داخل خدعة الموجّهات الروسية: كيف حوّل Forest Blizzard الأجهزة اليومية إلى أدوات تجسّس عالمية

العنوان الفرعي: يكشف تحقيق من مايكروسوفت أن قراصنة مدعومين من الدولة الروسية سلّحوا بهدوء آلاف موجّهات المنازل، مهدّدين الخصوصية وأمن الشركات حول العالم.

بدأ الأمر بهدوء - مجرد ومضات غريبة قليلة في حركة مرور الشبكة داخل المكاتب المنزلية والشركات الصغيرة. لكن بحلول الوقت الذي جمع فيه محقّقو مايكروسوفت السيبرانيون خيوط النمط، كانت الحقيقة مرعبة: مجموعة قرصنة روسية نخبوية اختطفت الموجّهات المتواضعة الجالسة في غرف المعيشة والشركات الناشئة حول العالم، وحوّلتها إلى شبكة مراقبة سرّية امتدت من أفريقيا إلى قلب مؤسسات الغرب.

حقائق سريعة

استغلّ Forest Blizzard المرتبط بروسيا (المعروف أيضًا باسم Fancy Bear) أكثر من 5,000 موجّه منزلي ومكتبي حول العالم.
استخدم القراصنة اختطاف DNS لاعتراض حركة الإنترنت الخاصة، بما في ذلك رسائل البريد الحساسة وبيانات الشركات.
تم اختراق ما لا يقل عن 200 منظمة وثلاث وكالات حكومية أفريقية بشكل مباشر.
استهدفت العملية على وجه التحديد مستخدمي Microsoft Outlook على الويب في قطاعات الطاقة وتقنية المعلومات والاتصالات.
يحذّر الخبراء من أن القوى العاملة عن بُعد والهجينة معرّضة للخطر بشكل خاص بسبب الأجهزة المنزلية غير الآمنة.

سلّط تقرير مايكروسوفت الصادر في 7 أبريل ضوءًا قاسيًا على Forest Blizzard - وهو تجمع قرصنة ارتبط طويلًا بالاستخبارات العسكرية الروسية. لكن هذه المرة كانت تكتيكاتهم بسيطة وشريرة في آن واحد. فمن خلال التركيز على موجّهات المكاتب الصغيرة/المنازل (SOHO) - وهي أجهزة سيئة السمعة بضعف أمنها وتقادم برمجياتها - تجاوزوا دفاعات شبكات الشركات القوية وذهبوا مباشرة إلى البطن الرقمي الرخو للقوى العاملة الحديثة.

اقتحم المهاجمون هذه الأجهزة اليومية عبر مزيج من ثغرات قديمة وكلمات مرور ضعيفة. وما إن دخلوا حتى أطلقوا اختطاف DNS - خدعة رقمية تعيد توجيه حركة الإنترنت عبر خوادم يسيطرون عليها. واعتمد القراصنة على أداة شرعية، dnsmasq، لإدارة هذا التضليل، ما منحهم نافذة دائمة على الحياة الإلكترونية لمستخدمين لا يدرون شيئًا.

لم يكن هذا مجرد تنصّت سلبي. فقد كشفت أبحاث مايكروسوفت عن هجمات «خصم في الوسط» (AiTM)، حيث يُقحم القراصنة أنفسهم بين المستخدمين ووجهاتهم المقصودة على الإنترنت. وركّزت المجموعة على مستخدمي Microsoft Outlook على الويب، معترضةً رسائل البريد الحساسة وبيانات تسجيل الدخول أثناء عبورها عبر الشبكات المختطفة. وتُبرز القطاعات الأكثر تضررًا - الطاقة وتقنية المعلومات والاتصالات - قدرة العملية على تعطيل البنية التحتية الحيوية وسرقة أسرار الدولة.

وربما الأكثر إثارة للقلق هو حجم الحملة: فقد وقع أكثر من 5,000 موجّه للمستهلكين و200 منظمة بالفعل في الشباك، بما في ذلك ثلاث وكالات حكومية أفريقية جرى سحب بياناتها لأغراض التجسّس.

وبالنسبة للشركات التي تتبنى العمل عن بُعد والهجين، تبدو التداعيات صارخة. فقد حذّرت مايكروسوفت من أن «اختراق بنية الشبكات المنزلية وبنية المكاتب الصغيرة قد يعرّض الوصول إلى السحابة والبيانات الحساسة للخطر»، حتى لو ظلّ المقر الرئيسي للشركة محكم الإغلاق. ويبدو أن الحلقة الأضعف الآن هي موجّه الواي فاي المنزلي - غالبًا ما يُتجاهل، ونادرًا ما يُحدَّث، وسهل الاستغلال.

ويحثّ الخبراء على اتخاذ إجراءات فورية: تفعيل المصادقة متعددة العوامل، والابتعاد عن الموجّهات المنزلية الأساسية للاستخدام التجاري، والحفاظ على تحديث كل جهاز وترقيعه. في عصر العمل عن بُعد، قد تصبح غرفة معيشتك خط المواجهة الجديد في الحرب السيبرانية العالمية.

ومع تلاشي الحدود بين المنزل والمكتب، تُعد هذه الخدعة الروسية بالموجّهات تذكيرًا صارخًا: الأمن لا يكون أقوى من أضعف أجهزته. في المرة القادمة التي تعيد فيها تشغيل شبكة الواي فاي، فكّر فيمن قد يكون معك في الرحلة.

WIKICROOK

اختطاف DNS: اختطاف DNS هو عندما يغيّر المهاجمون إعدادات DNS سرًا، فيعيدون توجيه المستخدمين إلى مواقع مزيفة أو ضارة دون علمهم لسرقة البيانات أو نشر البرمجيات الخبيثة.
خصم: الخصم هو أي شخص أو مجموعة تحاول اختراق أنظمة الحاسوب أو البيانات، غالبًا لأغراض خبيثة مثل السرقة أو التعطيل.
موجّه SOHO: يربط موجّه SOHO أجهزة المنزل أو المكتب الصغير بالإنترنت، وغالبًا ما يستهدفه المهاجمون بسبب إعدادات الأمان الضعيفة.
dnsmasq: dnsmasq أداة خفيفة توفّر تخزين DNS المؤقت وخدمات DHCP، وتُستخدم على نطاق واسع في الشبكات الصغيرة والأنظمة المدمجة لإدارة فعّالة.
Multi: يشير Multi إلى استخدام مزيج من تقنيات أو أنظمة مختلفة - مثل أقمار LEO وGEO - لتحسين الاعتمادية والتغطية والأمان.