قراصنة إيرانيون يستهدفون مترو لوس أنجلوس ويسرقون 700 غيغابايت من البيانات

قراصنة إيرانيون يستهدفون مترو لوس أنجلوس ويسرقون 700 غيغابايت من البيانات

تم تحديد مجموعة قرصنة مرتبطة بإيران على أنها المسؤولة عن اختراق كبير لهيئة النقل في مقاطعة لوس أنجلوس (LACMTA)، وهي واحدة من أكبر أنظمة النقل العام في الولايات المتحدة. وعزت شركة الأمن السيبراني الإسرائيلية Gambit Security هذا الاختراق إلى جهات فاعلة تابعة للدولة الإيرانية قامت بتسريب ما لا يقل عن 700 غيغابايت من البيانات، بما في ذلك رسائل البريد الإلكتروني والنسخ الاحتياطية للنظام، مما أجبر الوكالة على إغلاق جزئي للشبكات في وقت سابق من هذا العام. يُعد هذا الحادث من بين أهم حالات اختراق البنية التحتية الحيوية من قبل قراصنة إيرانيين التي ظهرت من القطاع العام المحلي في الذاكرة الحديثة.

ما الذي سُرق من LACMTA وكيف تكشّف الاختراق

وفقًا لنتائج شركة Gambit Security، تمكن المهاجمون من الفرار بكمية كبيرة من البيانات الداخلية قبل احتواء الاختراق. ويُقال إن الغنيمة البالغة 700 غيغابايت تضمنت أرشيفات البريد الإلكتروني للموظفين والنسخ الاحتياطية التشغيلية، وهما فئتان من البيانات تحملان مخاطر كبيرة عند وقوعها في أيدي جهات معادية.

غالبًا ما تحتوي أرشيفات البريد الإلكتروني على أكثر بكثير من المراسلات الروتينية. فهي قد تحوي سجلات الموظفين، ووثائق السياسات الداخلية، وعقود البائعين، والمراسلات القانونية، ومعلومات حساسة تخص الركاب تم جمعها من خلال عمليات الخدمة. أما النسخ الاحتياطية، حسب كيفية تكوينها، فقد تحتوي على بيانات اعتماد النظام، ولقطات قواعد البيانات، وملفات التكوين التي يمكن إعادة استخدامها لتسهيل عمليات اختراق مستقبلية.

كان الاختراق خطيرًا بما يكفي لإحداث عمليات إغلاق جزئي للشبكة، وهو إجراء يشير إلى أن الوكالة أدركت وجود اختراق نشط وتحركت للحد من الضرر. ومع ذلك، تؤكد عمليات الإغلاق أيضًا أن المهاجمين كانوا قد حققوا بالفعل وصولاً ذا مغزى قبل الاكتشاف.

لماذا تُعد شبكات النقل العام هدفًا سهلاً للقراصنة المدعومين من الدولة

تحتل وكالات النقل العام موقعًا غير مريح في منظومة الأمن السيبراني. فهي تدير بنية تحتية على نطاق مؤسسة متوسطة الحجم، لكنها غالبًا ما تعمل بقيود ميزانية ونقص في الموظفين يماثل إدارة بلدية. الأنظمة القديمة التي بُنيت قبل وجود نماذج التهديد الحديثة تقع جنبًا إلى جنب مع منصات التذاكر الرقمية الأحدث، وبرامج العمليات الفورية، وأدوات تواصل الموظفين، مما يخلق نسيجًا مرقعًا من الوضعيات الأمنية يصعب الدفاع عنه بشكل موحد.

أظهرت الجهات الفاعلة المرتبطة بالدولة الإيرانية نمطًا واضحًا في استهداف هذه الأنواع من المؤسسات تحديدًا. فبدلاً من مهاجمة الشبكات الفيدرالية شديدة التحصين مباشرة، يركزون بشكل متزايد على مؤسسات القطاع العام والمرافق وأنظمة النقل حيث تكون الدفاعات أضعف وإمكانية الإخلال عالية. وقد حذرت وكالة الأمن السيبراني وأمن البنية التحتية (CISA) ومكتب التحقيقات الفيدرالي (FBI) مرارًا من أن مجموعات القرصنة الإيرانية تستكشف بنشاط الثغرات الأمنية في قطاعات البنية التحتية الحيوية الأمريكية، بما في ذلك النقل.

بالنسبة للجهات التهديدية الأجنبية، فإن الاختراق الناجح لهيئة نقل كبرى يخدم أغراضًا متعددة. فهو يوفر بيانات قابلة للاستغلال، ويظهر القدرة، ويحدث إخلالاً عامًا باستثمار متواضع نسبيًا مقارنة بمهاجمة هدف عسكري أو استخباراتي محصن.

ما الذي يعنيه 700 غيغابايت من رسائل البريد الإلكتروني والنسخ الاحتياطية للأفراد المتأثرين

بالنسبة لموظفي LACMTA، يكمن القلق الفوري في تعرض المعلومات الشخصية والمهنية التي تم تخزينها أو نقلها عبر أنظمة الوكالة. يمكن أن تحتوي رسائل البريد الإلكتروني من الأرشيفات المخترقة على أرقام الضمان الاجتماعي، وتفاصيل الإيداع المباشر، وسجلات الأداء، أو المراسلات المتعلقة بالصحة اعتمادًا على كيفية استخدام الموظفين للبريد الإلكتروني الداخلي في شؤون الموارد البشرية.

بالنسبة للركاب، تعتمد المخاطر على البيانات التي جمعتها واحتفظت بها هيئة النقل، وما إذا كان أي منها قد وجد طريقه إلى النسخ الاحتياطية المخترقة. أنظمة الدفع اللاتلامسية، وسجل الرحلات المرتبط بالحسابات، وأي معرفات شخصية مخزنة تُستخدم لبرامج التعرفة المخفضة أو خدمات الوصول، كلها أنواع معقولة من البيانات يمكن أن تكون موجودة.

تجدر الإشارة إلى أن نطاق ما تم تسريبه لا يزال قيد التقييم. يمثل رقم 700 غيغابايت حدًا أدنى مؤكدًا، وليس بالضرورة سقفًا. كما أن نسب الهجوم إلى جهة فاعلة مرتبطة بالدولة يثير تساؤلات حول ما إذا كانت البيانات ستُستغل لتحقيق مكاسب مالية، أم ستُستخدم لجمع المعلومات الاستخباراتية، أم ستُحتفظ بها كاحتياطي للضغط في المستقبل.

تُعد هذه القضية تذكيرًا بأنه حتى المؤسسات البارزة ذات المساءلة العامة ليست محصنة. وكما أظهر اختراق البريد الإلكتروني لمدير مكتب التحقيقات الفيدرالي، فإن الشهرة لا تعني الأمن العالي. إذا كان رئيس وكالة إنفاذ القانون الأولى في البلاد يمكن أن يواجه اختراقًا للبريد الإلكتروني، فإن الفجوة بين التصور والواقع في هيئة نقل تصبح أكثر وضوحًا.

كيف ينبغي للحكومة والوكالات العامة تحصين الاتصالات الحساسة

يقدم اختراق LACMTA دراسة حالة واضحة حول مخاطر نقص الاستثمار في ضوابط الأمان الأساسية. هناك عدة ممارسات، إذا نُفذت بشكل منهجي، تقلل بشكل كبير من احتمالية الاختراق الناجح والأضرار الناتجة عند حدوثه.

أمن البريد الإلكتروني هو نقطة انطلاق منطقية. يجب أن تفرض بيئات البريد الإلكتروني الحديثة المصادقة متعددة العوامل عبر جميع الحسابات، وتطبق مبادئ الوصول القائمة على انعدام الثقة (Zero-Trust)، وتستخدم بوابات أمان البريد الإلكتروني القادرة على اكتشاف نشاط التسريب الجماعي غير المعتاد. كما يجب مراجعة ممارسات الأرشفة: فالاحتفاظ بسنوات من البريد الإلكتروني غير المفلتر على أنظمة قابلة للوصول يخلق هدفًا غنيًا يزداد قيمة مع مرور الوقت.

يستحق أمن النسخ الاحتياطية اهتمامًا مماثلاً. يجب تخزين النسخ الاحتياطية في بيئات مجزأة مع ضوابط وصول صارمة، ويفضل اتباع نموذج غير متصل بالإنترنت أو معزول تمامًا (Air-Gapped) لأكثر اللقطات حساسية. يجب أن يقترن الاختبار المنتظم لسلامة النسخ الاحتياطية بمراقبة محاولات الوصول غير المصرح بها.

يكتمل خط الأساس بتجزئة الشبكة، والمراقبة المستمرة، وتخطيط الاستجابة للحوادث. الوكالات التي لا تزال تعتمد على نماذج الأمان القائمة على الحماية المحيطية، حيث يكون كل شيء داخل الشبكة موثوقًا به ضمنيًا، تعمل بثغرة معمارية أساسية تعرف الجهات الفاعلة المدعومة من الدولة كيفية استغلالها.

ما الذي يعنيه هذا بالنسبة لك

إذا كنت تعيش أو تعمل في مقاطعة لوس أنجلوس وتفاعلت مع أنظمة LACMTA، فإن الخطوة الفورية هي مراقبة حساباتك المالية وتقارير الائتمان بحثًا عن أي نشاط غير معتاد. إذا اتصلت بك الوكالة بخصوص الاختراق، خذ أي إشعار على محمل الجد واتبع الإرشادات حول الإجراءات الوقائية مثل تنبيهات الاحتيال أو تجميد الائتمان.

على نطاق أوسع، يعزز هذا الحادث مبدأً ينطبق خارج لوس أنجلوس بكثير: لا توجد مؤسسة أبرز أو أكبر أو أكثر طابعًا مدنيًا من أن تكون هدفًا. اختراق البنية التحتية الحيوية من قبل قراصنة إيرانيين في LACMTA يتبع نمطًا موثقًا لجهات أجنبية فاعلة تستهدف المنظمات الأقل تجهيزًا للدفاع عن نفسها.

بالنسبة للموظفين في أي وكالة عامة، تعامل مع بريدك الإلكتروني الخاص بالعمل بنفس الحذر الذي تطبقه على الحسابات الشخصية الحساسة. تجنب استخدامه في أي شيء لا ترغب في الكشف عنه، وفعّل كل ميزة أمان متاحة لك، وأبلغ قسم تكنولوجيا المعلومات عن أي شيء غير معتاد دون تأخير. الاختراق في لوس أنجلوس هو تذكير بأن عواقب الإهمال في النظافة الرقمية تمتد إلى ما هو أبعد من صندوق الوارد لأي شخص.