استخبارات روسيا تخترق 18 ألف جهاز توجيه لسرقة رموز مصادقة Microsoft Office
فريق جلتش١٣ مايو ٢٠٢٦0 مشاهدة4 دقائق
"كشف خبراء الأمن عن حملة روسية استهدفت 18 ألف جهاز توجيه لسرقة رموز مصادقة Microsoft Office عبر هجمات DNS Hijacking المتطورة، مما يهدد أمن آلاف المؤسسات."
مقدمة تحليلية
نجحت وحدة التجسس الروسية المعروفة باسم Forest Blizzard، والتابعة للاستخبارات العسكرية (GRU)، في بناء شبكة تجسس ضخمة استهدفت أكثر من 18,000 جهاز توجيه (Router) حول العالم بنهاية عام 2025. هذه الحملة لم تعتمد على برمجيات خبيثة معقدة، بل استغلت ثغرات معروفة في أجهزة التوجيه القديمة المخصصة للمكاتب الصغيرة والمنازل (SOHO) لحصد رموز المصادقة الخاصة بمستخدمي Microsoft Office. يمثل هذا الاختراق تحولاً استراتيجياً في أساليب التهديد المستمر (APT)، حيث يتم استهداف البنية التحتية للشبكة بدلاً من الأجهزة الطرفية للمستخدمين. كشفت تقارير صادرة عن Microsoft وشركة Lumen (عبر قسم Black Lotus Labs) أن الهجمات طالت أكثر من 200 مؤسسة و5,000 جهاز استهلاكي. الخطورة تكمن في أن المهاجمين تمكنوا من سحب رموز OAuth الخاصة بالمستخدمين، وهي الرموز التي يتم إنشاؤها *بعد* إتمام عملية تسجيل الدخول وتجاوز نظام التحقق الثنائي (MFA). هذا يعني أن المخترقين حصلوا على وصول كامل ومباشر إلى رسائل البريد الإلكتروني والمستندات الحساسة دون الحاجة إلى سرقة كلمات المرور أو تجاوز الرموز المؤقتة في كل مرة.التحليل التقني
اعتمدت الحملة على تقنية قديمة لكنها فعالة للغاية وهي اختطاف نظام أسماء النطاقات (DNS Hijacking). فبدلاً من زراعة برمجيات خبيثة (Malware) داخل أنظمة التشغيل، قام المهاجمون بتعديل إعدادات DNS في أجهزة التوجيه المصابة، خاصة أجهزة Mikrotik وTP-Link التي لم تعد تتلقى تحديثات أمنية أو التي أهمل أصحابها تحديثها. شملت الآلية التقنية الخطوات التالية:- استغلال ثغرات أمنية غير مرقعة في واجهات إدارة أجهزة التوجيه SOHO للوصول إلى صلاحيات الإعدادات.
- تغيير خوادم DNS الافتراضية لتشير إلى خوادم VPS يسيطر عليها المهاجمون.
- تنفيذ هجمات "الخصم في المنتصف" (AiTM) على اتصالات TLS الموجهة لنطاقات Microsoft Outlook عبر الويب.
- عندما يحاول المستخدم الوصول إلى بريده، يتم توجيهه عبر خادم المهاجم الذي يقوم باعتراض رمز المصادقة (Authentication Token) المرسل من خوادم Microsoft بعد تسجيل الدخول الناجح.
السياق وتأثير السوق
تأتي هذه الهجمات في وقت حساس للغاية، حيث بدأت السلطات التنظيمية في الولايات المتحدة والمملكة المتحدة اتخاذ إجراءات صارمة ضد الأجهزة المصنعة خارجياً. في مارس 2026، أعلنت لجنة الاتصالات الفيدرالية (FCC) عن سياسة جديدة تقضي بوقف اعتماد أجهزة التوجيه الاستهلاكية التي يتم إنتاجها خارج الولايات المتحدة، ما لم تحصل على تصريح خاص من وزارة الأمن الداخلي. يُعد هذا القرار زلزالاً في سوق الأجهزة، حيث أن أغلب أجهزة التوجيه الحالية تُصنع في الصين ودول شرق آسيا. تاريخياً، ارتبطت مجموعة Forest Blizzard بعمليات اختراق كبرى، منها الهجوم على اللجنة الوطنية الديمقراطية الأمريكية في 2016. لكن التحول الأخير نحو استهداف أجهزة SOHO يظهر أن المهاجمين يبحثون عن "الحلقات الأضعف" في سلاسل التوريد الرقمية. الأجهزة التي تُعتبر بنهاية عمرها الافتراضي (End-of-Life) أصبحت تمثل ثغرة أمنية وطنية، حيث تفتقر للتحديثات الأمنية التي يمكنها سد الثغرات التي يستغلها القراصنة لتعديل إعدادات DNS.رؤية Glitch4Techs
إن استراتيجية "الرجل العجوز" (Graybeard Way) التي انتهجتها الاستخبارات الروسية، كما وصفها المهندس ريان إنجليش، تذكرنا بأن أبسط التقنيات غالباً ما تكون الأكثر فتكاً. المشكلة الحقيقية ليست في ذكاء المهاجم فحسب، بل في إهمال تحديث البنية التحتية الأساسية للمنازل والمكاتب الصغيرة. نحن في Glitch4Techs نرى أن الاعتماد على وعي المستخدم لتجنب تحذيرات TLS هو رهان خاسر؛ فالأمان يجب أن يكون مدمجاً في الجهاز نفسه. نتوقع أن تشهد الفترة القادمة ضغوطاً متزايدة على مصنعي الأجهزة لفرض "قنابل زمنية" تقنية (Firmware Time Bombs) تجبر الأجهزة على التوقف عن العمل أو تقييد وصولها للإنترنت إذا لم يتم تحديثها خلال إطار زمني محدد. كما نشدد على ضرورة تفعيل خاصية HSTS (HTTP Strict Transport Security) بشكل صارم على كافة نطاقات المؤسسات لمنع تجاوز تحذيرات الشهادات الأمنية. إن بقاء 18,000 جهاز توجيه كـ "زومبي" في يد الاستخبارات الروسية هو جرس إنذار لكل مسؤول تقني بضرورة مراجعة سياسات الوصول عن بُعد واستبدال الأجهزة المتهالكة فوراً.النشرة البريدية
كن أول من يعرف بمستقبل التقنية
أهم الأخبار والتحليلات التقنية مباشرة في بريدك.