روزنامه هاآرتص در گزارشی تحقیقی اعتراف کرد

6 سال نفوذ سایبری ایران در قلب اندیشکده امنیتی اسرائیل

۲۶ اردیبهشت, ۱۴۰۵
۰۶:۱۸

آسیه فروردین

تحقیقات روزنامه هاآرتص، بر اساس بیش از 100 هزار ایمیل و پیام لورفته، نشان می‌دهد چگونه هکرهای مرتبط با ایران، نفوذ سایبری، جمع‌آوری اطلاعات و طرح‌های ادعایی ترور علیه مؤسسه مطالعات امنیت ملی اسرائیل را ترکیب کرده‌اند.

سایت slguardian در مطلبی به بررسی گزارش روزنامه صهیونیستی هاآرتص پرداخته و نوشت: برای سال‌ها، مؤسسه مطالعات امنیت ملی اسرائیل (INSS) تصور می‌کرد در حوزه تحقیقات سیاستی و تحلیل استراتژیک فعالیت می‌کند، اما یک کمپین سایبری گسترده که به سرویس‌های اطلاعاتی ایران نسبت داده می‌شود، آن را به چیزی کاملاً متفاوت تبدیل کرده؛ هدف پایدار در یک جنگ ترکیبی که هک، نفوذ روانی، جاسوسی و طرح‌های ادعایی نظارت فیزیکی را درهم می‌آمیزد.

پژوهش‌های هاآرتص، با استناد به بیش از 100 هزار ایمیل، فایل و پیام لورفته، مدعی شد حمله به INSS حداقل 6 سال است که ادامه دارد. این حمله از تلاش‌های معمول فیشینگ به عملیات اطلاعاتی چندلایه تبدیل شده که اکنون فعالیت‌های مرتبط با ترور و افشای سیستم‌های داخلی بسیار حساس را شامل می‌شود.

نقش «حنظله»: هک 400 هزار فایل

این نشت‌های اطلاعاتی که توسط گروه هکری «حنظله» منتشر و توسط هاآرتص تجزیه و تحلیل شده‌، حاکی از آن است که نهادهای امنیتی ایران به درستی، INSS را نه به‌عنوان اندیشکده غیرنظامی، بلکه به‌عنوان بخشی از تشکیلات امنیتی اسرائیل تلقی می‌کنند.

حنظله که خود را گروه هکتیویست طرفدار فلسطین معرفی می‌کند، اما توسط مقامات آمریکایی به‌عنوان واحد سایبری ایرانی شناسایی شده، در ماه‌های اخیر بیش از ۱۰۰ هزار فایل سرقت‌شده را منتشر کرده است. این مطالب، تا اواخر سال ۲۰۲۵ را شامل می‌شود و ارتباطات داخلی، اسناد اداری و جزئیات عملیاتی پرسنل ارشد INSS، از جمله رؤسای سابق اطلاعات نظامی اسرائیل و چهره‌های مرتبط با موساد را که اکنون در سمت‌های رهبری این مؤسسه فعالیت می‌کنند، دربرمی‌گیرد.

مقیاس این نفوذ، نه‌تنها به‌دلیل آنچه به سرقت رفته، بلکه به‌دلیل آنچه آشکار می‌کند، قابل‌توجه است.

طبق تجزیه و تحلیل هاآرتص، این داده‌ها، نفوذ مکرر به حساب‌های ایمیل محققان ارشد را نشان می‌دهد که برخی از آنها، قبلاً در حساس‌ترین یگان‌های اطلاعاتی اسرائیل خدمت کرده بودند. در چند مورد، مهاجمان با جعل هویت مقامات مؤسسه مطالعات امنیت ملی اسرائیل، گزارش‌های سرقت شده را توزیع کرده و مخاطبان خارجی را به‌سمت ارتباطات آلوده کشانده‌اند.

آنچه در حدود سال ۲۰۱۹ به‌عنوان تلاش‌های معمول برای نفوذ آغاز شد، به‌سرعت به دسترسی هماهنگ به حساب‌های سطح بالا، از جمله حساب عاموس یدلین، رئیس سابق اطلاعات نظامی و سایر چهره‌های ارشد مرتبط با اکوسیستم دفاعی اسرائیل تبدیل شد.

تا سال‌های ۲۰۲۱ و ۲۰۲۲، عاملان ایرانی روش‌های خود را تشدید کردند. مکاتبات لورفته، تلاش‌ها برای استفاده از حساب‌های به‌خطر افتاده برای هدف قرار دادن شخصیت‌های برجسته اسرائیلی، از جمله زیپی لیونی، وزیر امور خارجه سابق را نشان می‌دهد که به نظر می‌رسد عملیات فیشینگ پیچیده با هدف استخراج اطلاعات حساس یا تسهیل طعمه‌گذاری مبتنی بر سفر بوده است.

به‌موازات آن، محققان بارها با اسناد مخرب و کمپین‌های جعل هویت، هدف قرار گرفتند. در یک مورد، هکرهای مرتبط با ایران، کتاب یکی از محققان را قبل از انتشار رسمی فاش کردند؛ اقدامی که مرز بین جاسوسی و آزار روحی را از بین برد. نفوذ همچنین موارد نگران‌کننده‌تری مانند ادغام عملیات سایبری با جمع‌آوری اطلاعات فیزیکی را آشکار کرد.

طبق اسناد بررسی‌شده توسط هاآرتص، این کمپین، نه‌تنها نفوذ دیجیتال، بلکه هماهنگی با عوامل محلی و تلاش برای پشتیبانی از برنامه‌ریزی ترور علیه افراد اسرائیلی مرتبط با این مؤسسه را نیز شامل شده است. در حالی که همه ادعاها قابل تأیید مستقل نبودند، اما مقامات امنیتی اسرائیل که در این تحقیق به آنها استناد شده، الگویی را توصیف کردند که در آن، شناسایی سایبری مستقیماً با تلاش‌های هدف‌گیری‌شده در دنیای واقعی، از جمله نظارت بر خانه‌ها و وسایل نقلیه افراد، تغذیه می‌شد.

در مرکز این کمپین، گروه هکری حنظله قرار دارد که سال‌ها مؤسسات اسرائیلی را هدف قرار داده و تحت هویت متغیر فعالیت کرده است. در آوریل ۲۰۲۵، در اوج درگیری ایران و اسرائیل، حنظله، ایمیل‌های متعلق به 6 تن از مقامات ارشد INSS، از جمله تامیر هایمن، مدیر فعلی و محققان برجسته مانند سیما شاین و راز زیمت را منتشر کرد.

این گروه مدعی شد بیش از 400 هزار فایل را سرقت کرده، اگرچه هاآرتص، حداقل 99 هزار مورد از آنها را تأیید کرد. در حالی که بخش زیادی از مطالب اداری به نظر می‌رسد، اما کارشناسان امنیت سایبری گفتند این مطالب، حاوی افشاگری‌های امنیتی حیاتی، مانند رمزهای عبور دوربین‌های نظارتی، شبکه‌های وای‌فای و سیستم‌های داخلی زوم استفاده‌شده برای جلسات حساس است.

در یک نمونه مشخصاً چشمگیر، یک ورودیِ تقویمِ لورفته، که ظاهراً حاوی کد دسترسی به ساختمان INSS بوده، عملاً اطلاعات ورود فیزیکی را به مهاجمان واگذار کرده است. اسناد دیگر، پرسنل نظامی از یگان ۸۲۰۰، یگان برتر اطلاعات سیگنال اسرائیل و نیز دیپلمات‌ها و مقامات مرتبط با ناتو که با این مؤسسه تعامل داشته‌اند، شناسایی کردند. افشای این اطلاعات نشان می‌دهد چگونه نفوذهای سایبری می‌توانند به‌سرعت به ریسک‌های امنیتی فیزیکی تبدیل شوند؛ به‌ویژه زمانی که زیرساخت دیجیتال، به‌شدت به سیستم‌های دسترسی دنیای واقعی متصل است.

هشدارهای امنیتی، استمرار کمپین نفوذ

این تحقیق، همچنین هشدارهای مکرر شرکت‌های امنیت سایبری در طول سال‌ها را برجسته می‌کند. شرکت‌های خصوصی مانند چک‌پوینت (Check Point) و کلیراسکای (ClearSky) به INSS اسرائیل کمک کردند، در حالی که گفته می‌شود اداره ملی سایبری اسرائیل پس از چند نفوذ، رهنمودهایی صادر کرده است.

بااین‌حال، هاآرتص خاطرنشان می‌کند سازمان‌های امنیتی رسمی، مستقیماً در ایمن‌سازی سیستم‌های این مؤسسه دخالت نداشتند و شکاف‌های امنیتی را برای کارکنان فعلی و مقامات اطلاعاتی سابق که همچنان به شبکه‌های حساس متصل هستند، باقی گذاشته‌اند.

یکی از نگران‌کننده‌ترین جنبه‌های کمپین نفوذ، پایداری آن است. حتی پس از افشای چندین حادثه، مهاجمان به نفوذ موفقیت‌آمیز به حساب‌ها و جعل هویت محققان ادامه دادند. در سال‌های ۲۰۲۴ و ۲۰۲۵، تلاش‌های فیشینگ با گنجاندن جعل هویت تولیدشده توسط هوش مصنوعی و فایل‌های PDF مخرب، که برای جمع‌آوری اعتبار ورود طراحی شده بودند، گسترش یافت.

به‌موازات آن، عاملان ایرانی ادعا می‌کنند از داده‌های سرقت‌شده برای حمایت از عملیات نفوذ گسترده‌تر، از جمله کمپین‌های اطلاعات نادرست و تلاش برای شکل‌دهی روایت‌ها درباره فعالیت‌های نظامی و دیپلماتیک اسرائیل استفاده کرده‌اند.

نشت اطلاعات نشان می‌دهد چگونه عملیات سایبری با نظارت فیزیکی تلاقی می‌کند. طبق مورد گزارش‌شده توسط هاآرتص، مقامات اسرائیلی زوجی را که ادعا می‌شود توسط نهادهای امنیتی ایران برای نظارت بر پرسنل INSS، از جمله عکاسی از سایت‌های حساس و ردیابی افراد برای مدت طولانی استخدام شده بودند، دستگیر کردند.

طبق گفته مقامات امنیتی اسرائیل، این اطلاعات، نه‌تنها برای جاسوسی، بلکه به‌طور بالقوه برای برنامه‌ریزی حملات هدفمند، مانند تلاش برای ترور افراد مرتبط با این مؤسسه، استفاده می‌شد.

مقامات سابق امنیتی اسرائیل که در این گزارش به آنها استناد شده، وضعیت را گونه‌ای آسیب‌پذیری ساختاری توصیف می‌کنند، زیرا بسیاری از محققان INSS، اعضای ارشد سابق موساد، اطلاعات نظامی یا شین‌بت هستند و مدت‌ها پس از ترک خدمت رسمی، همچنان به‌عنوان اهداف جذاب باقی می‌مانند. بااین‌حال، مسئولیت امنیت دیجیتال آنها پراکنده است و کاملاً تحت‌حفاظت دولت و تدابیر ایمنی سازمانی قرار ندارد. بر اساس گزارش هاآرتص، این شکاف به مهاجمان اجازه داده بارها و بارها از حساب‌های ایمیل شخصی و دستگاه‌های خصوصی، بدون مقاومت قابل‌توجه سوءاستفاده کنند.

تداوم نفوذپذیری INSS

مؤسسه مطالعات امنیت ملی اسرائیل، تهدیدات سایبری را تأیید کرده، اما همچنان ادعا می‌کند یک نهاد تحقیقاتی مستقل است که با مواد طبقه‌بندی شده سروکار ندارد و با همکاری سازمان‌های امنیتی اسرائیل فعالیت می‌کند.

بااین‌حال، کارشناسان امنیت سایبری که در این تحقیق به آنها استناد شده، استدلال می‌کنند سیستم‌های آن، به‌طور مؤثری به‌عنوان نقطه ورود برای حملات مداوم علیه شبکه‌های گسترده‌تر اسرائیل عمل کرده‌اند.

به گفته یکی از کارشناسان، حساب‌های INSS که به خطر افتاده بودند، در سال ۲۰۲۵ همچنان برای توزیع بدافزار به اهداف اضافی استفاده می‌شدند که نشان می‌دهد این نفوذ، به‌جای مهار شدن، همچنان فعال است.

این کمپین، فراتر از جاسوسی، بیانگر تغییر ژئوپلیتیکی گسترده‌تر است که در آن عملیات سایبری، جنگ نفوذ و جمع‌آوری اطلاعات فیزیکی، به‌طور فزاینده‌ای یکپارچه می‌شوند. آنچه تحقیقات هاآرتص در نهایت آشکار می‌کند، نفوذ واحد نیست، بلکه سیستم فشار پایدار یعنی استراتژی بلندمدت ایران است که با هدف نقشه‌برداری از اکوسیستم امنیتی اسرائیل از طریق یکی از مراکز فکری متصل‌تر آن انجام می‌شود.

مؤسسه مطالعات امنیت ملی اسرائیل که زمانی عمدتاً اندیشکده تلقی می‌شد، اکنون طبق داده‌ها، به‌عنوان مرکز بسیار آسیب‌پذیر، یعنی میدان نبرد دیجیتال و استراتژیک که در آن تحقیق، اطلاعات و هجوم، تفکیک‌ناپذیر شده‌اند، ظاهر می‌شود.