إيران ومواجهة السايبر: الحرب الرمادية التي لا نشاهدها على الشاشات

لم تجرِ حرب الولايات المتحدة وإسرائيل على إيران في المجال العسكري التقليدي وحده. فإلى جانب الصواريخ والطائرات والمسيرات والمعركة الإعلامية نشطت جبهة أخرى أقل ظهورًا لكنها لا تقل أهمية هي جبهة السايبر. هذه الحرب لم تُطلق صفارات إنذار ولم تدفع السكان إلى الملاجئ، إلا أنها اخترقت فضاءً أكثر حساسية هو الفضاء الذي تتقاطع فيه البنية التحتية مع الحياة اليومية وتتداخل فيه الوظائف التقنية مع الإحساس العام بالأمن والاستقرار.

لهذا السبب، لا يصح النظر إلى حرب السايبر في هذه المواجهة على أنها مجرد أداة تقنية مرافقة. فقد حضرت في صلب الحرب وحاولت أن توسيع نطاق الضغط على الخصم عبر استهداف أنظمته الحيوية وإرباك مجاله الداخلي، والتأثير في قدرته على الحفاظ على انتظام الحياة العامة.

حتى لو فُرض وقف إطلاق نار بين إيران والولايات المتحدة، فلن ينتهي الصراع بينهما مع توقف العمليات العسكرية المباشرة، ستبقى الحرب السيبرانية حاضرة؛ لأنها تمنح الطرفين أداة ضغط منخفضة الكلفة وعالية المرونة

اختراقات سبقت الحرب

من أبرز الحوادث التي سبقت الحرب نجاح قراصنة إيرانيين في كانون الأول/ديسمبر 2025 في اختراق حسابات رئيس الوزراء السابق نفتالي بينيت واستخراج قائمة واسعة من جهات الاتصال قبل أن تظهر لاحقًا ادعاءات باستهداف هاتف تساحي برافرمان رئيس ديوان رئيس الوزراء الإسرائيلي، وهاتف وزيرة القضاء السابقة أييلت شاكيد. 

وفي 11 شباط/فبراير 2026 أعلن الشاباك وجهاز السايبر الوطني الإسرائيلي رصد مئات المحاولات الإيرانية لاختراق حسابات وأجهزة تخص مسؤولين كبارًا في الحكومة والمؤسسة الأمنية والصناعات العسكرية والإعلام والأوساط الأكاديمية. واعتمد المهاجمون رسائل شخصية مركزة وانتحال هويات معروفة وروابط خبيثة ومحاولات لانتزاع كلمات المرور ورموز التحقق الخاصة بحسابات غوغل وتلغرام وواتساب.

الجبهة الداخلية أمام حرب خفية

مع بدء الحرب على إيران في 2026 رافق الهجوم السيبراني الصواريخ العنقودية والبالستية مستهدفًا الأنظمة الرقمية. ففي 10 آذار/مارس 2026 أعلن جهاز السايبر الوطني الإسرائيلي أنه تلقى منذ بداية الحرب نحو 1300 بلاغ عن رسائل نصية ومكالمات ترهيب وشكلت محاولات التصيد منها نحو 77 %. وبعد يوم واحد، اخترقت مجموعة حنضلة موقع مجمع اللغة العبرية ونشرت رسالة تقول إن الإسرائيليين "لن يحتاجوا إلى العبرية قريبًا. ثم في 12 آذار/مارس 2026 استهدف هجوم واسع من نوع DDoS خوادم الحكومة ومنظومة gov.il، أعقبه خلل في أحد مكونات الاتصال تسبب في اضطرابات مؤقتة. 

وتأكد هذا المنحى أكثر في 19 آذار/مارس 2026  حين تلقى كثير من الإسرائيليين رسائل أثناء صفارات الإنذار. حملت بعض الرسائل اسم "قيادة الجبهة الداخلية" ودعت الناس إلى تنزيل تطبيق للمكوث في الملاجئ، فيما تضمنت رسائل أخرى منسوبة إلى "الحرس الثوري" تهديدات مباشرة ودعوات إلى مغادرة إسرائيل. 

ووصف غيل ميسينغ من شركة Check Point Research هذا التوقيت بأنه سابقة، وقال إن الرسائل وصلت إلى الناس "بينما كانوا يركضون إلى الملاجئ" وإن اقترانها بالضربات الصاروخية "في الدقيقة نفسها" يحمل دلالة خاصة. إذ أن المهاجم استخدم لحظة الذعر نفسها بوصفها نافذة للاختراق.

وفي 24 آذار/مارس 2026 كشف جهاز السايبر الوطني أن خمسين جهة ومنظمة مدنية تعرضت للاختراق والحذف الرقمي منذ اندلاع الحرب. كما تحدث عن آلاف المحاولات لاستهداف بنى تحتية إسرائيلية حيوية. وخلال الفترة بين 28 شباط/فبراير  - 22 آذار/مارس 2026 سجل الجهاز 14 حادثة نشر أخبار كاذبة و25 حادثة تأثير أجنبي و14 حالة تشويه مواقع إلكترونية و61 محاولة تجنيد و317 مكالمة مشبوهة و489 رسالة ترهيب. 

التهديد يتغير نوعيًا

لا تكشف كثافة الهجمات وحدها حجم التحول؛ لأن التغير الأهم ظهر في مستوى التعقيد وفي طريقة تصميم العملية السيبرانية نفسها. ففي 7 آذار/مارس 2026 عرضت شركة Cyvore Security معطيات تشير إلى ارتفاع محاولات الانتحال بنسبة 540 % منذ بداية الحرب، خاصة عبر واتساب ورسائل SMS . وتقول الشركة أنه في إحدى عمليات الاختراق استخدم المهاجمون أكثر من 70 رابطًا مختلفًا داخل الهجوم الواحد. وشرح المدير التنفيذي للشركة - أوري ساغال - أن المهاجمين يركزون على ثلاث غايات رئيسية، سرقة الأموال وسرقة الهوية واختراق قواعد بيانات حكومية. لذلك يصممون رسائلهم بما ينسجم مع توقعات الجمهور في زمن الطوارئ، أي مع ما ينتظره الناس ومن يثقون به وتحت أي ضغط قد يتجاوبون بسرعة.

وفي الوقت نفسه، أظهرت معطيات Check Point أن المنظمة الواحدة في إسرائيل تعرضت إلى نحو 2146 هجومًا سيبرانيًا أسبوعيًا، وهو أعلى رقم خلال 12 شهرًا مع زيادة تجاوزت عشرة أضعاف في نشاط المجموعات المرتبطة بإيران مقارنة بأسابيع ما قبل الحرب.

 وحددت الشركة أسماء مجموعات بارزة، منها Cotton Sandstorm التي تنشط في التشويش وبناء الروايات الإعلامية وحنضلة التي تركز على اختراق المؤسسات ونشر المعلومات المسروقة لأهداف نفسية، وEducated Manticore التي تعمل في التجسس الموجه عبر الهندسة الاجتماعية.

 وفي 15 آذار/مارس 2026 كتبت صحيفة "كلكاليست ديجيتال" أن هجمات إيران تحاول زرع الخوف، وتكشف أيضًا فجوات في القدرة. ويلخص هذا التوصيف جوهر المشهد، لأن إيران لا تحتاج إلى اختراقات مدمرة في كل مرة ويكفيها أحيانًا أن تخلق أثرًا نفسيًا واسعًا وأن تدفع المؤسسات إلى العمل تحت ضغط دائم وأن تكشف في أثناء ذلك نقاط الضعف التي ستعود لاختبارها لاحقًا.

الولايات المتحدة ضمن نطاق الاستهداف 

لم تبق الهجمات السيبرانية ضمن الساحة الإسرائيلية، إذ بدأ التمدد نحو الولايات المتحدة يظهر مبكرًا في تقارير الأمن والشركات المتخصصة. ففي 12 آذار/مارس 2026 أفادت أسوشيتد برس بأن قراصنة مؤيدين لإيران وسعوا نشاطهم باتجاه أهداف أمريكية محتملة شملت متعاقدي الدفاع ومحطات الطاقة ومنشآت المياه والموانئ، والمستشفيات وشبكات السكك الحديدية. ثم عادت الوكالة نفسها في 29 آذار/مارس لتشير إلى قرابة 5800 هجوم نفذتها نحو 50 مجموعة مختلفة مرتبطة بإيران وفق تتبع أجرته شركة DigiCert، إلا أن مايكل سميث، المدير التقني الميداني في الشركة، أكد أن العدد الفعلي للهجمات يفوق بكثير ما يصل إلى العلن أو ما يجري الإبلاغ عنه.

وتزداد دلالة هذا التوسع عندما ننظر إلى القطاع الطبي. فقد أعلنت مجموعة حنضلة مسؤوليتها عن اختراق شركة Stryker الأمريكية للتكنولوجيا الطبية، فيما نشرت شركة Halcyon نتائج هجوم آخر استهدف شركة تعمل في قطاع الرعاية الصحية باستخدام أداة ربطتها السلطات الأمريكية بإيران لتثبيت برمجية فدية تدميرية. 

وفي 7 نيسان/أبريل 2026، نقلت رويترز عن جهات أميركية في الأمن السيبراني والاستخبارات وإنفاذ القانون أن الحملات الإيرانية التي تستهدف معدات مستخدمة في قطاعات متعددة من البنية التحتية الحيوية داخل الولايات المتحدة تشهد تصاعدًا منذ بداية الحرب. وركز التحذير على وحدات التحكم المنطقية القابلة للبرمجة وأنظمة الإشراف والتحكم وجمع البيانات، وهي الأنظمة التي تدير مرافق الطاقة والمياه والخدمات الحيوية. وأوضح البيان أن المهاجمين يسعون إلى إحداث "آثار تعطيلية داخل الولايات المتحدة". 

في 30 آذار/مارس 2026، ذكرت هيئة البث الإسرائيلية "كان" أن إيران كلفت مجموعة Charming Kitten بمحاولة اختراق أنظمة التحكم التابعة لمنشآت الطاقة في دول الخليج ودول غربية منخرطة في الحرب، وذلك عقب تهديدات أمريكية مباشرة باستهداف منشآت الطاقة الإيرانية.

ختامًا، حتى لو فُرض وقف إطلاق نار بين إيران والولايات المتحدة، فلن ينتهي الصراع بينهما مع توقف العمليات العسكرية المباشرة، ستبقى الحرب السيبرانية حاضرة؛ لأنها تمنح الطرفين أداة ضغط منخفضة الكلفة وعالية المرونة. 

وقد تزداد هذه الحرب شدة في مرحلة ما بعد التهدئة، لأن العمل في الفضاء الرقمي يتيح الاستنزاف والتخريب وجمع المعلومات من دون الانزلاق إلى مواجهة مفتوحة. كما أن هذا المجال يوفر هامشًا واسعًا للإنكار ويمنح كل طرف قدرة على مواصلة الاشتباك تحت سقف سياسي أقل كلفة. لذلك، قد يوقف الاتفاق النار في الميدان لكنه لن يوقف الحرب الخفية التي ستواصل عملها في الظل.