جنگ پس از جنگ
چگونه جمهوری اسلامی پس از آغاز جنگ، سایبر را به ابزار افشا، تخریب و تهدید فیزیکی تبدیل کرد.
این گزارش، بخش دوم از یک پرونده دو قسمتی درباره فعالیتهای سایبری جمهوری اسلامی در جنگ ۴۰روزه است؛ پروندهای که در قسمت اول، به آمادهسازی، پیشموقعیتگیری و نفوذ پیش از جنگ میپردازد و در قسمت دوم، گسترش عملیات سایبری به هک و افشا، تخریب، عملیات نفوذ سایبری و تهدید فیزیکی پس از آغاز جنگ را بررسی میکند (لینک بخش اول).
اگر بخش نخست این پرونده درباره آمادهسازی میدان بود، بخش دوم درباره لحظهای است که میدان نبرد فعال شد. پس از آغاز جنگ ۴۰روزه، عملیات سایبری جمهوری اسلامی از مرحله شناسایی، نفوذ و جاسوسی آرام فراتر رفت و به یک معماری فشار چندلایه تبدیل شد: هک و افشا، پاکسازی داده، عملیات روانی، هدفگیری نیروهای آمریکایی، خرابکاری صنعتی، روایتسازی آنلاین و در نهایت تهدید فیزیکی.
در این مرحله، سایبر دیگر فقط ابزار دسترسی به شبکه نبود. داده سرقتشده به ماده خام ارعاب تبدیل شد. افشا به ابزار جنگ روانی تبدیل شد. نفوذ به شبکههای سازمانی، راهی برای تخریب کسبوکار و زیرساخت شد. حسابهای دیپلماتیک جمهوری اسلامی وارد جنگ میم و بازبرندسازی آنلاین شدند. برندهایی مانند حنظله نیز از ادعای هک و افشا به سمت هدفگیری فردی، جذب نیرو و تهدید فیزیکی حرکت کردند.
از نفوذ تا روایت
در سالهای پیش از این جنگ، برخی پرسوناهای سایبری منتسب یا همسو با جمهوری اسلامی الگوی خود را ساخته بودند: نفوذ، استخراج داده، تخریب یا تهدید به تخریب، و سپس انتشار گزینشی اطلاعات در قالب یک روایت سیاسی. این الگو در حملات Homeland Justice علیه آلبانی دیده شد، در کارزارهای بعدی علیه اسرائیل ادامه یافت و سرانجام در برند حنظله به شکل پختهتری ظاهر شد.
نکته اصلی در این مدل این است که نفوذ فنی پایان عملیات نیست. نفوذ فقط مرحله تولید ماده خام است. آنچه به عملیات ارزش سیاسی و روانی میدهد، نحوه نمایش آن است: انتشار ایمیلها، عکسها، نامها، شمارهها، نشانیها، اسناد داخلی، فهرست کارکنان، یا حتی ادعای دسترسی به زیرساختهای حیاتی. در این چارچوب، هک و افشا نه صرفا برای سرقت داده، بلکه برای ساختن حس آسیبپذیری طراحی میشود.
حنظله در همین بستر معنا پیدا میکند. این برند خود را در ظاهر یک گروه هکتیویستی ضداسرائیلی معرفی میکرد، اما در گزارشهای امنیتی، کارکرد آن فراتر از هکتیویسم توصیف شده است. حنظله با هر ادعا تلاش میکرد نشان دهد به جایی رسیده که نباید میرسید: ایمیل مقامها، داده شرکتها، اطلاعات نیروهای امنیتی، مشخصات نظامیان، و در مواردی ادعاهای مربوط به زیرساختهای حیاتی.
در این مدل، حتی وقتی بخشی از ادعاها تایید نشده یا اغراقآمیز باشند، باز هم کارکرد خود را از دست نمیدهند. ادعا، اگر باورپذیر باشد، میتواند سازمان هدف را مجبور به پاسخ کند، نگرانی عمومی ایجاد کند، رسانهها را درگیر کند و مخاطب را در وضعیت تردید نگه دارد. همین تردید بخشی از عملیات است.
حنظله؛ از برند هک و افشا تا ابزار ارعاب
حنظله از مهمترین ستون روایی این مرحله است، چون در چند لایه همزمان عمل کرد. در یک لایه، مدعی هک و افشای اطلاعات مقامها، نهادها و شرکتهای اسرائیلی بود. در لایهای دیگر، تلاش کرد خود را به عنوان بازیگری نشان دهد که فراتر از اسرائیل، نیروهای آمریکایی در منطقه را نیز میبیند و میتواند هدف بگیرد. در مرحله تازهتر، این برند به عملیات تهدید فیزیکی و جذب نیرو نیز پیوند خورد.
هدفگیری نیروهای آمریکایی نقطه مهمی در این مسیر بود. در اواخر آوریل ۲۰۲۶، گزارش شد حنظله مدعی انتشار نامها و اطلاعات شخصی بیش از دو هزار تفنگدار دریایی آمریکا مستقر در منطقه خلیج فارس شده است. مهمتر از خود عدد، زبان تهدید بود. حنظله فقط نگفت نامها را دارد؛ ادعا کرد درباره خانوادهها، نشانی خانهها، پایگاهها، رفتوآمدهای روزانه، عادتهای خرید و حتی فعالیتهای تفریحی شبانه آنها اطلاعات دارد.
این نوع ادعا، عملیات سایبری را از سطح سازمان به سطح فرد میبرد. در حمله به یک شرکت یا نهاد، قربانی یک ساختار است. اما در افشای نام و الگوی زندگی نیروهای نظامی، قربانی یک فرد و خانواده اوست. سایبر در اینجا به ابزار ترساندن انسانها تبدیل میشود، نه فقط مختل کردن سیستمها.
همین الگو بعدها در تحلیلهای تازهتر جدیتر شد. حنظله دیگر فقط به عنوان یک پرسونای هک و افشا دیده نمیشد، بلکه بخشی از یک برند بزرگتر برای عملیات چندحوزهای بود؛ برندی که در آن هک، افشا، جذب نیرو، تهدید فیزیکی، خرابکاری و عملیات روانی میتوانستند به هم وصل شوند.
وقتی داده به تهدید فیزیکی نزدیک میشود
خطر اصلی در تکامل حنظله، اتصال احتمالی عملیاتهای سایبری به عملیاتها در دنیای واقعی است. سناریو ساده اما نگرانکننده است: نخست، یک گروه سایبری به ایمیل، شماره تلفن، حساب کاربری یا اسناد داخلی یک هدف دسترسی پیدا میکند. سپس از این دادهها برای شناسایی شبکه روابط، محل کار، مسیر رفتوآمد، خانواده یا عادتهای روزمره استفاده میشود. در مرحله بعد، یک پرسونای دیگر یا یک کانال جذب نیرو، از افراد محلی میخواهد در برابر پول عکس بگیرند، مراقبت کنند، خودرو آتش بزنند، دیوارنویسی کنند، بسته جابهجا کنند یا خرابکاری انجام دهند. در نهایت، همان عملیات در تلگرام، اکس یا رسانههای همسو منتشر میشود تا اثر روانی آن چند برابر شود.
گزارشهای تازهتر درباره پرسوناهای سایبری وابسته به جمهوری اسلامی با نام حساب کاربری HPRF، VIPEmployment، MOISIRAN و Brave Israel دقیقا همین لایه را مهم میکنند. این پرسوناها ظاهرا در یک اکوسیستم مشترک عمل میکردند: یکی مدعی عملیات میدانی در اسرائیل میشد، دیگری افراد را برای همکاری پولی جذب میکرد، یکی ویدئوهای مراقبت از اهداف اسرائیلی منتشر میکرد و دیگری نقش آزمایشی در جذب افراد برای اقدامات سطح پایین مانند دیوارنویسی یا آتشزدن خودرو داشت.
در اینجا، حنظله دیگر فقط یک نام روی کانال افشا نیست. به زبان مشترک یک اکوسیستم تبدیل میشود؛ زبانی که میتواند هک، ارعاب، جذب نیرو و تهدید میدانی را در یک بسته واحد عرضه کند.
تخریب از شبکه تا کف کارخانه
در برخی موارد، عملیات سایبری به اثر فیزیکی و صنعتی نزدیک شد. یکی از روشنترین نمونهها، حمله به یک کارخانه تولید مواد غذایی در اسرائیل بود که در آن هم شبکه IT و هم محیط OT هدف قرار گرفتند.
در بخش IT کارخانه، بدافزاری به نام GRAT روی ویندوزها نصب شدهبود؛ ابزاری که میتوانست اطلاعات میزبان را جمعآوری کند، فایلها را منتقل کند، فرایندها و سرویسها را مدیریت کند و در نهایت هارد دیسک را بازنویسی و نابود کند. این بخش، با الگوی آشنا ویرانگری سایبری همخوان بود: نفوذ به شبکه، استقرار ابزار، حفظ دسترسی و امکان پاکسازی داده.
اما بخش مهمتر در محیط OT رخ داد. مهاجم وارد کنترلرهای سامانه تبرید صنعتی شد؛ نقطههای تنظیم، آستانههای هشدار، حدود ایمنی، حالت شیرها و پیکربندی کنترلرها را تغییر داد. در یک سامانه، تغییر پارامترها کافی بود تا اتاقهای سرد از وضعیت ایمن خارج شوند. در سامانه جدیدتر، پیکربندی برنامهای کنترلر تقریبا از نو تخریب شد و بازیابی آن نیازمند مهندسی دوباره، دنبال کردن سیمها، بازتعریف ورودیها و خروجیها و بازسازی کنترل صنعتی بود.
این حمله مهم است چون نشان میدهد مهاجم فقط دنبال پاک کردن فایل نبود. او فرایند صنعتی را فهمیده بود. میدانست در سامانه تبرید CO2، تغییر حالت شیرها و فشار، چگونه میتواند به آسیب فیزیکی کمپرسورها و توقف تولید منجر شود. اینجا دیگر بدافزار فقط کد نیست؛ به زبان خود ماشین حرف میزند.
این همان نقطهای است که جنگ سایبری از شبکه بیرون میآید و وارد کف کارخانه میشود. اثر آن میتواند فساد محصول، توقف تولید، هزینه تعمیر، از کار افتادن تجهیزات و اختلال در زنجیره تامین باشد. هدف دیگر فقط «داده» نیست؛ خود فرایند فیزیکی هدف است.
آتشبس، پایان سایبر نبود
یکی از برداشتهای خطرناک در بحرانهای نظامی این است که آتشبس یا کاهش درگیری میدانی، به معنای کاهش ریسک سایبری است. تجربه این دوره خلاف آن را نشان داد. عملیات سایبری در دورههای توقف یا کاهش درگیری فیزیکی نیز ادامه یافت، چون هزینه سیاسی و نظامی آن کمتر بود و امکان انکارپذیری بیشتری داشت.
در این منطق، آتشبس به جای توقف، پوشش ایجاد میکند. توجه رسانهای کمتر میشود، سازمانها از وضعیت اضطراری خارج میشوند، تیمهای امنیتی به روال عادی برمیگردند، و درست در همین فاصله، عملیات سایبری میتواند ادامه پیدا کند. برای بازیگران وابسته به جمهوری اسلامی، این فاصلهها فرصت بودند: برای حفظ فشار، آزمون دفاعها، جمعآوری داده، اجرای خرابکاری محدود یا آمادهسازی حمله بعدی.
به همین دلیل، تعبیر «جنگ میان جنگها» برای این دوره مناسب است. حتی وقتی میدان نظامی آرامتر میشود، رقابت در شبکه، زیرساخت، رسانه و ادراک عمومی ادامه دارد.
جنگ روایتها؛ دیپلماسی میم و بازبرندسازی آنلاین
در کنار حملات فنی و عملیات تخریبی، جمهوری اسلامی یک جبهه نرمتر اما مهم را نیز فعال کرد: جنگ روایتها در شبکههای اجتماعی. حسابهای رسمی دیپلماتیک و حکومتی جمهوری اسلامی در توییتر، پس از آغاز جنگ، از زبان رسمی فاصله گرفتند و به سمت میم، طنز تهاجمی، محتوای تولیدشده با هوش مصنوعی و ترولینگ رفتند.
در ۵۰ روز نخست جنگ، حسابهای دیپلماتیک و رسمی جمهوری اسلامی جهشی عظیم در بازدید، لایک، بازنشر و دنبالکننده تجربه کردند. برخی سفارتخانهها که پیشتر مخاطبان محدودی داشتند، با ویدئوهای هوش مصنوعی، طعنه به ترامپ، شوخی درباره تنگه هرمز، و ارجاع به فرهنگ عامه غربی و استفاده از زبانهای محلی به میلیونها بازدید رسیدند.
این جبهه با حملات فنی فرق دارد، اما جدا از آنها نیست. وقتی یک عملیات هک و افشا ادعای توانمندی میکند، حسابهای رسمی و نیمهرسمی میتوانند آن را در روایت بزرگتر «مقاومت»، «تحقیر آمریکا» یا «شکست دشمن» جا بدهند. وقتی حمله نظامی یا فشار اقتصادی رخ میدهد، جنگ میم میتواند آن را برای مخاطب عمومی بازتفسیر کند. در این مدل، سایبر و روایت دو خط جدا نیستند؛ همدیگر را تقویت میکنند.
وقتی عملیات سایبری به فشار اقتصادی تبدیل میشود
همزمان با عملیات سایبری، میدان اقتصادی و زیرساختی نیز به بخشی از جنگ تبدیل شد. حملات و تهدیدها علیه انرژی، کشتیرانی، لجستیک، هوانوردی، خدمات مالی و زیرساختهای ابری نشان داد که هدفگیری فقط محدود به سامانههای نظامی نیست. درگیری به سمت سامانههایی رفت که فعالیت روزمره دولتها و شرکتها به آنها وابسته است.
این تغییر مهم است. وقتی زیرساخت انرژی یا لجستیک هدف قرار میگیرد، اثر جنگ از میدان نظامی به بازار، زنجیره تامین، بیمه، حمل و نقل، قیمت انرژی و عملیات شرکتها منتقل میشود. عملیات سایبری میتواند این فشار را تشدید کند: با اختلال در سامانههای صنعتی، افشای داده، دستکاری اطلاعات، تخریب سیستمها یا حتی ایجاد ترس از نفوذ.
در چنین فضایی، حتی ادعای دسترسی به زیرساختهای آب، انرژی یا سامانههای صنعتی میتواند اثر روانی و اقتصادی داشته باشد. اگر سازمانها مجبور شوند برای بررسی ادعاها سامانهها را از مدار خارج کنند، تیمهای پاسخ به رخداد را فعال کنند، مشتریان را مطلع کنند یا عملیات را کند کنند، عملیات روانی بخشی از اثر خود را به دست آورده است.
معماری فشار چندلایه
آنچه در این دوره دیده شد، مجموعهای از رخدادهای جداگانه نبود. تصویر بزرگتر، معماری فشار چندلایه بود.
- در یک لایه، گروههای سایبری دسترسی میگرفتند، داده استخراج میکردند، بدافزار مستقر میکردند یا زیرساخت را اسکن میکردند.
- در لایه دوم، دادهها یا ادعاهای مربوط به دسترسی، در قالب هک و افشا منتشر میشدند.
- در لایه سوم، کانالهای تلگرامی، حسابهای X، رسانههای همسو و پرسوناهای مختلف، این افشاها را به روایت سیاسی و روانی تبدیل میکردند.
- در لایه چهارم، برخی عملیاتها به اثر فیزیکی نزدیک میشدند: از هدفگیری نیروهای آمریکایی و ادعای شناخت الگوی زندگی آنها تا خرابکاری صنعتی در کنترلرهای تبرید.
- در لایه پنجم، عملیات نفوذ اجتماعی و دیپلماسی میم تلاش میکرد تصویر جمهوری اسلامی را برای مخاطب جهانی بازسازی کند.
این معماری باعث میشود هر رخداد، فقط در حوزه خودش اثر نگذارد. یک هک میتواند به افشا تبدیل شود. افشا میتواند به ارعاب فردی تبدیل شود. ارعاب میتواند به جذب نیرو برای عملیات فیزیکی کمک کند. عملیات فیزیکی میتواند دوباره در فضای آنلاین تقویت شود. و همه اینها میتواند در خدمت بازسازی تصویر بازدارندگی جمهوری اسلامی قرار گیرد.
چرا حنظله نقطه اتصال است؟
در این مجموعه، حنظله مهم است چون چند لایه را به هم وصل میکند. این برند از هک و افشا شروع میشود، به هدفگیری نیروهای آمریکایی میرسد، با جنگ روانی و تهدید فردی گره میخورد، و در تحلیلهای تازهتر به شبکههای جذب نیرو و تهدید فیزیکی متصل میشود.
به همین دلیل، حنظله را نباید فقط «یک گروه هکری» دانست. بهتر است آن را یک برند عملیاتی بدانیم؛ برندی که میتواند برای چند هدف استفاده شود: نمایش توان نفوذ، ترساندن مخاطب، تحقیر هدف، جذب همکار، تقویت روایت و ایجاد حس حضور در میدان واقعی.
اگر در بخش نخست این پرونده، سایبر به عنوان آمادهسازی میدان دیده میشد، در بخش دوم حنظله نشان میدهد این میدان چگونه به ابزار فشار دائمی تبدیل شد.
جمعبندی؛ جنگ سایبری دیگر فقط سایبری نیست
مرحله پس از آغاز Operation Epic Fury نشان داد که عملیات سایبری جمهوری اسلامی فقط در شبکه باقی نمیماند. این عملیات میتواند به افشای هویت، فشار روانی، تهدید خانوادهها، اختلال صنعتی، فساد محصول، توقف تولید، جنگ میم، و جذب نیرو برای خرابکاری فیزیکی برسد.
در این مدل، مرز میان سایبر، اطلاعات، روان، اقتصاد و میدان فیزیکی محو میشود. داده سرقتشده فقط یک فایل نیست؛ ممکن است مقدمه تهدید باشد. دسترسی به سامانه فقط یک رخداد فنی نیست؛ ممکن است ابزار تخریب فرایند صنعتی باشد. یک کانال تلگرام فقط رسانه نیست؛ ممکن است هم ویترین افشا باشد، هم ابزار جذب نیرو، هم سکوی جنگ روانی.
جمهوری اسلامی پس از جنگ، در پی بازسازی بازدارندگی خود از مسیر جنگ مستقیم نبود؛ دستکم نه فقط از آن مسیر. راه کمهزینهتر و انکارپذیرتر، فشار چندلایه بود: حمله به شبکه، افشا، ترساندن افراد، تهدید زیرساخت، عملیات روانی و روایتسازی آنلاین.
به همین دلیل، جنگ سایبری پس از جنگ را باید ادامه همان جنگ دانست؛ نه در آسمان و نه فقط در خاک، بلکه در ایمیلها، کنترلرهای صنعتی، کانالهای تلگرام، حسابهای دیپلماتیک، دادههای افشاشده و زندگی روزمره افرادی که ناگهان به هدف تبدیل میشوند.