الممثلون الموالون لإيران يستهدفون أنظمة OT و SCADA في قطاع الطاقة الأمريكي — ما يجب أن تعرفه فرق أمان الشبكة الآن
تتقارب البيانات المشتركة من الوكالات الحكومية المتعددة وتقارير الاستخبارات التهديدية من يونيو 2026 على صورة تهديد متسقة وذات أهمية تشغيلية: ممثلو التهديد المستمر المتقدم (APT) الموالون لإيران يستهدفون بنشاط البنية التحتية الحرجة الأمريكية — بما في ذلك تكنولوجيا التشغيل (OT) في قطاع الطاقة وبيئات SCADA — لاستخراج ملفات المشاريع، والتلاعب ببيانات HMI، والتحقيق في أنظمة التحكم الصناعي المعرضة للإنترنت. التهديد ليس نظرياً. إنه موثق ومستمر، وتقيمه الوكالات الفيدرالية والمحللون المستقلون بأنه يتصاعد من حيث الوتيرة والتعقيد.
قامت GeoBit بمراجعة التقارير المتاحة من المصادر المفتوحة والبيانات المشتركة من الوكالات في إعداد هذا التحليل. عندما لم يكن بالإمكان التحقق من المطالبات المحددة مقابل مصادر عامة قابلة للتحقق والمسماة وقت النشر، تم حذف تلك المطالبات من هذه الطبعة أو نسبتها بوضوح باعتبارها غير موثوقة. يجب على القارئين التعامل مع هذا كصورة تهديد موثوقة تتطلب التحقق من خلال القنوات المصنفة أو المميزة المتاحة لمؤسساتهم، بما في ذلك E-ISAC وآليات تنسيق CISA والتواصل المباشر مع FERC عند الحاجة.
ما يفعله الممثلون الموالون لإيران فعلياً داخل بيئات OT
تتوثق البيانات المشتركة من CISA و FBI و NSA و EPA و DOE و قيادة الفضاء السيبراني الأمريكية — وآخرها في أبريل 2026 — وصول الممثلين الموالين لإيران إلى وحدات التحكم المنطقية القابلة للبرمجة (PLCs) من Rockwell/Allen-Bradley المنتشرة عبر البنية التحتية الحرجة الأمريكية، بما في ذلك أنظمة الطاقة. تشمل الأنشطة الموثقة استخراج ملفات المشاريع والتلاعب ببيانات HMI و SCADA: معلومات الهندسة والتكوين التشغيلي التي تحدد كيفية تشغيل العمليات الصناعية، وكيفية تفعيل التنبيهات، وكيفية تفاعل المشغلين مع المعدات المادية.
هذا ليس استطلاعاً بالمعنى المجرد. استخراج ملفات المشروع من وحدة تحكم منطقية يعطي الخصم خريطة مفصلة خاصة بالجهاز لكيفية برمجة النظام — نقاط الضبط والأقفال والمنطق التحكمي وسلوك وضع الفشل. يوسع استخراج بيانات HMI هذه الصورة لتشمل طبقة واجهة المشغل. معاً، توفر هذه المادة للخصم الأساس اللازم لنمذجة كيفية استجابة النظام للمدخلات المعدَّلة، وتحديد نقاط التدخل ذات العواقب الكبيرة، أو توقيت إجراء مزعزع لتعظيم التأثير المادي.
ناقلات الدخول الموثقة في هذه البيانات ليست غريبة. الممثلون الموالون لإيران، بمن فيهم أولئك المرتبطون بمجموعة CyberAv3ngers المرتبطة بالحرس الثوري الإسلامي، استغلوا بشكل متسق وحدات التحكم المنطقية والواجهات المعرضة للإنترنت والمحمية بشهادات افتراضية أو ضعيفة — وهي تقنية وصول أولية منخفضة التعقيد ثبتت فعاليتها بشكل متكرر ضد بيئات تكنولوجيا التشغيل التي لم تُصمم مع وضع التعريض للإنترنت في الاعتبار. الآثار المترتبة على فرق الأمان واضحة: تعزيز أصول OT المعرضة للإنترنت وفرض إدارة بيانات الاعتماد القوية على أنظمة ICS/SCADA ليست طموحاً للحالة المستقبلية؛ إنها الخطوط الأمامية الحالية.
بيانات البنية التحتية التشغيلية الحساسة كهدف للخصم
في حين أن أي بيان مشترك مذكور من مصادر مفتوحة لا يستخدم المصطلح المنظم "معلومات البنية التحتية الحرجة للطاقة/الكهرباء" (CEII) فيما يتعلق بهذه الحملة، فإن فئة البيانات المستهدفة متشابهة وظيفياً: معلومات الهندسة والتشغيل التفصيلية حول كيفية تكوين أنظمة الطاقة والبنية التحتية الحرجة والتحكم بها وجعلها عرضة للخطر. المبدأ الأوسع — أن الخصوم الذين يحصلون على بيانات حساسة عن التخطيط والعمليات لنظام ما هم في وضع أفضل للهجوم عليه — محدد جيداً في أدبيات التهديد ومدعوم بشكل مباشر من السلوك الموثق للممثلين الموالين لإيران في البيان المشترك من أبريل 2026.
بالنسبة لفرق الأمان التي تدير مواد محددة من CEII بموجب إطار وصول FERC، فإن صورة التهديد هذه إشارة ذات صلة. اهتمام الخصم بتفاصيل النظام التشغيلي الموثق في البيانات المشتركة متسق مع اهتمام الخصم الأوسع بأي بيانات حساسة عن تخطيط البنية التحتية. مراجعة عناصر التحكم في الوصول إلى CEII وموضع المصادقة ومراقبة سجل الوصول خطوة مناسبة وفي الوقت المناسب بغض النظر عما إذا تم تحديد مؤسستك على وجه التحديد كهدف للحملة الحالية. إرشادات FERC التي يمكن الوصول إليها علناً بشأن معالجة CEII وإجراءات الوصول متاحة على موقع FERC وتوفر خطاً أساسياً مفيداً لهذا التدقيق.
السياق الاستراتيجي الأوسع: إيران والبنية التحتية الأمريكية وموضع الأمان السيبراني المرتفع
التهديد الإيراني السيبراني للبنية التحتية الحرجة الأمريكية لا يوجد في معزل. قيّم إحاطة استخبارات تهديد استراتيجية من يونيو 2026 أن الممثلين الممولين من الدولة والموالين لإيران "يستفيدون بشكل متزايد من الهجمات السيبرانية المدمرة ضد البنية التحتية الحرجة، خاصة في قطاعات الرعاية الصحية والطاقة"، مع ضغط من دول معادية مرتفع ومخاطر نشاط مزعزع قريب الأجل مرتبطة مباشرة بإيران. قيّمت نفس الإحاطة استمرار اهتمام الممثلين المرتبطين بإيران بيئات ICS و SCADA عبر الأنظمة المائية والطاقة والحكومية — حكم متسق مع نشاط البيان المشترك الموثق من أبريل 2026 ومع القوس الأطول للسلوك الإيراني الذي يستهدف OT عبر سنوات متعددة من الحملات الموثقة.
يصف التحليل المستقل الذي يستشهد بـ CISA advisory AA26-097A حملة جارية موالية لإيران تستهدف وحدات التحكم المنطقية Rockwell/Allen-Bradley المعرضة للإنترنت في البنية التحتية الحرجة الأمريكية ويقيّم أن الممثلين الموالين لإيران يستمرون في استهداف قطاعات البنية التحتية الحرجة التي تدعم الخدمات البلدية والعامة. الطاقة مدرجة بشكل صريح ضمن هذا النطاق.
تدرك GeoBit بتقارير أوسع خلال هذه الفترة فيما يتعلق بالنشاط الحركي في السياق الأمريكي-الإيراني، بما في ذلك ادعاءات تتعلق بالضربات والحوادث البحرية واعتقالات أفراد يُزعم أنهم مرتبطون بعمليات الدولة الإيرانية السيبرانية. تفاصيل أسماء السفن والاعتقالات والأرقام المتعلقة بالأضرار وتقييمات الخسائر من تلك التقارير لم يتمكن من التحقق منها مقابل خدمات الأسلاك المسماة أو مصادر وزارة العدل أو مصادر حكومية رسمية وقت النشر وتم حذفها في انتظار التحقق. درجة الحرارة الجيوسياسية، حتى بعيداً عن تلك التفاصيل غير الموثوقة، تبقى مرتفعة بطرق مباشرة ذات صلة بموضع مخاطر الشبكة والبنية التحتية الحرجة المحلية.
الآثار المترتبة على فرق أمان شبكة ومرافق OT اليوم
بالنسبة لمديري الأمان في المرافق المملوكة من قبل المستثمرين والكيانات الطاقة العامة والتعاونيات وISOs/RTOs، فإن الآثار العملية لهذا التهديد الموثق تمتد عبر عدة مجالات.
أصول OT المعرضة للإنترنت هي نقطة الدخول الموثقة — تعامل معها وفقاً لذلك. البيان المشترك من أبريل 2026 واضح: الممثلون الموالون لإيران يدخلون من خلال وحدات التحكم المنطقية والواجهات المعرضة للإنترنت مع بيانات اعتماد افتراضية أو ضعيفة. جرد أصول يؤكد أي أجهزة OT لها تعريض للإنترنت — مقصود أو غير مقصود — وتدقيق بيانات اعتماد فوري ضد التكوينات الافتراضية من أعلى إجراءات الأولوية للعمل القريب الأجل. هذا ليس تخفيف معقد أو مكلف؛ إنها النظافة الأساسية التي استغلتها الحرفية