المملكة المتحدة المركز الوطني للأمن السيبراني (إن سي إس سي) و مايكروسوفت لقد كشفت واسعة النطاق نظام اسم المجال حملة اختطاف DNS (DNS) ضد المستهلكين الضعفاء وأجهزة التوجيه ذات النطاق العريض للمكاتب الصغيرة والمنزلية (Soho) التي أجرتها أجهزة الاستخبارات السيبرانية الروسية.
بتنسيق APT28 أو Forest Blizzard – المعروف على نطاق واسع باسم Fancy Bear – شهدت العمليات قيام جهة التهديد بتغيير إعدادات الأجهزة المخترقة لإعادة توجيه حركة مرور الإنترنت من خلال الخوادم الضارة التي يحتفظون بها.
وبهذه الطريقة، تمكنت Fancy Bear من سرقة بيانات مثل بيانات اعتماد تسجيل الدخول وكلمات المرور ورموز الوصول من خدمات الويب والبريد الإلكتروني الشخصية التابعة لضحاياها فيما يسمى بهجوم الخصم في الوسط (AiTM).
قال NCSC إن الحملة كانت انتهازية على الأرجح، حيث ألقى Fancy Bear شبكة واسعة للإيقاع بأكبر عدد ممكن من الضحايا. عن طريق الاستهداف المعدات المنزلية والمكاتب الصغيرة غير الآمنة، استفادت شركة Fancy Bear من الأصول الأقل مراقبة أو إدارتها عن كثب للتمحور في بيئات مؤسسية أكبر أو أهداف تهم المخابرات الروسية.
وفي الواقع، قالت مايكروسوفت إنها حددت أكثر من 200 مؤسسة و5000 جهاز استهلاكي تأثرت منذ بدء الحملة في أغسطس 2025.
وقال بول تشيتشيستر، مدير عمليات NCSC: “يوضح هذا النشاط كيف يمكن استغلال نقاط الضعف في أجهزة الشبكة المستخدمة على نطاق واسع من قبل جهات فاعلة معادية متطورة”.
“نحن نشجع بشدة المنظمات والمدافعين عن الشبكات على التعرف على التقنيات الموضحة في الاستشارة واتباع نصائح التخفيف.
وأضاف: “سيواصل المركز الوطني للأمن الإلكتروني الكشف عن النشاط السيبراني الخبيث الروسي وتقديم إرشادات عملية للمساعدة في حماية شبكات المملكة المتحدة”.
أجهزة التوجيه للمحاكمة
يأتي الكشف عن أحدث حملة لـ Fancy Bear وسط جدل حاد على الجانب الآخر من المحيط الأطلسي بعد تنفيذ لجنة الاتصالات الفيدرالية (FCC’s) لـ قيود مشددة على أجهزة التوجيه المبنية خارج الولايات المتحدة – وهو ما يعني في الواقع كل جهاز توجيه متاح تجاريًا تقريبًا.
لقد تم صياغة قرار الولايات المتحدة على أساس أن مثل هذه المعدات تشكل خطراً غير مقبول على الأمن القومي للبلاد وأمن مواطنيها والمقيمين فيها.
ومع ذلك فقد تم انتقاده على أساس أنه في حين أنه يخفف المخاوف بشأن احتمال قيام حكومات أخرى – مثل الصين – بالتدخل في أجهزة الشبكات المنتجة في مصانعها، إلا أنه لا يعالج حقيقة أن الثغرات الأمنية مثل تلك التي استغلتها شركة Fancy Bear ستظل موجودة بغض النظر عن مكان تصنيعها.
الكتابة في الكمبيوتر الأسبوعيةقال ريك فيرجسون، نائب رئيس شركة Forescout للاستخبارات الأمنية، إن أجهزة التوجيه تمثل موطئ قدم جذابًا للغاية للمهاجمين لأنها تقع على حافة الشبكة، وتواجه بشكل عام الإنترنت العام، ويمكن التغاضي عنها بسهولة بمجرد نشرها.
وقال: “إن العديد من نقاط الضعف التي نراها تأتي من مشكلات مألوفة وقابلة للقياس مثل مكونات البرامج القديمة، ودورات التصحيح البطيئة، وبيانات الاعتماد الضعيفة، وواجهات الإدارة المكشوفة، وعمر الخدمة الطويل الذي يمتد إلى ما هو أبعد من دعم البائعين”.
“في تحليل البرامج الثابتة، نرى بانتظام مكونات مشتركة متأخرة بسنوات عن الإصدارات الحالية، وتحمل ثغرات أمنية معروفة يمكن للمهاجمين استغلالها.”
نصح فيرجسون فرق الأمان بمعاملة أجهزة التوجيه والبنية التحتية المماثلة للشبكة كجزء من سطح الهجوم النشط، وهو ما يعني عمليًا الاحتفاظ بمخزونات دقيقة، وإعطاء الأولوية لإدارة دورة حياتها، وفرض تحديثات البرامج الثابتة والتصحيح.
ولمنع المهاجمين مثل Fancy Bear من تحقيق مكاسب سهلة، يجب على فرق الأمان أيضًا أن تتطلع إلى تعطيل أي واجهات إدارة مكشوفة للإنترنت، وفرض بيانات اعتماد فريدة، وتطبيق إجراءات تجزئة الشبكة بحيث لا يؤدي بالضرورة جهاز توجيه واحد مخترق إلى تمكين الوصول على نطاق أوسع.
