أكبر "بنك معلومات تجسسي".. كشف هوية مديري "الإدارة 40" في استخبارات الحرس الثوري الإيراني

أظهرت تحقيقات "إيران إنترناشيونال" أن وحدة مكافحة التجسس في منظمة استخبارات الحرس الثوري الإيراني قد أنشأت إدارة جديدة تُعرف باسم "الإدارة 40"، لتشكيل شبكة واسعة تُعنى بمراقبة أنشطة وعلاقات المواطنين الإيرانيين وغير الإيرانيين من خلال سرقة بياناتهم. 

 ونجحت هذه المجموعة في اختراق قواعد بيانات مراكز حكومية وغير حكومية أجنبية، من بينها شرطة أبو ظبي والفجيرة في الإمارات، وطيران "فلاي دبي"، وشركة الخطوط الجوية المصرية "مصر للطيران"، وبلدية الرصيفة في الأردن.

وهذه هي المرة الأولى، التي يُكشف فيها عن هوية وبنية هذه الوحدة؛ حيث إن معرفة "الإدارة 40" تمثل الحلقة المفقودة في فهم طريقة عمل منظمة استخبارات الحرس الثوري في التجسس على المواطنين الإيرانيين وغير الإيرانيين.

وأعدت "الإدارة 40"، التي تعمل تنظيميًا تحت وحدة مكافحة التجسس في الحرس المعروفة بـ "الوحدة 1500"، بنكًا معلوماتيًا يستطيع العملاء من خلاله إدخال اسم أي شخص الوصول إلى مدى وعمق علاقاته.

ويُطلق على هذا البنك المعلوماتي "التجسسي" ورصد المواطنين اسم "كاشف"، وقد اطلعت "إيران إنترناشيونال" على وثائقه وآلية عمله.

وعلى سبيل المثال، يستطيع "كاشف"، من خلال الحصول على بيانات شخص إيراني أو غير إيراني، وعبر سجلات المكالمات الهاتفية التفصيلية، أو رحلاته الجوية، أو معلومات المواقع التي حضر فيها، التعريف بالأشخاص الآخرين المرتبطين بذلك الشخص.

وأظهر فحص هوية نحو 60 عميلاً في "الإدارة 40" أن كثيرًا منهم وظّفوا أفراد عائلاتهم في تلك الإدارة، وأخفوا أنشطتهم من خلال إنشاء عدة طبقات من الشركات الواجهة. وبعض الموظفين لديهم ملفات تتعلق بإساءة استغلال المنصب.

وتم توفير المعلومات اللازمة لعمليات الحرس الثوري خارج الحدود، ضد معارضي النظام الإيراني، ومنها عملية "إسطنبول 2022" ضد أهداف إسرائيلية، من قِبل وحدات فرعية تابعة لهذه الإدارة. 

وتُظهر تقارير الأداء السنوية وخطط الأنشطة المستقبلية لهذه المجموعة أنها وسّعت مجالات نشاطها من خلال سرقة بيانات سياسيين من دول أخرى، كانوا يسعون إلى "تجنيدهم كمصادر". كما قام عملاؤها بالتجسس على سفارات الدول الأجنبية في إيران، على نطاق واسع. وكانوا يستخدمون أدوات روسية الصنع لأغراضهم.

وحتى الآن، كان يُعتقد أن عمليات "الإدارة 40"، المعروفة في المجتمع الاستخباراتي باسم "Charming Kitten"، تقتصر على أنشطة الاحتيال الإلكتروني (فيشينغ).

وفي السابق، تمكنت العديد من شركات الأمن السيبراني من تحديد أنشطة هذه المجموعة في دول الجوار الإيراني، وأهداف أخرى في إسرائيل وأوروبا، من خلال تتبع الأدوات السيبرانية، التي طورتها هذه الوحدة، لكنها لم تكن تعرف من يقف وراء هذه الأنشطة.

وتُظهر تحقيقات "إيران إنترناشيونال" أن هذه المجموعة توفر السيطرة المعلوماتية لمنظمة استخبارات الحرس الثوري على المواطنين الإيرانيين والتجسس على غير الإيرانيين أيضًا.

وبالإضافة إلى ذلك، كانت "الإدارة 40" تقف خلف الكواليس في إعلانات التوظيف المزيّفة لـ "جواسيس إسرائيل"، وقنوات "تلغرام"، التي تنظّم احتجاجات ضد رئيس الوزراء الإسرائيلي، بنيامين نتنياهو، والهجمات الإرهابية ضد الإسرائيليين في إسطنبول، وعدد كبير من الحالات الأخرى.

كيف يعمل "كاشف"؟

من أبرز أنشطة "الإدارة 40" إنشاء وتطوير منصة "كاشف". الفيديو الذي يُنشر لأول مرة يتعلق بتقديم سري للنسخة الثالثة من المنصة، والتي أصبحت نشطة في يونيو (حزيران) 2022.

وفي القسم المتعلق بإيران، يحتوي "كاشف" على بيانات المواطنين الإيرانيين، مثل أرقام الهواتف، والاتصالات بين الأشخاص عبر الهاتف والرسائل النصية وشبكات التواصل الاجتماعي، وعنوان المنزل والشركة وحركة الأفراد.

وقامت "الإدارة 40" بتعميم هذه المعلومات على المواطنين غير الإيرانيين أيضًا. وقال خبير أمني أجرى أبحاثًا على منصة "كاشف"، في حديث لـ "إيران إنترناشيونال": "إن قواعد البيانات التي يتم الحصول عليها من خلال الهجمات السيبرانية (من قِبل مجموعات القرصنة التابعة للإدارة 40) تُنقل إلى هذا النظام حتى يتمكن موظفو الإدارة 40 من تتبع ودمج المعلومات المتعلقة بالأهداف المختارة".

وقال هذا المصدر المطلع بشأن الهدف النهائي من إنشاء هذه المنصة: "هذا النظام يتيح للوحدة بناء ملفات استخباراتية لتنفيذ هجمات فيزيائية ضد هذه الأهداف. إنه تطبيق سيبراني بغرض تنفيذ أنشطة إرهابية".

وأوضحت تحقيقات "إيران إنترناشيونال" أن الإيرانيين مزدوجي الجنسية وموظفي السفارات وأفراد الشركات المرتبطة بالخارج والصحافيين مدرجون بدقة في نظام "كاشف"، كما أن الأماكن الحساسة، مثل سفارات الدول الأجنبية داخل إيران، وسفارات طهران في الدول الأجنبية والمراكز الحكومية، مثل وزارة الخارجية ووزارتي العلوم والإرشاد، مدرجة فيه أيضًا.

ويحاول هذا النظام، من خلال تتبع هؤلاء الأفراد، اكتشاف علاقاتهم ببعضهم البعض وعلاقاتهم بالأماكن الحساسة. فعلى سبيل المثال، إذا أصبح رقما هاتف نشطين في نقطة واحدة، فإن النظام يُبلغ ضباط استخبارات الحرس الثوري بذلك. وقد تمكن قراصنة تابعون للنظام الإيراني من إضافة معلومات الأشخاص غير الإيرانيين إلى هذا النظام أيضًا.

ولسنوات طويلة، كان على الإيرانيين مزدوجي الجنسية عند السفر إلى إيران ملء استمارات، وكان يتعين عليهم كتابة أسماء مستخدمي حساباتهم على شبكات التواصل الاجتماعي وبريدهم الإلكتروني، في هذه الاستمارات. ومع الكشف عن نظام "كاشف"، أصبح الآن واضحًا أين تُستخدم هذه المعلومات.

واطلعت "إيران إنترناشيونال" على تقارير داخلية سرية خاصية بـ "الإدارة 40" أظهرت أن وحدات هذه المجموعة اخترقت قواعد بيانات مراكز حكومية وغير حكومية، مثل شرطة أبو ظبي والفجيرة في الإمارات، وطيران فلاي دبي، وشركة الخطوط الجوية المصرية "مصر للطيران"، وشركة سوكار القابضة للطاقة في أذربيجان، وبلدية الرصيفة في الأردن وغيرها، وجمعت معلومات مواطنيها.

وبعض هذه المعلومات التي لم يكن من الممكن معرفتها من المصدر الأساسي تم العثور عليها من أهداف ثانوية. على سبيل المثال، يُظهر أحد التقارير، التي اطلعت عليها "إيران إنترناشيونال"، أنه عندما واجه القراصنة طريقًا مسدودًا في الوصول إلى معلومات مواطني الإمارات عبر إحدى إدارات الشرطة، قاموا باختراق شركة خدمات تابعة للشرطة.

الأشخاص المؤثرون

القائد الرئيس لـ "الإدارة 40" هو عباس رهروي، يبلغ من العمر 33 عامًا، مدينة زنجان، شمال غرب إيران. يمتلك رهروي هويتين أخريين. كما يعتبر شخصان آخران من أعضاء جهاز استخبارات الحرس الثوري، وهما منوشهر وثوقي نيري وأميرحسين أحمدي زنوز، من الشخصيات المؤثرة في "الإدارة 40".

وقدّرت مصادر مطلعة لدى "إيران إنترناشيونال" أن "الإدارة 40" تأسست بالشكل الحالي في النصف الأول من العقد 2010. وهذا القسم تابع لإدارة "1582" (المخصصة للعمليات السيبرانية) والتي هي جزء من إدارة "1500" التابعة لجهاز استخبارات الحرس الثوري.

ولكن نطاق نشاطها، وفقًا للوثائق التي سُرّبت، والتي اطلعت عليها "إيران إنترناشيونال"، يتجاوز المهمة الأولية. في تأسيس هذا القسم، لعب روح الله بازقندي، نائب سابق بوحدة مكافحة التجسس ورئيس سابق لـ "الإدارة 1500"، دورًا مباشرًا. وهو الذي أُقيل بعد كشف خطة اغتيال القنصل السابق لإسرائيل في إسطنبول، يوسف لوي سيفري، وشخص إسرائيلي آخر في المدينة ذاتها.

 النواة الأولى لـ "الإدارة 40"

بدأت النواة الأولى لـ "الإدارة 40" من مدوّنة في "زنجان". وأُشير إلى الأشخاص، الذين يديرون هذا المركز الآن، منذ 14 عامًا.

في أبريل (نيسان) 2012، أسّس عباس رهروي، الذي يترأس هذا القسم اليوم، مدوّنة مشتركة على موقع "بلاكفا". هذه المدوّنة باسم "المجموعة السيبرانية لمحافظة زنجان" حُذفت الآن من هذا الموقع، لكن مراجعة أرشيفها تُظهر أن كتّابها تابعوا في بداية نشاطهم باهتمام كبير أنشطة مجموعة القرصنة "آشيانه"، التي تُعدّ من أولى المجموعات السيبرانية التابعة للجهاز الأمني للنظام الإيراني.

الهيكل التنظيمي وموظفو "الإدارة 40"

تنشر "إيران إنترناشيونال" للمرة الأولى أسماء وبيانات "الإدارة 40". فإلى جانب رهروي وزوجته باقري، هناك علاقات أسرية أخرى داخل شبكة الموظفين.

وتظهر مراجعات "إيران إنترناشيونال" أن ليلى شريفي، عضو وحدة "النساء"، هي شقيقة مهدي شريفي، قائد مجموعة "القراصنة" في "الإدارة 40". كما أن نرجس وعطيه ندافي، اللتين تعملان في قسم "النساء"، شقيقتان.

ويحمل موظفو "الإدارة 40" سجلات قضائية متعددة. إذ يواجه أميرحسين أحمدي زنوز، أحد كبار مديري "الإدارة 40"، قضية متعلقة ببيع والاحتفاظ بأسلحة نارية. أما وحيد مولوي من مجموعة "الهاكرز" في وحدة كرج، فتشمل تهمة غسل الأموال وإساءة استغلال المنصب لدى المحكمة العسكرية.

وفي الملفات القضائية لأميد فلاح، أحد أعضاء وحدة "الرجال"، تبرز تهم "تعاطي الكحول"، و"الاشتباك"، و"الإهانة والتهديد" ضد مواطنين.

وتُظهر مراجعة مسار البتّ في هذه القضايا أنه في بعض الحالات جرى تبرئة المتهمين.

ومع كشف هوية "الإدارة 40"، أصبح واضحًا ما كان يجري خلف كواليس العديد من المشاريع الأمنية، مثل تجنيد "مزيّف" لجواسيس من شخصيات بارزة لصالح إسرائيل، وكيف كانت هذه العمليات تشكّل فخاخًا للمواطنين الغاضبين.

كما تبيّن مدى نشاط "الإدارة 40" في تشجيع الاحتجاجات ضد رئيس الوزراء الإسرائيلي، بنيامين نتنياهو داخل إسرائيل. وربط أعضاء هذا القسم مهامهم، خلافًا للنهج المعتاد في الأجهزة الأمنية، بمشروع عائلي.

وأكدت مصادر مطلعة لـ "إيران إنترناشيونال" أنه مع كشف هذه التفاصيل و"احتراق" تلك الشبكة، سيضطر الجهاز الأمني والاستخباراتي للنظام الإيراني، وبكلفة باهظة، إلى إنشاء شبكة جديدة مماثلة، دون معرفة متى سيتم كشفها مرة أخرى.