نشرت صحيفة "هآرتس" العبرية، يوم الاثنين، تقريرا مطولا عن نتائج تحقيق وصفته بـ"الدراماتيكي"، كشفت خلاله تفاصيل اختراق إيران لقلب أبحاث الأمن الإسرائيلي.

وتقول صحيفة "هآرتس" إن التحقيق الدراماتيكي كشف أن الاستخبارات الإيرانية نجحت لسنوات في اختراق أنظمة معهد INSS وسحب آلاف الرسائل الإلكترونية والوثائق والتفاصيل الحساسة الخاصة بكبار مسؤولي المؤسسة الأمنية السابقين.

وبحسب التحقيق، استخدم القراصنة الإيرانيون هذه المعلومات لعمليات مراقبة وتأثير بما في ذلك محاولات استهداف مسؤولين إسرائيليين.

وفي ذروة الحرب السابقة مع إيران في يونيو 2025، سقط صاروخ باليستي على شوارع رامات أفيف الخضراء الهادئة، مخلفا دمارا واسع النطاق في الحي.

ووصل صدى الانفجار إلى مكاتب معهد دراسات الأمن القومي، حيث حطمت قوة الارتطام الأبواب والنوافذ.

وسارع نائب رئيس المعهد إلى إبلاغ مجلس الإدارة بأنه لم يُصب أي من الموظفين بأذى، لكنه انتهز الفرصة للحديث عن جانب آخر من التهديد الإيراني الذي أثر بشكل مباشر على المعهد، ألا وهو الهجمات الإلكترونية المتكررة التي استهدفت موظفيه.

بدأت هذه الهجمات قبل 5 سنوات على الأقل، وكانت المؤشرات تُنذر بوجود خلل ما طوال الوقت.

في عام 2022، أفاد رئيس برنامج إيران في المعهد الدكتور راز زيمت، بأن قراصنة إيرانيين سربوا كتابا كان قد ألفه قبل أسبوع من نشره.

وفي عام 2024، تلقى المعهد الوطني للأمن القومي إشعارا رسميا من مايكروسوفت، يحذر من اختراق حساب البريد الإلكتروني لأحد باحثي المعهد من قبل عميل يعمل من طهران.

هاتان مجرد حالتين من بين عشرات الحالات التي كان ينبغي أن تثير الشكوك.

وتكشف التسريبات التي نشرها قراصنة المخابرات الإيرانية في الأشهر الأخيرة الصورة الكاملة.

فقد أعلنت مجموعة القرصنة المعروفة باسم "حنظلة" بعد أيام قليلة من اندلاع الحرب الأخيرة، أنها اخترقت الشبكة الداخلية للمعهد وسربت أكثر من 100 ألف رسالة بريد إلكتروني وملف.

فعلى سبيل المثال، يمكن العثور على أرشيف رسائل زيمت على "واتس آب"، والمراسلات الخاصة التي أجراها على منصة "X" وهذه معلومات حديثة للغاية، تصل إلى نهاية عام 2025.

بحسب خبراء الأمن السيبراني، فإن المعهد يقع في منطقة رمادية معهد مدني ظاهريا لا تتمتع أنظمته بأعلى مستويات الحماية، ولكنه يحوي معلومات قيّمة لجهاز استخبارات معادٍ.

ويكشف تحقيق أجرته صحيفة "هآرتس"، استنادا إلى تحليل الملفات، أن التسريبات ليست سوى غيض من فيض، فقبل سنوات من نشر "حنظلة" للمواد المسروقة، استخدمت إيران هذه المعلومات المسروقة ضمن عملية استخباراتية أوسع، شملت نشر عملاء محليين ومحاولات اغتيال شخصيات إسرائيلية، من بينهم أعضاء بارزون في المعهد.

ويكشف التحقيق أن المعهد كان لمدة ست سنوات على الأقل، محور الجهود السيبرانية الإيرانية، كاشفا عن ثغرة كبيرة في الدفاعات السيبرانية الإسرائيلية، ما يترك الباحثين وموظفي الأمن السابقين دون ردّ مناسب.

كما كشف التسريب معلومات قيمة عن موظفي المعهد الوطني للأمن السيبراني (INSS) والروابط بينهم وبين المؤسسة الأمنية الإسرائيلية.

وعلى سبيل المثال، توضح المواد المسربة أن باحثا في المعهد كان يشارك بانتظام في منتدى سري يناقش استقرار النظام في إيران، ويدرس مختلف السيناريوهات الاستراتيجية.

وتُظهر الرسائل مكان وتواريخ انعقاد المنتدى، وهويات بعض المشاركين فيه، وقد تُعرّض هذه المعلومات جميع المعنيين لخطر جسدي.

وأفادت صحيفة "هآرتس" بأن المراسلات التي حصل عليها الإيرانيون تتضمن أماكن وتواريخ وهويات، مشيرة إلى أن العقيد المتقاعد تامر هيمان الرئيس السابق لمديرية الاستخبارات في الجيش الإسرائيلي، هو من يرأس معهد دراسات الأمن القومي وقد خلف اللواء المتقاعد عاموس يادلين الرئيس السابق لمديرية الاستخبارات أيضا.

ويدرّس المعهد السياسة الأمنية الإسرائيلية، ويهدف وفقا لموقعه الإلكتروني، إلى "وضع وتنفيذ خطط عمل استراتيجية تساعد صانعي القرار في تخطيط السياسات".

وعلى الرغم من أنه رسميا معهد مستقل لا يتبع المؤسسة الدفاعية، إلا أن موظفيه في الواقع على اتصال وثيق بالمؤسستين الأمنية والحكومية، وكثير من الباحثين في المعهد هم مسؤولون سابقون رفيعو المستوى في الموساد والمؤسسة الدفاعية.

ولا يزالون يشاركون في منتديات حساسة تابعة للمنظومة، ويُدعون إلى محاكاة وتمارين حربية بحكم مناصبهم في المعهد.

كما يعقد المعهد مؤتمرا أمنيا دوليا سنويا بمشاركة كبار الشخصيات الأمنية والسياسية في إسرائيل.

ووفقا لخبراء الأمن السيبراني الذين تحدثوا إلى صحيفة "هآرتس"، فإن المعهد هيئة "تقع بين طرفي نقيض": معهد مدني ظاهريا لا تتمتع أنظمته بأعلى مستويات الحماية، ولكنه يحوي معلومات قيّمة لجهاز استخبارات معاد.

ويقول مسؤول أمني رفيع سابق: "فيما يتعلق بإيران، فهو ليس هيئة بحثية، بل مجرد ذراع لجهاز المخابرات، والشاباك، والموساد".

الهجوم الإيراني على معهد الدراسات الأمنية الوطنية
- 2020
انتحال شخصية مدير العلاقات الخارجية بالمعهد لاستمالة باحثين أمنيين إسرائيليين
- 2022
اختراق بريد رئيس المعهد، يادلين، ومحاولة استخدامه لاستدراج ليفني إلى مؤتمر وهمي في الخارج
- 2022
زيمت: قراصنة إيرانيون سربوا كتابي قبل أسبوع من نشره الرسمي
- 2024
مايكروسوفت تُرسل تحذيرًا إلى معهد الدراسات الأمنية الوطنية يفيد باختراق حساب البريد الإلكتروني لأحد باحثي المعهد من قِبل عميل يعمل من طهران
- 2024
توجيه لائحة اتهام ضد إسرائيليين اثنين استخدمتهما المخابرات الإيرانية لمراقبة باحث في معهد الدراسات الأمنية الوطنية

كنز من كلمات المرور
تشن مجموعة "حنظلة" هجمات على أهداف أمنية في إسرائيل منذ سنوات، مقدمة نفسها على أنها مجموعة قراصنة مؤيدة للفلسطينيين.

في الشهر الماضي، أكدت الولايات المتحدة الشكوك بأن هذه وحدة إلكترونية تابعة لوزارة الأمن الداخلي الإيرانية (وزارة الاستخبارات والأمن).

وترتبط هذه المجموعة بعمليات "القرصنة والتسريب" وقد نشرت في السنوات الأخيرة مواد استولت عليها من هواتف رئيس الوزراء السابق نفتالي بينيت، ورئيس ديوان رئاسة الوزراء تساحي برافرمان، ورئيس ديوان الرئاسة السابق هاليفي.

وفي خضم الحرب، نشر "حنظلة" رسائل بريد إلكتروني من حسابات ستة مسؤولين كبار في معهد الأمن القومي: راز زيميت، رئيس برنامج إيران، واللواء المتقاعد تامر هيمان رئيس المعهد والرئيس السابق لمديرية الاستخبارات العسكرية الإسرائيلية، وسيما شين باحثة أولى والرئيسة السابقة لقسم الأبحاث في الموساد، ولورا جيلينسكي نائبة مدير الشراكات الاستراتيجية، وديبورا أوبنهايمر المديرة السابقة للعلاقات الخارجية، والدكتور إيلان شتاينر نائب رئيس المعهد للشؤون المالية والعمليات.

ويتضمن التسريب تفاصيل الوصول إلى كاميرات المراقبة الأمنية التابعة لمعهد الأمن القومي وكلمات مرور شبكة الواي فاي وبرنامج زووم المستخدم في قاعة المؤتمرات.

وكشفت المذكرات الرقمية أنها أعطت إيرانيين رمز الدخول إلى المبنى الذي تقع فيه مكاتب المعهد.

ووصف "حنظلة" معهد الأمن القومي بأنها "الذراع البحثية للموساد"، معلنا حصوله على أكثر من 400 ألف ملف سري.

وفي الواقع، كشف تحقيق أجرته صحيفة "هآرتس" عن نحو 99 ألف ملف بريد إلكتروني (حوالي 33 غيغابايت)، وأظهرت مراجعتها وتحليلها أن معظمها أصلي.

ورغم أن الملفات تحتوي في الغالب على مواد إدارية، إلا أنها تتضمن تفاصيل يمكن تحويلها بسهولة إلى معلومات استخباراتية حقيقية.

ويشمل التسريب كلمات مرور خاصة بالمعهد مثل كلمات مرور كاميرات المراقبة، وشبكة الواي فاي، وبرنامج زووم المستخدم في قاعة المؤتمرات.

كما سمحت دعوة أُرسلت إلى أحد الضيوف عبر دفتر الملاحظات الرقمي للمعهد للمخترقين بالحصول على رمز دخول المبنى.

ويكشف الدفتر نفسه أيضا عن هويات أفراد عسكريين من وحدات مثل 8200، بالإضافة إلى دبلوماسيين ومسؤولين كبار في حلف الناتو.

وأوضح رئيس المديرية الوطنية للأمن السيبراني يوسي كارادي، مؤخرا خطورة الكشف عن هذا النوع من المعلومات، مشيرا إلى أن جهود الإيرانيين في المجال الرقمي تخدم الجبهة المادية للحرب.

ووفقا له، يحاول الإيرانيون اختراق كاميرات المراقبة لزيادة دقة الضربات الصاروخية، ويستخدمون المعلومات التي يتم جمعها من الهجمات الإلكترونية لتنفيذ محاولات اغتيال لشخصيات إسرائيلية، من بينهم أفراد أمن وأكاديميون وعلماء.

سلسلة العدوى
تم توثيق كيفية تمكن الإيرانيين من اختراق أجهزة كمبيوتر المعهد الوطني للأمن السيبراني (INSS) في مواد مُسربة.

في أكتوبر 2019، حذر مدير تقنية المعلومات في المعهد، خلال حديث مع الباحثين والموظفين، من أن "المعهد يتعرض باستمرار لهجمات إلكترونية ومحاولات لاختراق صناديق بريدكم الإلكتروني".

في نوفمبر 2020، انتحل قراصنة صفة مديرة العلاقات الخارجية آنذاك، ديبورا أوبنهايمر، وأرسلوا رسائل بريد إلكتروني إلى باحثين إيرانيين في معاهد أخرى، مثل مركز ألما، الذي يُعنى بالحدود الشمالية ويركز على حزب الله.

واحتوت الرسائل الإلكترونية على طعم تقرير مسروق من معهد الأمن القومي قبل نشره، ما دفع المتلقين إلى فتحه.

وبهذه الطريقة، تم اختراق حسابات البريد الإلكتروني لموظفين داخل المعهد وخارجه.

ولم يتضح أي من كبار مسؤولي المعهد تعرض حسابه للاختراق أولا، ولكن بحلول نهاية عام 2021، كانت إيران قد تمكنت بالفعل من الوصول إلى حساب البريد الخاص برئيس المعهد آنذاك الرئيس السابق لمديرية المخابرات، عاموس يادلين.

كما تمكن المخترقون من الوصول إلى حساب يادلين الإلكتروني لإرسال دعوة مزيفة إلى وزيرة الخارجية السابقة تسيبي ليفني لحضور مؤتمر في الخارج.

وأثارت صياغة الرسالة شكوكها فتواصلت مع يادلين، كما تواصل الاثنان معا مع شركة أمن المعلومات "تشيك بوينت"، التي فحصت البريد الإلكتروني واكتشفت أنه أرسل ضمن عملية نفذها الإيرانيون، استولوا خلالها أيضا على حسابات البريد الإلكتروني لمسؤولين إسرائيليين كبار آخرين.

وكُشِف عن العملية في يونيو 2022، بعد أسابيع قليلة من إعلان جهاز الأمن العام الإيراني (الشاباك) إحباطه مؤامرة إيرانية لاستدراج مسؤولين إسرائيليين رفيعي المستوى للسفر إلى الخارج بهدف اختطافهم.

وفي ديسمبر 2024، تلقى زيميت وباحث آخر في المعهد العميد عودي ديكل، بريدا إلكترونيا مزيفا زعم أنه صادر عن رئيس معهد بحثي مرموق في الإمارات.

وأدرك ديكل الخطر لكن المواد المسربة تظهر أن الإيرانيين تمكنوا في الأشهر التالية من اختراق حسابات زيميت.

وفي عام 2025، انتحل قراصنة إيرانيون شخصية البروفيسور مئير ليتفاك، مؤرخ شؤون الشرق الأوسط ورئيس مركز الدراسات الإيرانية في جامعة تل أبيب.

وأحد الملفات المسربة عبارة عن مراسلات من مجموعة على تطبيق "واتس آب"، يشهد فيها ليتفاك بأن "شخصا سيئا" أرسل رسائل بريد إلكتروني باسمه إلى عشرات الباحثين.

وفي تلك المجموعة، شارك أكثر من عشرين باحثا إسرائيليا متخصصا في الشأن الإيراني، من معهد الأمن القومي (INSS) ومؤسسات أخرى، طلبات مشبوهة تلقوها، واستعان أعضاء شركة الأمن السيبراني ClearSky بخبرتهم.

ووفق المصدر ذاته، تُظهر المواد المسربة أن معهد الأمن القومي (INSS) تعاقد على مر السنين مع شركات سيبرانية خاصة، بل وتلقى مساعدة مجانية من شركات إسرائيلية مثل Check Point وClearSky، بالإضافة إلى القيادة الوطنية للأمن السيبراني.

ووفقا لمعلومات بحوزة صحيفة "هآرتس"، لم يشارك أي مسؤول أمني رسمي في جهود الدفاع.

وقبل عام، حذرت شركة الأمن السيبراني "فوليكسيتي" معهد الدراسات الاجتماعية الدولية (INSS) من أن جهة حكومية قد اخترقت حساب البريد الإلكتروني لأحد باحثيه، وتستخدمه لمحاولة خداع ضحايا في معاهد بحثية بالولايات المتحدة.

وحذرت الشركة قائلة: "إنهم يتسللون إلى المؤسسات ثم يرسلون رسائل التصيد الاحتيالي مباشرة من حسابات البريد الإلكتروني المخترقة".

واستجابة لذلك، قام مسؤول الأمن السيبراني في المعهد بفصل جميع الأجهزة المتصلة بحساب الباحث.

وفي سبتمبر 2025، تلقّى شتاينر المدير التنفيذي للعمليات في المعهد، تحذيرا من غوغل بشأن نشاط مشبوه في حسابه الشخصي على "جيميل"، وهو تحذير أُرسل إلى بريده الإلكتروني الخاص بالعمل في المعهد، ثم سرب لاحقا مع باقي المواد الموجودة في صندوق البريد.

وعندما كان المعهد على دراية تامة بالحجم غير المسبوق للهجمات السيبرانية، اتضح أن التهديد السيبراني قد تحوّل إلى تهديد مادي.

في 31 أكتوبر، وصلت رسالة عمّمها جهاز الأمن العام الإيراني (الشاباك) إلى مجموعة "واتس آب" الخاصة بالباحثين، تفيد باتهام رجل وامرأة من مدينة اللد بتنفيذ مهام لصالح المخابرات الإيرانية على مدى ثلاث سنوات، بما في ذلك تصوير مواقع من بينها مقر الموساد.

وكان أكثر ما يقلق أعضاء المجموعة هو مراقبة باحثة في معهد الأمن والدراسة الإيراني (INSS) كانت إيران تسعى لاستهدافها.

واتُهم الرجل بتسجيل سيارة الباحثة ومنزلها لعدة أيام، وذكر بيان الشاباك أن العميل الذي فعّل الرجلين طلب منهما البحث عن قاتل محتمل.

وقبل أيام قليلة من بيان الشاباك، أبلغ نائب مدير معهد الأمن والدراسة الإيراني الموظفين بأن إحدى الباحثات في المعهد تخضع للمراقبة.

وتُكمّل رسالته ومراسلات داخلية أخرى سرّبها الإيرانيون مؤخرًا التفاصيل التي لم يفصح عنها الشاباك، وتحدد هويتها صراحة.

تأثير ضد تأثير
تكشف المواد المسربة عن فروع متعددة لنشاط معهد الأمن القومي الإيراني، بما في ذلك مشاريع وعلاقات كان من المفترض أن تبقى سرية.

كما كُشفت هويات العديد من المتبرعين للمعهد، من بينهم رجل أعمال أمريكي إيراني يعمل ضد البرنامج النووي.

وتُظهر المواد أيضا تورط المعهد في جهود الدعاية الإسرائيلية، وموافقته على استخدام قواعد بياناته البحثية لتدريب برنامج دردشة آلي مؤيد لإسرائيل، مصمم خصيصا للجامعات الأمريكية.