كشف باحثون إسرائيليون في مجال الأمن السيبراني أن مجموعة قراصنة اعتُبرت لسنوات عصابة رقمية تعمل بدافع الربح - عبر مهاجمة مئات المؤسسات، وطلب فدية وبيع أدوات خبيثة - كانت في الواقع ذراع هجوم وتمويل تابعة لتنظيم حزب الله.
وبحسب الدراسة، أخفى القراصنة نشاطهم الأيديولوجي تحت غطاء الجريمة السيبرانية "العادية"، فيما عمل الأفراد داخل شركات مدنية من دون إثارة الشبهات. في مركز الكشف يقف شاب لبناني، طالب جامعي، عمل مبرمجًا في شركات تكنولوجية مدنية، وفي الوقت نفسه أدار شبكة هجمات لصالح حزب الله.
الدراسة، التي أعدّتها شركة السايبر الإسرائيلية "DOS-OP" ومركز "علما" لأبحاث التحديات الأمنية في الساحة الشمالية، تشير إلى كريم فياض، شاب من جنوب لبنان في العشرينيات من عمره، بوصفه المسؤول عن تشغيل شبكة برمجية الفدية المعروفة باسم "BQTLock".
ووفق الباحثين، عمل فياض ومجموعته وفق نموذج إجرامي واضح شمل سرقة أموال، وطلب فدية وبيع أدوات هجوم رقمية، في إطار نموذج يُعرف باسم "الفدية كخدمة". لكن الدراسة تدّعي أن هذا النشاط الإجرامي كان مرتبطًا بمنظومة سيبرانية منظمة لدى حزب الله، استُخدمت لأغراض تمويلية وأخرى أيديولوجية. مجموعة فياض نجحت في تشفير أكثر من ٥٤٠ خادمًا في العالم وسرقة كميات كبيرة من البيانات الحساسة.
فياض، وهو طالب هندسة حاسوب في الجامعة الأميركية في بيروت، عمل بالتوازي في شركات تكنولوجيا مدنية وتخصّص في تطوير أنظمة ذكاء اصطناعي. ويشير الباحثون إلى أن خلف هذا النشاط المدني "حياة مزدوجة": فقد كان ناشطًا في "كشافة الإمام المهدي"، الإطار الشبابي التابع لحزب الله، واستغل المعرفة والأدوات المهنية التي اكتسبها لتشغيل شبكة هجمات دولية لصالح التنظيم.
وبحسب الدراسة، هاجمت المجموعة أيضًا بنى تحتية في إسرائيل، من بينها مطار دولي وشركات اتصالات، كما تبنّت هجمات على شركات صناعات أمنية، مع أن بعض هذه الادعاءات ما زال موضع تشكيك لدى باحثي السايبر. خارج إسرائيل، استهدفت المجموعة أنظمة طبية في الهند، وخوادم تعدين في السعودية، ومدارس في الإمارات.
تال باري، مدير البحث في مركز "علما"، قال إن خطورة الكشف تكمن في أن "هجمات الفدية ليست مجرد جريمة رقمية، بل جزء من منظومة تربط بين مصالح أمنية وأيديولوجية واقتصادية في آن واحد".