قراصنة روس يستغلون ثغرات أجهزة الراوتر لسرقة بيانات مستخدمي Microsoft Office
"كشفت تقارير تقنية عن حملة تجسس روسية تستغل ثغرات في أجهزة الراوتر القديمة لسرقة بيانات المصادقة الخاصة بمستخدمي Microsoft Office. الهجوم الذي أدارته مجموعة Forest Blizzard لا يتطلب برمجيات خبيثة ويستهدف آلاف الشبكات حول العالم."
مقدمة تحليلية
في عملية تجسس رقمي اتسمت بالبساطة المضللة والفاعلية العالية، تمكنت مجموعة القرصنة الروسية 'Forest Blizzard'، المعروفة أيضاً بـ APT28 أو Fancy Bear، من اختراق أكثر من 18 ألف شبكة عبر استهداف ثغرات معروفة في أجهزة التوجيه (Routers) القديمة. بدلاً من استخدام برمجيات خبيثة معقدة، اعتمد المهاجمون على التلاعب بإعدادات الـ DNS، مما سمح لهم باعتراض رموز المصادقة (Authentication Tokens) الخاصة بمستخدمي Microsoft Office، وهو ما يفتح باب الوصول إلى بيانات حساسة دون الحاجة إلى كلمات مرور أو رموز التحقق الثنائي.
تعد هذه الحملة التي بلغت ذروتها في ديسمبر 2025 تحولاً استراتيجياً في أساليب التجسس السيبراني، حيث ابتعد المهاجمون عن التكنولوجيا المعقدة لصالح 'الهجمات الكلاسيكية' التي تستهدف البنية التحتية المهملة. لم تقتصر الأضرار على الأفراد، بل طالت وكالات حكومية ووزارات خارجية وجهات إنفاذ قانون، مما يضع أمن الشبكات المنزلية والمكتبية الصغيرة (SOHO) تحت مجهر التهديد المباشر للأمن القومي.
التحليل التقني
تعتمد هذه العملية على تقنية 'Adversary-in-the-Middle' (AiTM) ضد اتصالات TLS الخاصة بخدمات مايكروسوفت. يتم الهجوم عبر الخطوات التقنية التالية:
- استغلال الثغرات: يستهدف المهاجمون أجهزة راوتر قديمة من نوع Mikrotik وTP-Link، وتحديداً تلك التي لم تتلق تحديثات أمنية منذ فترة طويلة أو التي وصلت لنهاية عمرها الافتراضي (End-of-Life).
- اختطاف DNS: يتم تعديل إعدادات الـ DNS في الراوتر ليشير إلى خوادم وسيطة (VPS) يسيطر عليها المخترقون بدلاً من مزود خدمة الإنترنت.
- اعتراض الرموز: بمجرد توجيه حركة المرور عبر خوادم المخترقين، يتم اعتراض رموز OAuth المميزة التي تُرسل بعد نجاح عملية تسجيل الدخول والمصادقة الثنائية (MFA).
- عدم استخدام برمجيات خبيثة: سر النجاح هنا هو 'عدم الأثر'، حيث لا توجد برمجيات (Malware) تُزرع داخل الجهاز، مما يجعل اكتشاف الاختراق عبر أدوات الحماية التقليدية أمراً شبه مستحيل.
السياق وتأثير السوق
تاريخياً، ارتبطت مجموعة APT28 بعمليات ذات أبعاد سياسية كبرى، بما في ذلك التدخل في انتخابات الولايات المتحدة عام 2016. إن الانتقال إلى استهداف أجهزة الراوتر يمثل استجابة مباشرة للتقارير الأمنية السابقة؛ فعندما كشف المركز الوطني للأمن السيبراني (NCSC) عن استخدامهم للبرمجيات الخبيثة في أغسطس 2025، قامت المجموعة فوراً بتغيير تكتيكاتها واعتماد أسلوب التعديل النظامي لإعدادات DNS على نطاق واسع.
هذا التهديد دفع لجنة الاتصالات الفيدرالية (FCC) في الولايات المتحدة لاتخاذ قرار حاسم في مارس 2026 بوقف التصديق على أي أجهزة راوتر للاستهلاك العام لا تُصنع داخل الولايات المتحدة، في خطوة غير مسبوقة تهدف لتقليص المخاطر الأمنية المرتبطة بالمكونات الخارجية التي تعتبرها السلطات ثغرة تهدد البنية التحتية الحساسة.
رؤية Glitch4Techs
ترى Glitch4Techs أن هذا الاختراق يمثل جرس إنذار تقني يتجاوز حدود الشركات المصنعة. المشكلة الجوهرية ليست في نوع الراوتر بقدر ما هي في 'عقلية التحديث'. معظم المستخدمين والشركات الصغيرة ينسون تحديث أجهزة الشبكة (Firmware) رغم أنها خط الدفاع الأول. إن الاعتماد على أنظمة غير مدعومة هو دعوة مفتوحة للمهاجمين.
نحن نتوقع أن نرى تحولاً في كيفية إدارة الشركات لشبكات العمل عن بُعد، مع فرض بروتوكولات صارمة على أجهزة التوجيه المستخدمة من قبل الموظفين. الأمن السيبراني لم يعد يتوقف عند حماية الحاسوب أو الهاتف المحمول؛ الراوتر في منزلك هو 'حارس البوابة' الذي إذا سقط، سقطت معه كافة التراخيص والرموز التي تمنحك الوصول لبياناتك الأكثر سرية. التوصية الحالية هي استبدال الأجهزة القديمة التي لا تتلقى تحديثات، وتفعيل التشفير الإضافي (مثل VPN) لكسر قدرة المخترقين على قراءة حركة مرور الـ DNS حتى في حال نجاحهم في الوصول للراوتر.
كن أول من يعرف بمستقبل التقنية
أهم الأخبار والتحليلات التقنية مباشرة في بريدك.