جواسيس إلكترونيون روس يستهدفون أجهزة توجيه المستهلكين من Soho
كشف المركز الوطني للأمن السيبراني في المملكة المتحدة (NCSC) ومايكروسوفت عن حملة اختطاف واسعة النطاق لنظام أسماء النطاقات (DNS) ضد المستهلكين الضعفاء وأجهزة التوجيه ذات النطاق العريض للمكاتب الصغيرة والمنزلية (Soho) التي أجرتها أجهزة الاستخبارات السيبرانية الروسية.
وقد شهدت هذه العمليات، التي نظمتها APT28 أو Forest Blizzard – والمعروفة على نطاق واسع باسم Fancy Bear – أن يقوم ممثل التهديد بتغيير إعدادات الأجهزة المخترقة لإعادة توجيه حركة مرور الإنترنت من خلال الخوادم الضارة التي يحتفظون بها.
وبهذه الطريقة، تمكنت Fancy Bear من سرقة بيانات مثل بيانات اعتماد تسجيل الدخول وكلمات المرور ورموز الوصول من خدمات الويب والبريد الإلكتروني الشخصية التابعة لضحاياها فيما يسمى بهجوم الخصم في الوسط (AiTM).
قال NCSC إن الحملة كانت انتهازية على الأرجح، حيث ألقى Fancy Bear شبكة واسعة للإيقاع بأكبر عدد ممكن من الضحايا. من خلال استهداف المعدات المنزلية والمكاتب الصغيرة غير الآمنة، استفادت Fancy Bear من الأصول الأقل مراقبة أو إدارة للتحول إلى بيئات مؤسسية أكبر أو أهداف تهم المخابرات الروسية.
وفي الواقع، قالت مايكروسوفت إنها حددت أكثر من 200 مؤسسة و5000 جهاز استهلاكي تأثرت منذ بدء الحملة في أغسطس 2025.
وقال بول تشيتشيستر، مدير عمليات NCSC: “يوضح هذا النشاط كيف يمكن استغلال نقاط الضعف في أجهزة الشبكة المستخدمة على نطاق واسع من قبل جهات فاعلة معادية متطورة”.
“نحن نشجع بشدة المنظمات والمدافعين عن الشبكات على التعرف على التقنيات الموضحة في الاستشارة واتباع نصائح التخفيف.
وأضاف: “سيواصل المركز الوطني للأمن الإلكتروني الكشف عن النشاط السيبراني الخبيث الروسي وتقديم إرشادات عملية للمساعدة في حماية شبكات المملكة المتحدة”.
أجهزة التوجيه قيد المحاكمة
يأتي الكشف عن حملة Fancy Bear الأخيرة وسط جدل حاد على الجانب الآخر من المحيط الأطلسي بعد تطبيق لجنة الاتصالات الفيدرالية (FCC) لقيود مشددة على أجهزة التوجيه المبنية خارج الولايات المتحدة – وهو ما يعني في الواقع كل جهاز توجيه متاح تجاريًا تقريبًا.
لقد تم صياغة قرار الولايات المتحدة على أساس أن مثل هذه المعدات تشكل خطراً غير مقبول على الأمن القومي للبلاد وأمن مواطنيها والمقيمين فيها.
ومع ذلك فقد تم انتقاده على أساس أنه في حين أنه يخفف المخاوف بشأن احتمال قيام حكومات أخرى – مثل الصين – بالتدخل في أجهزة الشبكات المنتجة في مصانعها، إلا أنه لا يعالج حقيقة أن الثغرات الأمنية مثل تلك التي استغلتها شركة Fancy Bear ستظل موجودة بغض النظر عن مكان تصنيعها.
وقال ريك فيرجسون، نائب رئيس شركة Forescout للاستخبارات الأمنية، في مجلة Computer Weekly، إن أجهزة التوجيه تمثل موطئ قدم جذاب للغاية للمهاجمين لأنها تجلس على حافة الشبكة، وتواجه بشكل عام الإنترنت العام، ويمكن التغاضي عنها بسهولة بمجرد نشرها.
وقال: “إن العديد من نقاط الضعف التي نراها تأتي من مشكلات مألوفة وقابلة للقياس مثل مكونات البرامج القديمة، ودورات التصحيح البطيئة، وبيانات الاعتماد الضعيفة، وواجهات الإدارة المكشوفة، وعمر الخدمة الطويل الذي يمتد إلى ما هو أبعد من دعم البائعين”.
“في تحليل البرامج الثابتة، نرى بانتظام مكونات مشتركة متأخرة بسنوات عن الإصدارات الحالية، وتحمل ثغرات أمنية معروفة يمكن للمهاجمين استغلالها.”
نصح فيرجسون فرق الأمان بمعاملة أجهزة التوجيه والبنية التحتية المماثلة للشبكة كجزء من سطح الهجوم النشط، وهو ما يعني عمليًا الاحتفاظ بمخزونات دقيقة، وإعطاء الأولوية لإدارة دورة حياتها، وفرض تحديثات البرامج الثابتة والتصحيح.
ولمنع المهاجمين مثل Fancy Bear من تحقيق مكاسب سهلة، يجب على فرق الأمان أيضًا أن تتطلع إلى تعطيل أي واجهات إدارة مكشوفة للإنترنت، وفرض بيانات اعتماد فريدة، وتطبيق إجراءات تجزئة الشبكة بحيث لا يؤدي بالضرورة جهاز توجيه واحد مخترق إلى تمكين الوصول على نطاق أوسع.
رئيس تحرير يمني وصحفي محترف حاصل على درجة في الإعلام. عمل في عدة صحف ومواقع إخبارية وتدرّج من محرر إلى رئيس تحرير. يشرف على المحتوى الإخباري ويقود فريقًا صحفيًا مع الالتزام بالمصداقية والمهنية.
