اصطياد الدب: كيف اخترق فريق Fancy Bear الروسي بريد أوكرانيا الإلكتروني

في اللحظة التي ظن فيها مستخدمو الإنترنت الأوكرانيون أن فتح صناديق بريدهم الإلكتروني أصبح آمناً، عاد خصم مألوف بأساليب جديدة. مجموعة القرصنة الروسية المدعومة من الدولة والمعروفة باسم APT28 - أو Fancy Bear كما تُعرف في أوساط الأمن السيبراني - أطلقت حملة تصيد احتيالي متطورة تستهدف مستخدمي UKR.net، بوابة البريد الإلكتروني والأخبار الشهيرة في أوكرانيا. هذه المرة، مخالب الدب أكثر حدة، وأساليبه أكثر خبثاً من أي وقت مضى.

حقائق سريعة

• تستهدف مجموعة APT28 (المعروفة أيضاً باسم Fancy Bear) مستخدمي UKR.net الأوكرانيين منذ يونيو 2024 على الأقل.
• تعتمد الحملة على رسائل تصيد تحتوي على ملفات PDF تتضمن روابط لصفحات تسجيل دخول مزيفة تحاكي UKR.net.
• يستخدم المهاجمون خدمات استضافة مجانية (مثل Mocky وBlogger) ومختصرات الروابط (tiny.cc، tinyurl.com) لإخفاء عملياتهم.
• يتم جمع بيانات الدخول ورموز التحقق بخطوتين (2FA) وإرسالها عبر خدمات نفق بروكسي مجهولة مثل ngrok وServeo.
• ترتبط مجموعة APT28 بوكالة الاستخبارات العسكرية الروسية (GRU)، ولها تاريخ طويل في التجسس السيبراني ضد أهداف استراتيجية.

تشريح الهجوم

وفقاً لتحقيق حديث أجرته مجموعة Insikt التابعة لشركة Recorded Future، بدأت الحملة الأخيرة في منتصف عام 2024 واستمرت حتى عام 2025. خطة القراصنة ماكرة لكنها مألوفة: يتم إرسال رسائل تصيد إلى مستخدمي UKR.net غير المرتابين، كل منها يحتوي على ملف PDF يتضمن رابطاً لصفحة تسجيل دخول وهمية. هذه الصفحات - المصممة بعناية لتشبه صفحة تسجيل الدخول الحقيقية لـUKR.net - تستضيف على منصات شرعية مثل Mocky وBlogger، مما يجعل اكتشافها وحجبها أكثر صعوبة.

لكن مجموعة APT28 لا تعتمد فقط على الحيل القديمة. فقد باتت تستخدم الآن نظام إعادة توجيه من مستويين، حيث تمرر الضحايا عبر سلسلة من الروابط المختصرة قبل أن تصل بهم إلى صفحة جمع بيانات الدخول. بمجرد أن يدخل المستخدم بيانات تسجيل الدخول ورمز التحقق بخطوتين، يتم إرسال المعلومات بسرعة عبر خدمات نفق بروكسي مجهولة مثل ngrok وServeo - وهي أدوات تخفي الموقع الحقيقي للقراصنة وتساعدهم على تجنب الإيقاف.

تأتي هذه الحملة ضمن عملية أوسع وأطول أجلاً من قبل APT28 لجمع معلومات حساسة قد تدعم المصالح الاستراتيجية الروسية. وبينما لا تزال الأهداف المحددة غير معلنة، فإن تركيز المجموعة التاريخي على القطاعات الحكومية والدفاعية والسياسية يشير إلى أن بيانات الدخول المسروقة قد تُستخدم مباشرة في جهود الاستخبارات الروسية، خاصة في ظل الصراع المستمر في أوكرانيا.

ومن الجدير بالذكر أن انتقال APT28 من اختراق أجهزة التوجيه المخترقة إلى استخدام بنية تحتية شرعية للنفق يُعد تطوراً تكتيكياً - وربما جاء استجابةً لجهود الغرب المتزايدة لتفكيك شبكاتهم السابقة. هذا التكيف يدل على إصرار المجموعة على الحفاظ على سيطرتها على الفضاء السيبراني الأوكراني مهما كان الثمن.

الخلاصة: الدب لا ينام أبداً

حملة APT28 المستمرة ضد مستخدمي البريد الإلكتروني الأوكراني تذكير صارخ بأنه في خنادق الصراع الحديث الرقمية، الخطوط الأمامية في كل مكان - وكل شخص هدف محتمل. وبينما يتكيف التجسس السيبراني الروسي ويستمر، تبقى اليقظة هي الدفاع الحقيقي الوحيد. بالنسبة لأوكرانيا، الحرب ليست فقط على الأرض - بل في صندوق البريد الإلكتروني أيضاً.

ويكيكروك

• APT28: مجموعة APT28، أو Fancy Bear، هي مجموعة قرصنة روسية مدعومة من الدولة معروفة بالتجسس السيبراني ضد الحكومات والمنظمات الغربية.
• التصيد الاحتيالي: التصيد الاحتيالي هو جريمة إلكترونية يرسل فيها المهاجمون رسائل مزيفة لخداع المستخدمين للكشف عن بيانات حساسة أو النقر على روابط خبيثة.
• جمع بيانات الدخول: جمع بيانات الدخول هو سرقة تفاصيل تسجيل الدخول مثل أسماء المستخدمين وكلمات المرور، غالباً عبر مواقع وهمية أو رسائل بريد إلكتروني خادعة.
• خدمة نفق بروكسي: خدمة نفق بروكسي توجه حركة الإنترنت عبر خادم، مما يخفي عنوان IP الخاص بالمستخدم ويوفر الخصوصية وإخفاء الهوية والوصول إلى محتوى محجوب.
• التحقق بخطوتين: التحقق بخطوتين (2FA) هو أسلوب أمني يتطلب نوعين مختلفين من التعريف للوصول إلى الحساب، مما يصعب اختراقه.