أمازون تكشف حملة تجسس إلكترونية روسية استمرت سنوات استهدفت البنية التحتية للطاقة والسحابة

كشفت أمازون عن حملة تجسس إلكتروني روسية استمرت لسنوات، استهدفت البنية التحتية الحيوية في الدول الغربية وشملت قطاعات الطاقة والمؤسسات التي تعتمد على خدمات سحابية. الحملة، التي امتدت من 2021 إلى 2025، نسبت إلى مجموعة APT44 الروسية المعروفة أيضاً بـ FROZENBARENTS.

تشير التفاصيل التي أعلنت عنها أمازون إلى استراتيجية جديدة تعتمدها الجهات الهجومية، حيث تم استغلال الأجهزة الطرفية للشبكات ذات الإعدادات الخاطئة والواجهات الإدارية المكشوفة، بدلاً من الاعتماد بشكل كبير على استغلال الثغرات المعروفة أو الحديثة (zero-day). هذا التحول يعكس سعي المهاجمين لتقليل المخاطر وتكاليف التشغيل مع تحقيق أهدافهم.

حملة التجسس الروسية تستهدف البنية التحتية الغربية

أوضحت أمازون أن التحقيق كشف عن استهداف متواصل لمنظمات تعمل في قطاع الطاقة في دول غربية، بالإضافة إلى مقدمي خدمات البنية التحتية الحيوية في أمريكا الشمالية وأوروبا. كما شملت الهجمات كيانات تعتمد على البنية التحتية السحابية لشبكاتها.

وبحسب سي جي موسيس، كبير مسؤولي أمن المعلومات في أمازون، فإن هذا التكيف التكتيكي يسمح للمهاجمين بتحقيق نفس النتائج التشغيلية، مثل اختراق بيانات الاعتماد والتحرك داخل الأنظمة، مع تقليل تعرضهم وتكاليفهم.

استراتيجيات الهجوم والتطورات

لعبت الثغرات ونقاط الضعف في أجهزة الشبكات دوراً محورياً في هذه الحملة. تم رصد استغلال لثغرات في أجهزة WatchGuard Firebox و XTM بين عامي 2021 و2022. في المقابل، حفلت الفترة بين 2022 و2023 باستغلال ثغرات في Atlassian Confluence.

ومع استمرار استهداف الأجهزة الطرفية ذات الإعدادات الخاطئة، شهد عام 2024 استغلال ثغرة في Veeam (CVE-2023-27532). وقد استمر التركيز على استغلال الأجهزة الطرفية طوال عام 2025.

الأهداف والنتائج المترتبة

تركزت الهجمات على أجهزة التوجيه (routers) ومعدات إدارة الشبكات، وبوابات الوصول عن بعد (VPN concentrators)، ومنصات التعاون مثل أنظمة إدارة المشاريع السحابية. كانت هذه الجهود تهدف إلى جمع بيانات الاعتماد على نطاق واسع.

تسمح القدرة على وضع المهاجمين أنفسهم في موقع استراتيجي على حافة الشبكة باعتراض المعلومات الحساسة أثناء انتقالها. كما رصدت تل متري بيانات محاولات منسقة لاستهداف أجهزة الشبكات الطرفية التي تم تكوينها بشكل خاطئ والمستضافة على البنية التحتية لخدمات أمازون ويب (AWS).

وأضاف موسيس أن تحليل اتصالات الشبكة أظهر وجود عناوين IP تحت سيطرة المهاجمين تقوم بإنشاء اتصالات مستمرة مع أجهزة Amazon EC2 المخترقة التي تشغل برامج الأجهزة الشبكية للعملاء. وكشف التحليل عن اتصالات مستمرة تتفق مع الوصول التفاعلي واسترجاع البيانات عبر عدة مثيلات متأثرة.

تكرار بيانات الاعتماد والانتشار

رصدت أمازون أيضاً هجمات تكرار بيانات الاعتماد ضد الخدمات عبر الإنترنت للمؤسسات الضحية، كجزء من محاولات الحصول على موطئ قدم أعمق داخل الشبكات المستهدفة. وعلى الرغم من أن هذه المحاولات قُيّمت على أنها غير ناجحة، إلا أنها تدعم الفرضية القائلة بأن المهاجمين يسعون لجمع بيانات الاعتماد من البنية التحتية للشبكة المعرضة للخطر لاستخدامها في هجمات لاحقة.

تشمل سلسلة الهجوم: اختراق الجهاز الطرفي للشبكة، استغلال قدرات التقاط الحزم، جمع بيانات الاعتماد، إعادة استخدامها ضد الخدمات عبر الإنترنت، وأخيراً تأسيس وصول مستمر للتحرك داخل الشبكة.

نطاق الاستهداف والتداعيات

استهدفت عمليات تكرار بيانات الاعتماد مزودي خدمات الطاقة، التكنولوجيا، والاتصالات في أمريكا الشمالية، أوروبا، والشرق الأوسط. وأكد موسيس أن استهداف قطاع الطاقة وسلسلة التوريد المرتبطة به، بما في ذلك المشغلين ومقدمي الخدمات، يظهر تركيزاً مستمراً.

من المثير للاهتمام أن هذه المجموعة تشترك في بعض البنية التحتية مع مجموعة أخرى تُعرف بـ Curly COMrades، والتي يُعتقد أنها تعمل لدعم المصالح الروسية منذ أواخر عام 2023. وهذا يطرح احتمال أن تكون المجموعتان جزءاً من عمليات متكاملة في حملة أوسع تقودها GRU.

وأضاف موسيس أن هذا التقسيم التشغيلي المحتمل، حيث تركز مجموعة على الوصول إلى الشبكة والتهيئة الأولية، بينما تتعامل أخرى مع الثبات على المضيف والتخفي، يتوافق مع أنماط العمليات الروسية التي تعتمد على مجموعات فرعية متخصصة لدعم أهداف الحملة.

أعلنت أمازون أنها قامت بإبلاغ العملاء المتأثرين وتعطيل عمليات مهددة مستهدفة خدماتها السحابية. وتوصي المؤسسات بمراجعة جميع أجهزة الشبكات الطرفية، وتنفيذ مصادقة قوية، ومراقبة محاولات المصادقة من مواقع جغرافية غير متوقعة، والانتباه لهجمات تكرار بيانات الاعتماد.