التصيد من أجل النفوذ: كيف اخترقت APT28 الروسية دوائر الطاقة والسياسات بدقة جراحية

العنوان الفرعي: وحدة تجسس سيبراني روسية متقدمة تستغل صفحات تسجيل دخول مزيفة وطُعومًا واقعية لاختراق قطاعي الطاقة والسياسات عبر أوراسيا.

بدأ الأمر برسالة بريد إلكتروني تبدو بريئة - رسالة كان يمكن أن تصل إلى صندوق وارد أي مستشار سياسات أو باحث نووي. لكن هذا لم يكن تصيدًا عاديًا. خلف الكواليس، كان قراصنة دولة روسيون يُعرفون باسم APT28 (أو BlueDelta) يديرون حملة خفية تمزج الخداع الرقمي بدهاء جيوسياسي. أهدافهم: العقول التي تقف وراء سياسات الطاقة، واتصالات الحكومات، والبحث النووي من تركيا إلى مقدونيا الشمالية وأوزبكستان. وسلاحهم: سرقة بيانات اعتماد مُحكمة الصنع، مموهة خلف علامات تجارية موثوقة ووثائق سياسات عاجلة.

حقائق سريعة

استهدفت APT28، المرتبطة بالاستخبارات العسكرية الروسية (GRU)، منظمات الطاقة والسياسات في تركيا وأوروبا ومقدونيا الشمالية وأوزبكستان عام 2025.
استخدمت حملات التصيد صفحات تسجيل دخول مزيفة تُحاكي Microsoft OWA وGoogle وSophos VPN لسرقة بيانات الاعتماد.
استغل المهاجمون خدمات إنترنت شرعية (Webhook.site وInfinityFree وByet Internet Services وngrok) للاستضافة وتهريب البيانات.
تضمنت الطُعوم ملفات PDF تبدو حقيقية حول موضوعات مثل حرب إيران–إسرائيل وسياسات مناخ البحر المتوسط.
أُعيد توجيه الضحايا إلى مواقع حقيقية بعد إدخال بيانات الاعتماد، ما أخفى السرقة وقلّل الشبهات.

تشريح حملة تصيد عالية المخاطر

تتبّعت مجموعة Insikt التابعة لـRecorded Future هذه الموجة الأخيرة من الهجمات إلى APT28، وهي وحدة اختراق سيئة السمعة لها تاريخ طويل في استهداف جهات تتماشى مع أولويات الاستخبارات الروسية. ما ميّز هذه الحملات هو تركيزها الجراحي ودقتها التقنية. فقد صمّم المهاجمون طُعوم التصيد خصيصًا - رسائل مكتوبة بالتركية، ووثائق تشير إلى أزمات جيوسياسية راهنة، وصفحات تسجيل دخول مُنسّقة لتطابق سير العمل اليومي للضحايا.

كانت سلسلة الهجوم أنيقة بقدر ما كانت خبيثة. تلقّى الضحايا رسائل تحتوي على روابط مختصرة، تقود عند النقر عليها إلى ملف PDF خداعي - وأحيانًا إلى منشور حقيقي عن حرب إيران–إسرائيل في يونيو 2025 أو اتفاق مناخي للبحر المتوسط. وللحظة عابرة، يظهر المستند قبل أن يُعيد توجيه المستخدم إلى صفحة تسجيل دخول مزيفة متنكرة على هيئة Microsoft OWA أو Google أو Sophos VPN. ومن دون أن يدركوا، كان المستهدفون يُدخلون أسماء المستخدمين وكلمات المرور، لتُنقل فورًا إلى المهاجمين عبر نماذج HTML مخفية ومنارات JavaScript. وبعد ذلك بسلاسة شبه تامة، يُعاد توجيه المستخدمين إلى الخدمة الشرعية، من دون ترك أثر واضح للاختراق.

كانت البنية التحتية الداعمة لهذه الهجمات قابلة للاستبدال بقدر ما كانت فعّالة. فقد أُسيء استخدام خدمات الاستضافة المجانية وخدمات الأنفاق - Webhook.site وInfinityFree وByet Internet Services وngrok - لاستضافة مواقع التصيد، وتهريب البيانات المسروقة، وأتمتة عمليات إعادة التوجيه. أتاح هذا النهج لـAPT28 إطلاق حملات جديدة بسرعة، وتقليل التكاليف، وتفادي الرصد عبر الاندماج ضمن حركة المرور الشرعية على الإنترنت.

ومن اللافت أن هذه الحملات لم تكن رسائل مزعجة واسعة النطاق، بل ضربات شديدة الاستهداف ضد أفراد محددين داخل منظمات الطاقة والدفاع والسياسات. ومن خلال تفضيل الجودة على الكمية، عظّمت APT28 قيمة كل حساب مُخترق - مغذيةً موسكو بتدفق ثابت من المعلومات الاستخبارية.

ما وراء تسجيل الدخول: الرهانات الجيوسياسية

تتجاوز تداعيات عمليات حصاد بيانات الاعتماد هذه بكثير مجرد سرقة كلمات المرور. فمن خلال اختراق منظمات تقع في قلب سياسات الطاقة واستراتيجيات الحكومات، تحصل APT28 على إمكانية الوصول إلى اتصالات حساسة وخطط استراتيجية وربما حتى أنظمة التحكم بالبنية التحتية. وتُعد الحملة تذكيرًا صارخًا: في عالم التجسس السيبراني، قد تُرجّح نقرة واحدة كفة ميزان القوة.

الخلاصة

تؤكد أحدث حملة لـAPT28 واقعًا مخيفًا: القراصنة المدعومون من الدول يزدادون تطورًا يومًا بعد يوم، ويمزجون التلاعب النفسي بالبراعة التقنية لاختراق أكثر القطاعات حساسية في العالم. وبالنسبة لمنظمات الطاقة والسياسات، لم تعد اليقظة خيارًا - بل هي خط الدفاع الوحيد في مواجهة خصم يراقب دائمًا، ويتكيف دائمًا، ويتصيد دائمًا من أجل النفوذ.

WIKICROOK

APT28: APT28، أو Fancy Bear، هي مجموعة اختراق روسية مدعومة من الدولة معروفة بالتجسس السيبراني ضد حكومات ومنظمات غربية.
حصاد بيانات الاعتماد: حصاد بيانات الاعتماد هو سرقة تفاصيل تسجيل الدخول، مثل أسماء المستخدمين وكلمات المرور، غالبًا عبر مواقع مزيفة أو رسائل بريد إلكتروني خادعة.
التصيد: التصيد جريمة سيبرانية يرسل فيها المهاجمون رسائل مزيفة لخداع المستخدمين كي يكشفوا بيانات حساسة أو ينقروا روابط خبيثة.
تهريب البيانات: تهريب البيانات هو النقل غير المصرح به لبيانات حساسة من شبكة الضحية إلى نظام خارجي يتحكم فيه المهاجمون.
إعادة التوجيه: إعادة التوجيه هي إرسال المستخدمين تلقائيًا من صفحة ويب إلى أخرى، وغالبًا ما يستخدمها المهاجمون لتوجيه الحركة إلى مواقع خبيثة أو احتيالية.