داخل عرين الدب: كيف سحق مكتب التحقيقات الفيدرالي حلقة تجسس روسية عبر أجهزة التوجيه

العنوان الفرعي: حملة قرصنة روسية سرّية استخدمت أجهزة التوجيه اليومية للتجسس - إلى أن أوقفتها عملية «ماسكيريد».

بدأ الأمر كيوم عادي تمامًا لآلاف الأمريكيين ولمستخدمي الإنترنت حول العالم: رسائل بريد إلكتروني، مكالمات فيديو، وربما قليل من التسوق عبر الإنترنت. لكن خلف الأضواء الوامضة في أجهزة التوجيه المنزلية وتلك الخاصة بالمكاتب الصغيرة، كانت حربٌ خفيةٌ تدور. فقد اختطف قراصنة عسكريون روس هذه الأجهزة المتواضعة بهدوء، وحولوها إلى شبكة مترامية من الجواسيس الرقميين. هذا الأسبوع، كشف مكتب التحقيقات الفيدرالي كيف نفّذ تدخّلًا نادرًا ودراميًا لإيقافهم.

حقائق سريعة

قراصنة عسكريون روس (APT28/فانسي بير) اخترقوا آلاف أجهزة توجيه TP-Link حول العالم.
العملية، التي حملت الاسم الرمزي «ماسكيريد»، استهدفت شبكات المنازل والشركات الصغيرة في ما لا يقل عن 23 ولاية أمريكية وعدة دول.
استخدم المهاجمون اختطاف DNS لاعتراض بيانات اعتماد حساسة تخص الحكومة والجيش.
قام مكتب التحقيقات الفيدرالي، بأمر قضائي، بتحييد وصول القراصنة عن بُعد عبر إعادة ضبط إعدادات أجهزة التوجيه المصابة.
يُحثّ المستخدمون الذين لديهم أجهزة توجيه TP-Link على تحديث البرنامج الثابت أو استبدال الطرازات القديمة فورًا.

لسنوات، ارتبطت مجموعة APT28 سيئة الصيت التابعة للاستخبارات العسكرية الروسية (GRU) - المعروفة لدى محققي الجرائم السيبرانية باسم «فانسي بير» أو «عاصفة الغابة» - بالتجسس الإلكتروني عالي المخاطر. لكن مغامرتهم الأخيرة كانت بقدر ما هي ماكرة بقدر ما هي مقلقة. فمن خلال استغلال ثغرات معروفة في أجهزة توجيه TP-Link، راكموا بهدوء السيطرة على آلاف الأجهزة الممتدة عبر القارات. وكان سلاحهم المفضل: اختطاف DNS، وهي طريقة تتيح للقراصنة إعادة توجيه حركة الإنترنت عبر خوادم خبيثة دون علم الضحية.

وبمجرد الدخول، أطلق القراصنة نظامًا آليًا لتمشيط كومة القش الرقمية بحثًا عن أهداف عالية القيمة: أفراد عسكريون، موظفون حكوميون، وأي شخص آخر قد تستحق اتصالاته السرقة. وبالنسبة لهؤلاء التعساء، استبدل المهاجمون صفحات تسجيل الدخول الحقيقية بأخرى مزيفة مقنعة - مثل بوابة مقلدة لـ Microsoft Outlook Web Access - فاصطادوا كلمات المرور والرسائل الإلكترونية وحتى رموز المصادقة خلال العملية. أما الضحايا فواصلوا أعمالهم، غير مدركين بسعادة أن أسرارهم تُسحب وتُهرّب على يد خصم أجنبي.

لكن هذه المرة، لم يكتفِ مكتب التحقيقات الفيدرالي بإصدار تحذير - بل انتقل إلى الهجوم. وبأمر قضائي نادر، أرسل العملاء الفيدراليون أوامر مباشرة إلى أجهزة التوجيه المصابة، فأعادوا ضبط إعدادات DNS وقطعوا وصول القراصنة. وقد صُممت العملية، التي طُورت بمساعدة Microsoft Threat Intelligence ومختبر MIT Lincoln وBlack Lotus Labs، بعناية لتجنب تعطيل اتصالات الإنترنت لدى المستخدمين. وبحسب كلمات مساعد المدعي العام جون أ. آيزنبرغ، فإن «استخدام GRU الافتراسي للشبكات في المنازل والشركات الأمريكية لعملياتها السيبرانية الخبيثة يظل تهديدًا خطيرًا ومستمرًا».

ورغم تحييد الخطر الفوري، يحذر الخبراء من أن اليقظة هي المفتاح. ويحث مكتب التحقيقات الفيدرالي ومتخصصو الأمن السيبراني أي شخص يملك جهاز توجيه TP-Link - وخاصة الطرازات الأقدم أو غير المدعومة - على تحديث البرنامج الثابت أو التفكير في ترقية العتاد. والدرس واضح: في العصر الرقمي، حتى أكثر الأجهزة المنزلية اعتيادية يمكن أن تصبح بيدقًا في لعبة تجسس عالمية.

قد تكون عملية «ماسكيريد» قد انتهت بعملية المسح الرقمية التي نفذها مكتب التحقيقات الفيدرالي، لكن الحملة تذكير صارخ بأن الحرب السيبرانية لا تُخاض فقط على شبكات الحكومة أو خوادم الشركات. أحيانًا، تكون خطوط المواجهة في غرفة معيشتك، تومض بهدوء فوق رف كتبك.

ويكيكروك

APT28: APT28، أو «فانسي بير»، هي مجموعة قرصنة روسية مدعومة من الدولة معروفة بالتجسس الإلكتروني ضد حكومات ومنظمات غربية.
اختطاف DNS: اختطاف DNS هو قيام المهاجمين بتغيير إعدادات DNS سرًا، وإعادة توجيه المستخدمين إلى مواقع مزيفة أو ضارة دون علمهم لسرقة البيانات أو نشر البرمجيات الخبيثة.
البرنامج الثابت: البرنامج الثابت هو برمجيات متخصصة مخزنة داخل الأجهزة، تدير عملياتها الأساسية وأمنها، وتمكّنها من العمل بشكل صحيح.
رمز المصادقة: رمز المصادقة هو مفتاح رقمي يتحقق من هويتك للتطبيقات أو الخدمات، ما يتيح وصولًا آمنًا دون إعادة إدخال كلمة المرور.
أمر قضائي: الأمر القضائي هو توجيه يصدره قاضٍ يتيح للسلطات الوصول إلى بيانات أو أجهزة خاصة لتحقيقات الأمن السيبراني ضمن الحدود القانونية.