موجة DDoS إيرانية ضد القطاع المالي: ما يجب على بنوك SAMA فعله الآن

منذ انطلاق Operation Epic Fury في 28 فبراير 2026، رصد فريق SOCRadar أكثر من 1,583 حادثاً سيبرانياً موثقاً، 144 منها استهدفت مؤسسات مالية وبنوكاً مركزية وجهات تنظيمية في 14 دولة. التداعيات على القطاع المالي السعودي ليست افتراضية — إنها تتطور لحظياً، وتفرض على CISOs البنوك مراجعة جاهزية الصمود السيبراني وفق متطلبات SAMA CSCC قبل الموجة التالية.

السياق الجيوسياسي وتسليح DDoS ضد البنوك

أعلنت FS-ISAC وAkamai في تقريرهما الأخير أن القطاع المالي تجاوز قطاع الألعاب ليصبح الهدف الأول لهجمات DDoS عالمياً، مع تصاعد ملحوظ في حجم وتعقيد الهجمات. جماعات مرتبطة بالحرس الثوري الإيراني (IRGC) ووزارة الاستخبارات (MOIS)، مثل Altoufan Team وHANDALA، تبنّت موجات هجوم جديدة تستهدف بوابات الإنترنت البنكية وواجهات API للخدمات المصرفية المفتوحة ومنصات تداول الأسهم.

الجديد في هذه الموجة هو الجمع بين DDoS كستار (smokescreen) وحملات سرقة بيانات الاعتماد عبر تصيد متخصص يستخدم نماذج توليد الصوت والصور (deepfake). كذلك رصدت CISA نشاطاً متزايداً لمجموعة MuddyWater التي نشرت بوابتين خلفيتين بلغة Python هما Dindoor وFakeset في بيئات بنكية وبنية تحتية حساسة.

أنماط الهجوم الفنية: ما رصدته منصات الكشف

أفادت Radware وLevelBlue بأن الهجمات الأخيرة تستخدم تقنيات Carpet Bombing على نطاقات /22 و/24 لتفادي حدود معدل التدفق على مستوى عنوان IP واحد. كذلك ازداد استخدام تضخيم DNS وNTP وMemcached للوصول إلى ذروات تتجاوز 3.8 تيرابت/ثانية في حوادث محددة. الأخطر هو التحول نحو هجمات Layer 7 المستهدفة لمسارات تسجيل الدخول واستعلامات قواعد البيانات، حيث 1,000 طلب/ثانية يكفي لإسقاط بوابة بنكية غير محصّنة.

كذلك ظهرت موجة هجمات HTTP/2 Rapid Reset (CVE-2023-44487) المعدّلة، وهي تستغل بروتوكول HTTP/2 لإحداث استنزاف موارد على مستوى تطبيقي وليس شبكي فقط، مما يجعل حلول حماية DDoS التقليدية القائمة على الفحص الحجمي عاجزة عن الكشف.

التأثير على المؤسسات المالية السعودية ومتطلبات SAMA CSCC

إطار SAMA Cyber Security Framework (CSCC) في الضابط 3.3.14 يلزم البنوك بتطبيق آليات حماية DDoS على مستويين: الشبكة (L3/L4) والتطبيق (L7)، مع متطلبات اختبار دوري لخطط الاستجابة. كما يتطلب الضابط 3.3.15 وجود قدرات Anti-DDoS مخصصة لخدمات الإنترنت البنكي وتطبيقات الموبايل وواجهات API لـ Open Banking وفق مبادرة YAQEEN ومنظومة NIBP.

إضافة إلى ذلك، فإن متطلبات NCA ECC في الضابط 2-12-3 ومتطلبات PDPL تفرض ضمان توفر الخدمات (Availability) كجزء من أمن البيانات الشخصية للعملاء. أي انقطاع لخدمة الإنترنت البنكي يستمر أكثر من ساعة قد يستوجب إبلاغاً إلزامياً للبنك المركزي السعودي خلال 48 ساعة وفق إجراءات إدارة الحوادث الموحدة.

التوصيات والخطوات العملية للقطاع المالي السعودي

1. تفعيل وضع الدفاع المتقدم Always-On: تحويل خدمات DDoS Mitigation من الوضع التفاعلي (On-Demand) إلى الوضع الدائم لجميع نطاقات الإنترنت البنكي، مع تخفيض BGP TTL إلى 60 ثانية لتسريع تحويل المسار.
2. تحديث قواعد WAF لمواجهة Layer 7: إضافة قواعد كشف لـ HTTP/2 Rapid Reset، وإنشاء توقيعات سلوكية لمسارات /login و/api مع تطبيق حدود معدل ديناميكية وتحدي JavaScript للجلسات المشبوهة.
3. محاكاة Red Team موجهة: تنفيذ تمرين DDoS Simulation شامل خلال الأسبوعين القادمين يغطي طبقات L3 وL4 وL7 بالتزامن، وقياس RTO وRPO الفعليين مقارنة بأهداف SAMA BCP.
4. مراقبة استخبارات التهديدات الإقليمية: الاشتراك في تغذيات IoC من FS-ISAC ومركز التميز للأمن السيبراني للقطاع المالي، ومتابعة مؤشرات Altoufan Team وHANDALA وMuddyWater يومياً.
5. تعزيز تجزئة الشبكة: فصل بيئات DMZ للخدمات المصرفية الإلكترونية عن بيئات Core Banking عبر zones منفصلة مع تطبيق Zero Trust Network Access على الوصول الإداري.
6. اختبار قدرات Failover: التحقق من جاهزية مزود ثانٍ لخدمات Anti-DDoS كبديل في حال إرهاق مزود رئيسي بهجوم واسع، وتوثيق إجراءات التحويل في playbooks محدّثة.
7. تدريب فرق SOC على سيناريوهات هجين: تأهيل المحللين على التمييز بين DDoS كهجوم منفرد وDDoS كستار يخفي اختراقاً تطبيقياً متزامناً (Multi-Vector Diversionary Attack).

الخلاصة

عودة موجة DDoS الإيرانية في عام 2026 ليست تكراراً لما حدث في 2012، بل هي تطور نوعي في التعقيد والتكامل مع حملات سرقة الاعتماد والاحتيال المدعوم بالذكاء الاصطناعي. المؤسسات المالية السعودية أمام نافذة زمنية ضيقة لمراجعة جاهزيتها قبل الموجة التالية، خصوصاً مع اقتراب موسم الحج وما يصاحبه من ذروة معاملات إلكترونية تشكل هدفاً مغرياً.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC.