عملية «التنكر»: الـFBI يطرد قراصنة روس من عتبات أمريكا الرقمية

العنوان الفرعي: عملية واسعة النطاق نفّذها مكتب التحقيقات الفيدرالي أخرجت قراصنة عسكريين روسًا من آلاف موجّهات المنازل والمكاتب المخترَقة، في قلب حملة تجسّس سيبراني عالمية.

بدأ الأمر بهدوء، كما تبدأ كثير من الهجمات السيبرانية: موجّه إنترنت قديم في مكتب منزلي، جهاز منسيّ في شركة صغيرة، يطنّ بلا أن يلاحظه أحد - إلى أن حوّله قراصنة عسكريون روس إلى جواسيس صامتين. هذا الأسبوع، كشف الـFBI أنه نفّذ «عملية التنكر»، وهي حملة رقمية سرّية قطعت وصول روسيا إلى شبكة من موجّهات أمريكية مخترَقة، وفكّكت حملة غامضة استهدفت الحكومات والبنى التحتية الحيوية والمواطنين العاديين على حد سواء.

حقائق سريعة

عطّل الـFBI حملة روسية تابعة لـGRU اختطفت موجّهات SOHO في أنحاء الولايات المتحدة وخارجها.
أعاد القراصنة توجيه حركة DNS إلى خوادم خاضعة لسيطرة الكرملين، لاعتراض بيانات حساسة وبيانات اعتماد.
قامت عملية «التنكر» بمسح الإعدادات الخبيثة عن بُعد، ممّا محا موطئ قدم روسيا على الأجهزة المخترَقة.
شملت الضحايا وكالات حكومية أمريكية وبنى تحتية حيوية، وما لا يقل عن ثلاث منظمات حكومية أفريقية.
لا تزال الموجّهات القديمة والتي انتهى عمرها التشغيلي تمثّل خطرًا أمنيًا كبيرًا على المؤسسات ومستخدمي المنازل.

أعلنت وزارة العدل الأمريكية يوم الثلاثاء أنها فكّكت عملية سيبرانية استمرت لسنوات نفّذتها وكالة الاستخبارات العسكرية الروسية، الـGRU. وكان المهاجمون - المعروفون بأسماء متعددة مثل APT28 وFancy Bear وForest Blizzard - قد اخترقوا آلاف موجّهات TP-Link الخاصة بالمكاتب الصغيرة/المنازل (SOHO)، وكان كثير منها قديمًا أو غير مُرقّع. ومن خلال التلاعب بإعدادات DNS في تلك الموجّهات، أعاد القراصنة توجيه طلبات الإنترنت عبر خوادم تحت السيطرة الروسية، ما منحهم نافذة غير مرئية على نشاط الضحايا عبر الإنترنت.

أتاحت تقنية اختطاف DNS هذه للـGRU جمع كلمات المرور ورسائل البريد الإلكتروني وغيرها من البيانات الحساسة من وكالات حكومية ومشغّلي بنى تحتية حيوية وشركات خاصة. وأشارت مايكروسوفت، التي تتبّعت الحملة إلى جانب المحققين الفيدراليين، إلى أن المهاجمين كانوا قادرين على اعتراض الاتصالات السحابية، بما في ذلك الاتصالات بمنصة البريد الإلكتروني الشائعة Outlook، بل وتنفيذ هجمات متقدمة من نوع «الخصم في الوسط» - حيث تُعترَض الاتصالات الآمنة سرًا وتُعدَّل.

وردّ عملاء الـFBI بعملية «التنكر»: ضربة تقنية مضادة تمكّنت من الوصول عن بُعد إلى الموجّهات المخترَقة، وجمعت أدلة جنائية رقمية، وأعادت ضبط إعدادات DNS، مطيحةً فعليًا بالعناصر الروسية خارج الشبكة. وهي أحدث حلقة في سلسلة من تحركات الـFBI المتزايدة الحدة لتعطيل التجسّس السيبراني الأجنبي على الأراضي الأمريكية. وقال بريت ليذرمان، رئيس قسم الجرائم السيبرانية في الـFBI: «لم يعد إطلاق التحذير كافيًا. سيواصل الـFBI استخدام صلاحياته لتحديد الجهات المدعومة من دول وفرض كلفة عليها عندما تستهدف الشعب الأمريكي».

ويحذّر الخبراء من أن هذه الحادثة جرس إنذار: فالموجّهات المتقادمة - ولا سيما تلك التي لم تعد الشركات المصنّعة تدعمها - تمثّل أهدافًا مثالية للمهاجمين المتقدمين. ويحثّ كل من المركز الوطني للأمن السيبراني في المملكة المتحدة ومايكروسوفت المؤسسات والأفراد على استبدال الأجهزة التي انتهى عمرها التشغيلي، وتحديث البرمجيات الثابتة بانتظام، ومراقبة حركة DNS، وحظر النطاقات الخبيثة المعروفة. وفي عالم البنى التحتية الحيوية المترابط، قد يتحول جهاز مهمل واحد إلى بوابة لتجسّس عالمي.

ومع انقشاع غبار عملية «التنكر»، تتضح حقيقة واحدة: في المعركة المتصاعدة على الفضاء السيبراني، حتى أكثر الأجهزة تواضعًا قد تصبح خطوط المواجهة الأولى. إن معركة تأمين شبكاتنا لم تنتهِ بعد - وقد يكون الهجوم التالي متربصًا بالفعل في ظلال تكنولوجيا الغد المتقادمة.

WIKICROOK

موجّه SOHO: يربط موجّه SOHO أجهزة المنزل أو المكتب الصغير بالإنترنت، وغالبًا ما يستهدفه المهاجمون بسبب إعدادات الأمان الضعيفة.
اختطاف DNS: اختطاف DNS هو قيام المهاجمين بتغيير إعدادات DNS سرًا، وإعادة توجيه المستخدمين إلى مواقع مزيفة أو ضارة دون علمهم لسرقة البيانات أو نشر البرمجيات الخبيثة.
GRU: الـGRU هي وكالة الاستخبارات العسكرية الروسية، المعروفة برعاية مجموعات قرصنة تستهدف حكومات ومنظمات أجنبية حول العالم.
خصم: الخصم هو أي شخص أو مجموعة تحاول اختراق أنظمة الحاسوب أو البيانات، غالبًا لأغراض خبيثة مثل السرقة أو التعطيل.
End: التشفير من طرف إلى طرف هو أسلوب أمني لا يستطيع فيه قراءة الرسائل إلا المرسل والمستلم، ما يحافظ على خصوصية البيانات بعيدًا عن مزودي الخدمة والقراصنة.