مجموعة Handala الإيرانية تسرّب بيانات 2,379 جندياً أمريكياً في الخليج: دروس في الحرب السيبرانية الإقليمية

نشرت مجموعة القرصنة الإيرانية Handala — المرتبطة بوزارة الاستخبارات الإيرانية — بيانات شخصية تخص 2,379 من مشاة البحرية الأمريكية المتمركزين في الخليج العربي، مصحوبة بتهديدات مباشرة عبر رسائل واتساب تحمل إشارات لطائرات شاهد المسيّرة وصواريخ خيبر وغدير. هذا التصعيد السيبراني يكشف عن تحول خطير في طبيعة الصراعات الإقليمية، ويضع مؤسسات القطاع المالي السعودي أمام تهديدات حقيقية تتجاوز الحدود التقليدية.

تفاصيل عملية التسريب وأسلوب الهجوم

نشرت مجموعة Handala على موقعها قائمة بأسماء وأرقام هواتف الجنود الأمريكيين المتمركزين حول الخليج العربي، مدّعية امتلاكها لعناوين منازلهم وتفاصيل عائلاتهم وأنماط حياتهم اليومية لعشرات الآلاف من الأفراد العسكريين في المنطقة. الهجوم لم يقتصر على التسريب، بل شمل إرسال رسائل واتساب مباشرة إلى الجنود تحمل تهديدات صريحة تطلب منهم الاتصال بعائلاتهم لتوديعهم، مع التأكيد أن هوياتهم معروفة لوحدات الصواريخ الإيرانية.

المجموعة صرّحت بأن نشر البيانات جاء لإثبات ما وصفته بـ"التفوق الاستخباراتي"، وربطت العملية بالصراع الإقليمي المتصاعد منذ أواخر فبراير 2026. هذا النمط يمثل تطوراً في تكتيكات الحرب النفسية السيبرانية، حيث يُستخدم التسريب كسلاح ردع وليس فقط كأداة تجسس.

البعد الاستخباراتي: كيف جُمعت هذه البيانات؟

تشير التحليلات الأولية إلى أن البيانات جُمعت من مصادر متعددة تشمل: اختراق تطبيقات التوصيل والتسوق المستخدمة من قبل العسكريين في قواعد الخليج، واستغلال ثغرات في أنظمة إدارة الموارد البشرية، وعمليات OSINT المتقدمة على منصات التواصل الاجتماعي، إضافة إلى احتمال اختراق مزودي خدمات اتصالات محليين. هذا المزيج من تقنيات جمع المعلومات يعكس نضجاً عملياتياً متقدماً لدى الجهة المهاجمة.

مجموعة Handala ليست حديثة العهد؛ فقد نُسبت إليها عمليات سيبرانية متعددة ضد بنية تحتية إسرائيلية وأمريكية منذ 2024، لكن استهداف الأفراد العسكريين بشكل مباشر مع تهديدات فيزيائية يمثل تصعيداً نوعياً غير مسبوق في المنطقة.

التأثير المباشر على المؤسسات السعودية

رغم أن الهجوم استهدف أفراداً عسكريين أمريكيين، إلا أن تداعياته على الأمن السيبراني السعودي متعددة الأبعاد. أولاً، البنية التحتية الرقمية في المملكة مترابطة مع أنظمة حلفائها، مما يعني أن أي اختراق لمزودي خدمات مشتركين قد يكشف بيانات سعودية. ثانياً، نفس التكتيكات المستخدمة — من اختراق تطبيقات التوصيل إلى هندسة اجتماعية عبر واتساب — يمكن توجيهها مباشرة ضد موظفي القطاع المالي السعودي.

إطار SAMA CSCC يشدد في المجال 3 (إدارة الأصول) والمجال 7 (إدارة الحوادث) على ضرورة حماية بيانات الموظفين وتصنيفها كأصول حرجة. كما أن نظام حماية البيانات الشخصية PDPL يُلزم المؤسسات بحماية بيانات منسوبيها من التسريب، بما في ذلك أرقام الهواتف والعناوين — وهي ذات البيانات التي سرّبتها Handala.

مؤشرات التهديد لقطاع المال السعودي

المجموعات الإيرانية المتقدمة — بما فيها MuddyWater وAPT33 وOilRig — تستهدف القطاع المالي الخليجي بشكل منهجي. تقرير M-Trends 2026 من Mandiant يؤكد أن 28.3% من الثغرات تُستغل خلال 24 ساعة من الإفصاح عنها، مما يعني أن نافذة الاستجابة تتقلص بشكل خطير. المؤسسات المالية السعودية تحتاج لتبني نهج استباقي يفترض الاختراق (Assume Breach) بدلاً من الاكتفاء بالدفاع المحيطي.

تحديداً، يجب أن تنتبه المؤسسات لمؤشرات مثل: محاولات التصيد الصوتي Vishing التي تستهدف موظفي تقنية المعلومات، ورسائل واتساب مشبوهة تصل لمدراء تنفيذيين تحتوي معلومات شخصية دقيقة، ومحاولات الوصول لأنظمة Salesforce أو CRM عبر بيانات اعتماد مسروقة.

التوصيات والخطوات العملية

1. تفعيل برنامج حماية بيانات الموظفين: صنّف أرقام هواتف ومواقع وبيانات موظفيك كأصول حرجة وفق SAMA CSCC المجال 3-2، وطبّق ضوابط الوصول والمراقبة عليها كما تفعل مع بيانات العملاء.
2. تدريب مكثف ضد التصيد الصوتي: نفّذ محاكاة Vishing فصلية تستهدف فرق الدعم الفني ومكاتب المساعدة، فهذا هو المدخل الذي استخدمته ShinyHunters وHandala في هجماتهما الأخيرة.
3. مراجعة صلاحيات تطبيقات الطرف الثالث: راجع جميع التطبيقات المتصلة بأنظمة CRM وSalesforce وHR، وأزل أي وصول غير ضروري — هجوم Cushman & Wakefield بدأ من هذه النقطة تحديداً.
4. تفعيل Threat Intelligence إقليمي: اشترك في خدمات استخبارات تهديدات تغطي مجموعات APT الإيرانية تحديداً (Handala، MuddyWater، APT33)، وأضف مؤشرات الاختراق IOCs الخاصة بها لأنظمة SIEM.
5. تطبيق مبدأ Zero Trust على قنوات التواصل: أي رسالة واتساب أو اتصال هاتفي يطلب معلومات أو صلاحيات يجب أن يمر عبر قناة تحقق ثانية مستقلة، بغض النظر عن هوية المتصل الظاهرة.
6. تقييم التعرض للاستخبارات المفتوحة OSINT: نفّذ تقييماً دورياً لمعرفة حجم المعلومات المتاحة عن مؤسستك وموظفيك الرئيسيين على الإنترنت المفتوح والمظلم.

الخلاصة

عملية Handala ليست مجرد تسريب بيانات — إنها إعلان عن حقبة جديدة من الحرب السيبرانية في الخليج حيث تُستخدم البيانات الشخصية كسلاح ردع وتخويف. المؤسسات المالية السعودية التي تتعامل مع هذا التهديد باعتباره بعيداً عنها تعرّض نفسها لخطر حقيقي، خاصة مع استهداف نفس المجموعات للبنية التحتية الخليجية بشكل متزايد.

هل مؤسستك مستعدة لمواجهة تهديدات APT الإيرانية؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC وتحليل تعرّضك لمخاطر الاستخبارات المفتوحة.