعت سابقاً استغلال ثغرات في أنظمة المياه والوقود في الولايات المتحدة و«إسرائيل» باستخدام برمجيات خبيثة مخصّصة مثل IOCONTROL. في 2025، ركزت المجموعة على العمليات النفسية.

الهجمات السيبرانية «الإسرائيلية»

تتميز الهجمات «الإسرائيلية» بتقدّمها الملحوظ، مع سوابق تاريخية مثل هجوم «ستوكسنت» على المنشآت النووية الإيرانية. وفي 2025، عطّل هجوم سيبراني مصاحب لضربات مفاعل نطنز أنظمة الرادار والاتصالات الإيرانية، مما جعل سلاح الجو «أعمى وأصم» خلال الهجوم الأولي.
هجومياً، يعدّ العصفور المفترس (Predatory Sparrow) مجموعة قرصنة موالية للاحتلال، تلعب دوراً رئيسياً، ويُعتقد أنّ لها صلات بأجهزة الاستخبارات «الإسرائيلية». في 17 حزيران الجاري، أعلنت مسؤوليتها عن هجوم مدمِّر على بنك «سيباه» الإيراني، ما أدى لإيقاف موقعه الإلكتروني، وأجهزة الصرّاف الآلي، ومعالجة المدفوعات. في اليوم التالي (18 حزيران)، استهدفت بورصة العملات المشفرة الإيرانية «نوبيتكس»، مما أدى إلى تدمير أصول بقيمة تزيد عن 90 مليون دولار وتهديد بتسريب شيفرتها المَصدرية.
أما دفاعياً، فطوَّرت المديرية «الإسرائيلية» للأمن السيبراني «القبة السيبرانية»، وهي نظام دفاعي مدعوم بالذكاء الاصطناعي لحماية حكومة وجيش الاحتلال وبنيته التحتية الحيوية من التهديدات السيبرانية.

التأثير على البنية التحتية الحيوية والعلوم

على الجانب «الإسرائيلي» تعرَّضَ معهد وايزمان للعلوم لأضرار مادية وسيبرانية، من ضربات صاروخية إيرانية واختراق بيانات من مجموعة «هندالا» الداعمة لفلسطين.
وفي إيران، تسبب الهجوم على بنك سيباه ونوبيتكس في اضطرابات مالية كبيرة. كما تأثرت الجالية العلمية الإيرانية، حيث مع اغتيال العلماء يتجنب الباحثون العمل الحضوري خوفاً من الضربات الموجهة للجامعات.
هذا وحذرت عدة منظمات أمن سيبراني أمريكية، من أن الهجمات الإيرانية قد تستهدف البنية التحتية الحيوية الأمريكية، خاصة إذا تورّطت الولايات المتحدة بالعدوان العسكري على إيران بشكل مباشر. وهناك سوابق، مثل هجوم مجموعة سايبر-أفينجيرز الإيرانية عام 2023 على أنظمة المياه الأمريكية.

الحرب النفسية

كلا الجانبين الإيراني و«الإسرائيلي» يستخدمان الفضاء السيبراني للدعاية والتحريض. نشرت مجموعات إيرانية أخباراً مزيَّفة، مثل رسائل كاذبة بدت وكأنها صادرة عن «قيادة الجبهة الداخلية» للاحتلال، بهدف إثارة الخوف في صفوف الاحتلال ومستوطنيه. وتلعب قنوات تلغرام موالية لإيران دوراً في هذه الهجمات.
من جانبها، ردّت «إسرائيل» بعمليات موجَّهة لتعطيل الرواية الإيرانية، مثل هجمات «العصفور المفترس».

كيف يتم التصدي للهجمات؟

هناك أنظمة حماية وأدوات تستخدمها الشركات، مثل «جدران الحماية» أو مراكز خدمات تنظيف حركة المرور (Scrubbing Centers) لتصفية الطلبات المزيفة، وخاصة ضد تكتيك «توزيع الحرمان من الخدمة» DDoS. كذلك يتم توزيع الحِمل بنشر الخدمات عبر خوادم متعددة لتقليل التأثير السلبي الناجم عن مهاجمة خادم واحد ترتبط به كل البيانات أو الخدمة المستهدفة. كذلك تلعب المراقبة المستمرة دوراً وقائياً في الكشف المبكر عن النشاطات المشبوهة.