كشفت تقارير حديثة صادرة عن شركة أمازون، أن مجموعات قرصنة مرتبطة بمديرية المخابرات الرئيسية الروسية (GRU) تستهدف البنية التحتية الغربية الحيوية، مع تركيز خاص على قطاع الطاقة، في حملة مستمرة منذ عام 2021. يهدف هذا الاستهداف إلى زعزعة استقرار قطاعات رئيسية في الاقتصادات الغربية.
وقد عملت هذه المجموعات على تبسيط عملياتها في وقت سابق من هذا العام، حيث تحولت من استغلال الثغرات الأمنية إلى التركيز على الأجهزة الشبكية الطرفية ذات التكوينات الخاطئة المستضافة على منصة أمازون ويب سيرفيسز (AWS) كوسيلة أساسية للدخول الأولي، بحسب ما أفاد به سي جي موسيس، كبير مسؤولي أمن المعلومات في أمازون للأمن المتكامل.
هجمات GRU الروسية على البنية التحتية في الغرب
أشار الباحثون إلى أن البنية التحتية الخبيثة المستخدمة من قبل المهاجمين تتداخل مع العمليات المرتبطة بمجموعة Sandworm، المعروفة أيضاً باسم APT44 و Seashell Blizzard. هذه التفصيلة تعزز الثقة بأن هذه الأنشطة مرتبطة بمديرية المخابرات الرئيسية الروسية (GRU)، مما يشير إلى حملة منظمة ومنسقة.
لم توضح أمازون عدد الهجمات المنسوبة إلى هذه الحملة، أو كيف تغيرت وتيرة النشاط منذ الموجة الأولى للهجمات في عام 2021. إلا أن الشركة أكدت أنها قامت بإخطار العملاء المتأثرين بالاختراقات، وعالجت مثيلات EC2 التي تم اختراقها، وشاركت المعلومات الاستخباراتية مع الشركاء والبائعين المتأثرين للمساعدة في المزيد من التحقيقات.
تركيز على قطاع الطاقة
ووفقاً لتقرير أمازون، تواصل مجموعة التهديدات الحكومية الروسية استهداف منظمات غربية متعددة في قطاع الطاقة، بما في ذلك مرافق الكهرباء ومزودو الطاقة ومقدمو خدمات الأمن المدارة المتخصصون في هذا الصناعة. وهذا يدل على استمرارية الاهتمام بقطاع حيوي لأمن الدول.
من جهة أخرى، استهدف المهاجمون أيضاً منصات التعاون، ومستودعات الأكواد المصدرية، والمؤسسات التي تمتلك بنية تحتية شبكية قائمة على السحابة، بالإضافة إلى مقدمي البنية التحتية الحيوية في أمريكا الشمالية وأوروبا، ومقدمي خدمات الاتصالات عبر مناطق متعددة. يتضح من ذلك النطاق الواسع والاهتمام المتعدد القطاعات.
التكتيكات المتغيرة للمهاجمين
تبدأ الهجمات عادةً باختراق جهاز شبكي طرفي للعميل مستضاف على AWS، يتبعه محاولات لالتقاط البيانات العابرة للشبكة بهدف سرقة بيانات الاعتماد وإعادة استخدامها ضد خدمات وبنية تحتية أخرى للمنظمات الضحية، وذلك للحفاظ على الوصول. يعد هذا التكتيك خطيراً لتوسيع نطاق الاختراق.
يؤكد موسيس أن اختراق الأجهزة الشبكية الطرفية المستضافة على AWS لا يعود إلى ضعف في البنية التحتية الخاصة بأمازون، بل إلى الإعداد غير السليم للأجهزة من قبل العملاء. وقد استهدف المهاجمون المرتبطون بـ GRU أجهزة التوجيه للشركات والبنية التحتية الموجهة، والشبكات الخاصة الافتراضية للمؤسسات الكبيرة، وبوابات الوصول عن بعد، وأجهزة إدارة الشبكات.
اعتمدت الحملة في البداية على استغلال الثغرات الأمنية في الفترة من 2021 إلى 2024، بما في ذلك CVE-2022-26318 الذي يؤثر على WatchGuard، و CVE-2021-26084 و CVE-2023-22518 لـ Confluence، و CVE-2023-27532 لـ Veeam، وذلك بحسب الباحثين.
ومع ذلك، تحول الاستهداف إلى الأجهزة الشبكية الطرفية ذات التكوينات الخاطئة هذا العام، مما سمح للمهاجمين بتحقيق نفس الأهداف الاستراتيجية بتكلفة أقل. هذا التحول يعكس مرونة المهاجمين وقدرتهم على التكيف مع التغيرات الأمنية.
قال موسيس في منشور على مدونة الشركة: “بينما استهداف التكوينات الخاطئة للعملاء مستمر منذ عام 2022 على الأقل، حافظ الفاعل على تركيز مستدام على هذا النشاط في عام 2025 مع تقليل الاستثمار في استغلال الثغرات اليوم صفرية واليومية”. وأضاف: “يحقق الفاعل ذلك مع تقليل خطر كشف عملياته بشكل كبير من خلال أنشطة استغلال الثغرات الأمنية الأكثر قابلية للكشف”.
تعد Sandworm واحدة من أبرز مجموعات التهديد المدعومة من قبل الدول في العقد الماضي. تستهدف المجموعة في المقام الأول منظمات حكومية ودفاعية ونقل وطاقة وإعلام ومجتمع مدني في محيط روسيا. وقد استهدفت مراراً الأنظمة والمؤسسات الانتخابية الغربية، بما في ذلك الدول الأعضاء في الناتو. وفي ثلاث مناسبات منفصلة، نجحت المجموعة في استخدام هجوم سيبراني لتعطيل توزيع الكهرباء في أوكرانيا.