هجمات سيبرانية جيوسياسية تستهدف بنوك الخليج: أكثر من 100 حادثة في 72 ساعة وبنوك سعودية في مرمى النيران

في غضون 72 ساعة من اندلاع التصعيد العسكري في المنطقة، رصدت شركات استخبارات التهديدات تعبئة أكثر من 60 مجموعة هجومية على منتديات الدارك ويب وقنوات تيليغرام، وتسجيل أكثر من 100 حادثة سيبرانية موثقة تستهدف مؤسسات خليجية — وعلى رأس قائمة الأهداف بنوك سعودية كبرى. الهجمات لم تتوقف، والسؤال الحقيقي الآن: هل مؤسستك المالية جاهزة لصد هذه الموجة؟

التصعيد الجيوسياسي يفتح جبهة سيبرانية جديدة على الخليج

ما إن بدأت العمليات العسكرية في المنطقة حتى تحوّل الفضاء الإلكتروني إلى ساحة معركة موازية. وثّقت شركات رصد التهديدات تعبئة فورية لأكثر من 60 مجموعة هاكتيفيزم وكيانات مرتبطة بدول لمهاجمة البنية التحتية الرقمية الخليجية. المستهدفون لم يكونوا جهات حكومية فحسب، بل امتدت الهجمات لتشمل شركات الاتصالات والطيران والقطاع المصرفي مباشرةً. البيانات تكشف أن ما يقارب 27.5% من التهديدات المتقدمة الموجّهة للمنطقة تحمل بصمات حكومية أو تعمل بدعم حكومي، مما يجعل هذه الموجة مختلفة جوهرياً عن الهجمات الجنائية المعتادة التي تبحث عن مكسب مادي.

بنك الرياض والراجحي: أهداف معلنة في منتديات الهاكرز

كشفت تقارير استخباراتية متعددة أن بنك الرياض وبنك الراجحي — أكبر البنوك الإسلامية في العالم — ظهرا صراحةً ضمن الأهداف المُعلنة في منشورات مجموعات هجومية على المنتديات المظلمة وقنوات تيليغرام. أنماط الهجوم الموثقة تضمنت هجمات الحرمان من الخدمة الموزعة (DDoS) لتعطيل الخدمات المصرفية الرقمية، وحملات تشويه الواجهات (Defacement)، ومحاولات تسريب بيانات تعود لاختراقات سابقة تُستخدم الآن كورقة ضغط وابتزاز. في السياق ذاته، استُهدف مطار الكويت الدولي وشركة بتلكو البحرينية وشركة du الإماراتية، مما يؤكد أن الاستهداف ممنهج وله طابع إقليمي متكامل وليس عشوائياً.

طبيعة التهديدات: من DDoS إلى Wipers وتسريب البيانات

تتنوع أساليب الهجوم في هذه الموجة بشكل يستدعي فهماً دقيقاً من فرق الاستجابة. على الصعيد الأكثر شيوعاً، تستهدف هجمات DDoS بوابات الدفع الإلكتروني وتطبيقات الخدمات المصرفية الرقمية، معتمدةً شبكات Botnet ضخمة قادرة على توليد حركة مرور بمئات الجيجابت في الثانية. وعلى الجانب الأخطر، تلجأ بعض المجموعات ذات التوجه الجيوسياسي إلى نشر ما يُسمى "Wiper Malware" — برمجيات تدمير البيانات التي لا تسرق بل تمحو — وهو ما شهدناه في هجمات Shamoon التاريخية التي استهدفت أرامكو السعودية. كذلك تتصاعد حملات التصيد الموجّه (Spear Phishing) ضد موظفي المؤسسات المالية، مستغلةً حالة الاضطراب الإعلامي لزيادة معدلات النقر على روابط خبيثة.

التأثير على المؤسسات المالية السعودية: ما تطلبه SAMA وNCA

هذا التصعيد يضع إطار SAMA CSCC (إطار الأمن السيبراني لمؤسسة النقد العربي السعودي) أمام اختبار حقيقي. المتطلب 3.3 من الإطار يُلزم المؤسسات بامتلاك خطة استجابة للحوادث مُحدّثة ومُختبرة، فيما يشترط المتطلب 4.2 توافر قدرات مراقبة مستمرة وكشف التهديدات في الوقت الفعلي عبر SIEM. من جهتها، تُلزم NCA ECC المؤسسات الحيوية بتفعيل بروتوكولات الاستمرارية التشغيلية (BCP/DRP) فور رصد تصاعد في مستوى التهديد. أما على صعيد نظام حماية البيانات الشخصية (PDPL)، فإن أي اختراق يؤدي إلى تسريب بيانات العملاء يُرتّب التزامات إبلاغية صارمة خلال 72 ساعة من الاكتشاف تجاه هيئة حماية البيانات الشخصية. المؤسسات التي لم تُجرِ تمريناً للاستجابة للحوادث أو تمرين Red Team خلال الـ 12 شهراً الماضية باتت في وضع هش بصورة حادة.

التوصيات والخطوات العملية العاجلة

1. رفع حالة التأهب فوراً في مركز العمليات الأمنية (SOC): فعّل بروتوكول مستوى التهديد المرتفع وزد معدل مراجعة التنبيهات إلى 24/7 حتى تراجع حدة التصعيد الإقليمي، مع التركيز على تنبيهات حركة المرور الشاذة وهجمات DDoS.
2. اختبار وتعزيز قدرات التخفيف من هجمات DDoS: تحقق من صلاحية عقود خدمات DDoS Mitigation مع مزودي مثل Cloudflare Magic Transit أو Akamai Prolexic أو AWS Shield Advanced، وتحقق من القدرة الاستيعابية وآليات الاستجابة.
3. مراجعة سطح الهجوم الخارجي بشكل عاجل: نفّذ فحصاً طارئاً لنقاط الدخول المكشوفة باستخدام أدوات مثل Shodan أو Censys أو Attack Surface Management لتحديد وإغلاق الخدمات غير الضرورية المكشوفة على الإنترنت.
4. تشديد ضوابط الهوية وحسابات الامتياز: طبّق مبدأ الحد الأدنى من الصلاحيات (Least Privilege) فوراً، وفعّل MFA المقاوم للتصيد (مثل FIDO2) على جميع الحسابات الإدارية والوصول عن بُعد دون استثناء.
5. تحديث خطة الاستجابة للحوادث لتشمل سيناريوهات الجيوسياسية: راجع وحدّث IRP الخاص بمؤسستك ليشمل بروتوكولات التعامل مع هجمات Wiper وسيناريوهات التدمير المتعمد للبيانات، لا فقط الاختراق للسرقة.
6. الاشتراك في التغذية الاستخباراتية الإقليمية: اشترك في نشرات التهديدات من CERT.gov.sa (الهيئة الوطنية للأمن السيبراني) وتابع مؤشرات الاختراق (IoCs) المحدّثة لربطها بأنظمة SIEM وجدران الحماية لديك.

الخلاصة

موجة الهجمات الحالية ليست ظاهرة عابرة — إنها تعكس واقعاً جديداً حيث تُصبح المؤسسات المالية الخليجية خطوطَ مواجهة في النزاعات الجيوسياسية. تاريخ المنطقة مع هجمات Shamoon وDisttrack أثبت أن الجهات المُموَّلة حكومياً تمتلك القدرة على إحداث تدمير حقيقي لا مجرد إزعاج مؤقت. الاستثمار في تعزيز القدرات الدفاعية — من SOC وDDoS Mitigation وتمارين الاستجابة — ليس تكلفة تشغيلية بل هو ضمانة لاستمرارية الأعمال في بيئة إقليمية متقلبة.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC.