قراصنة حكوميون إيرانيون يخترقون نظام نقل لوس أنجلوس ويمسحون بياناته لإطالة الاضطراب
اخترق قراصنة حكوميون إيرانيون هيئة النقل في لوس أنجلوس (LACMTA) في مارس 2026، وسرقوا البيانات ثم حذفوها عمدًا لتعظيم الاضطراب – وهو تكتيك أجبر الهيئة على عملية تعافٍ استمرت أسابيع، وفقًا لتقرير من TechCrunch بقلم Lorenzo Franceschi-Bicchierai. نُسب الهجوم إلى وزارة الاستخبارات والأمن الإيرانية (MOIS) من قبل شركة الأمن السيبراني الإسرائيلية Gambit Security، تحت شخصية الهاكتيفيست المزيفة 'Ababil of Minab'.
هذا الإفصاح يضيف هدفًا كبيرًا من البنية التحتية العامة الأمريكية إلى قائمة متزايدة من العمليات الإلكترونية الإيرانية التي تكثفت في 2026 بعد ضربات عسكرية أمريكية وإسرائيلية ضد إيران في وقت سابق من العام. LA Metro هي ثاني أكبر نظام نقل عام في الولايات المتحدة، تخدم أكثر من 300,000 راكب يوميًا عبر الحافلات وقطار الضواحي والمترو.
كيف تطور الهجوم
بدأ الاختراق في مارس 2026. تمكن المهاجمون من الوصول إلى أنظمة LACMTA، واستخرجوا البيانات، ثم مسحوا الملفات المسروقة من البنية التحتية للهيئة نفسها – تكتيك مزدوج التأثير صُمم ليس فقط لسرقة المعلومات بل لتقليل القدرة التشغيلية للهيئة وإطالة أمد التعافي. أكدت LACMTA الاختراق في أبريل 2026. لم تكشف الهيئة عن النطاق الكامل لما سُرق أو حُذف، لكن التعافي من تدمير البيانات استغرق عدة أسابيع.
استخدمت المجموعة التي تقف وراء الهجوم اسم 'Ababil of Minab' – إشارة إلى ضربة جوية أمريكية على مدرسة في مدينة ميناب الإيرانية قتلت أكثر من 175 شخصًا، معظمهم أطفال، خلال المواجهة العسكرية بين الولايات المتحدة وإيران في أوائل 2026. استخدام شخصية مزيفة ذات شحنة جيوسياسية هو تكتيك ثابت في العمليات الإيرانية المدعومة من الدولة: يسمح لـ MOIS بتحقيق أهداف استراتيجية مع خلق إنكار معقول وتضخيم القيمة الدعائية للاختراقات الناجحة.
الإسناد والنمط الأوسع
إسناد Gambit Security للهجوم إلى عناصر MOIS يتناسب مع نمط موثق. الجهات الإيرانية المهددة، بما في ذلك مجموعات تعمل تحت مظلة MOIS، تبنت بشكل متزايد تكتيكات 'الاختراق والتسريب' و'الاختراق والتدمير' ضد البنية التحتية الحيوية الأمريكية – متجاوزة عمليات التجسس التي ميزت النشاط الإيراني المبكر نحو عمليات مصممة للاضطراب والتأثير النفسي.
نفس السيناريو استُخدم في وقت سابق من 2026 ضد Stryker، شركة التكنولوجيا الطبية الأمريكية، من قبل مجموعة تعمل تحت غطاء هاكتيفيست مماثل. في كلتا الحالتين، أعقب الاختراق الأولي استخراج البيانات، وحذفها، وادعاء عام من الشخصية المزيفة لتعظيم الاهتمام ومنع الإسناد السريع. هذا التكتيك يخلق فجوة بين الاضطراب الملحوظ والإسناد الرسمي، مما يشتري الوقت ويخلق ارتباكًا في مرحلة الاستجابة.
الحكومة الأمريكية أشارت إلى هذا الاتجاه مباشرة. في أبريل 2026، أصدر FBI وCISA ووكالات شريكة تحذيرًا مشتركًا يحذر مشغلي البنية التحتية الحيوية الأمريكية من التصعيد في الاستهداف الإلكتروني الإيراني، مع الإشارة تحديدًا إلى قطاعات النقل والرعاية الصحية والمرافق كأهداف ذات أولوية. جاء التحذير بعد سلسلة من عمليات مصادرة مواقع ويب تديرها مجموعات قرصنة مؤيدة لإيران في وقت سابق من العام.
لماذا تستهدف أنظمة النقل
هيئات النقل العام هدف جذاب لعمليات الاضطراب المدعومة من الدولة لعدة أسباب. تشغل شبكات تكنولوجيا عمليات (OT) قديمة لم تصمم بمتطلبات الأمن السيبراني الحديثة. تعتمد بشكل كبير على أنظمة IT وOT المترابطة للجدولة وإصدار التذاكر والاتصالات والسلامة. ولأنها تخدم سكانًا حضريين كبار، فإن الاضطرابات الناجحة تولد رؤية عامة كبيرة – وهو الهدف لجهة فاعلة تسعى إلى تأثير نفسي بدلاً من جمع استخبارات هادئ.
مكون تدمير البيانات في هجوم LACMTA ملحوظ بشكل خاص. على عكس ransomware حيث يمكن التعافي من الناحية المبدئية بعد دفع فدية، الحذف المتعمد للبيانات لا يمكن عكسه بدون نسخ احتياطية عاملة. إذا كانت أنظمة النسخ الاحتياطي لـ LACMTA قد اخترقت أيضًا، فإن الجدول الزمني للتعافي الذي استمر أسابيع يعكس الوقت اللازم لإعادة بناء الأنظمة من نسخ احتياطية جزئية أو من الصفر – نتيجة أكثر ضررًا بكثير من حادثة ransomware نموذجية.
ما يجب أن يستفيده مشغلو البنية التحتية الآخرون
هجوم LACMTA يعزز عدة دروس تنطبق بشكل واسع على مشغلي البنية التحتية الحيوية. أولاً، الجهات الإيرانية المهددة تستخدم الأحداث الجيوسياسية – الضربات العسكرية الأمريكية على إيران – كمحفزات تشغيلية للحملات الإلكترونية التي تتبع بسرعة. المؤسسات في القطاعات التي سبق تحذيرها من قبل التحذيرات الفيدرالية يجب أن تتعامل مع البيئة الجيوسياسية الحالية كفترة تهديد مرتفعة، وليست أساسية.
ثانيًا، سلامة النسخ الاحتياطي أصبحت الآن قضية من الدرجة الأولى في الدفاع ضد هجمات ransomware والهجمات التدميرية. فعالية هجوم حذف البيانات تعتمد كليًا على قدرة الهدف على التعافي من نسخ احتياطية غير متصلة بالإنترنت وغير قابلة للتغيير ومفصولة هوائيًا. المؤسسات التي لم تختبر عملية استعادة النسخ الاحتياطي في ظل ظروف محاكاة لفقدان البنية التحتية يجب أن تعامل هذه الفجوة كمسألة عاجلة.
ثالثًا، نمط شخصية الهاكتيفيست المزيفة يعني أن الادعاءات العامة الأولية من مجموعات غير معروفة لا يجب أن تؤخذ بقيمتها الظاهرية. الإسناد يستغرق وقتًا، والفجوة بين الهجوم والإسناد الرسمي هي ميزة في تصميم العملية، وليس خللًا.
Originally reported by TechCrunch. Read the original article for additional details.
View original source