تمكنت جهات فاعلة روسية مدعومة من الدولة من اختراق أكثر من 18 ألف جهاز توجيه (راوتر) في ما يزيد عن 120 دولة، وذلك في إطار حملة تجسس واسعة النطاق قبل أن يتم إحباطها مؤخراً. وقد سمح هذا الاختراق بالوصول إلى شبكات حساسة واستخراج معلومات سرية.
ويُعرف الفريق وراء الهجوم باسم “Forest Blizzard”، وهو أيضاً مرادف لمجموعات مثل APT28 وFancy Bear. استغل المهاجمون ثغرات أمنية معروفة لسرقة بيانات اعتماد الدخول لآلاف أجهزة TP-Link حول العالم. وتفيد وزارة العدل الأمريكية أن المجموعة، التي تُنسب إلى مديرية الاستخبارات الرئيسية في هيئة الأركان العامة الروسية (GRU)، قامت بالسيطرة على إعدادات نظام أسماء النطاقات (DNS) وسرقة بيانات اعتماد إضافية ورموز عبر توجيه حركة المرور.
شبكة تجسس واسعة النطاق
أسس المهاجمون شبكة تجسس واسعة بتسللهم إلى أنظمة أكثر من 200 منظمة، مما أثر على ما لا يقل عن 5000 جهاز استهلاكي، حسبما ذكر تقرير لشركة مايكروسوفت لاستخبارات التهديدات. وقد أطلقت عملية مشتركة لتفكيك هذه الشبكة بقيادة مكتب التحقيقات الفيدرالي (FBI) بالتعاون مع مدعين فيدراليين وقسم الأمن السيبراني الوطني، ومختبرات Black Lotus التابعة لشركة Lumen، وMicrosoft Threat Intelligence.
تضمنت العملية سلسلة من الأوامر المصممة لإعادة ضبط إعدادات DNS ومنع المجموعة من استغلال نقاط الوصول الأولية بشكل أكبر. صرح بريت ليذرمان، المساعد في قسم الأمن السيبراني بمكتب التحقيقات الفيدرالي، قائلاً: “كان الممثلون التابعون للـ GRU قد اخترقوا أجهزة التوجيه في الولايات المتحدة وحول العالم، واستغلوها للتجسس. ونظراً لحجم هذا التهديد، لم يكن مجرد الإنذار كافياً. وقد نفذ مكتب التحقيقات الفيدرالي عملية مصرح بها لتعزيز أمن أجهزة التوجيه المخترقة عبر الولايات المتحدة.”
شملت حملة Forest Blizzard الواسعة هجمات “من بيننا” (adversary-in-the-middle) ضد نطاقات تحاكي الخدمات الشرعية، مثل Microsoft Outlook Web Access. مكّن هذا المهاجمين من اعتراض كلمات المرور، ورموز OAuth، وبيانات الاعتماد لحسابات Microsoft، وخدمات أخرى، ومحتويات مستضافة على السحابة.
وجدت Microsoft أن أصولها أو خدماتها التي تملكها الشركة لم تتعرض للاختراق كجزء من هذه الحملة. استهدفت المجموعة بشكل انتهازي أجهزة الشبكة الطرفية، مثل أجهزة TP-Link وMicroTik، قبل تحديد أهداف حساسة ذات أهمية استخباراتية للحكومة الروسية، بما في ذلك أفراد في القطاعات العسكرية والحكومية والبنية التحتية الحيوية.
الضحايا والتداعيات
بحسب الباحثين، تشمل قائمة الضحايا وكالات حكومية ومنظمات في قطاعات تكنولوجيا المعلومات والاتصالات والطاقة. وحددت شركة Lumen ضحايا آخرين مرتبطين بحكومة أفغانستان وجهات أخرى مرتبطة بالشؤون الخارجية ووكالات إنفاذ القانون الوطنية في شمال أفريقيا وأمريكا الوسطى وجنوب شرق آسيا. كما تأثرت منصة للهوية الوطنية في دولة أوروبية لم يُكشف عن اسمها، وفقاً للشركة.
لم تجد Lumen دليلاً على اختراق أي وكالات حكومية أمريكية كجزء من هذه الحملة، لكنها حذرت من أن هذا النشاط يمثل تهديداً خطيراً للأمن القومي. وبينما لا يزال النطاق الكامل لإنجازات Forest Blizzard قيد التحقيق، يثق الباحثون في أن تسرب المعلومات الحساسة قد توقف.
قال داني أداميتيس، مهندس بارز في Black Lotus Labs: “لقد توقفت الحملة. لقد لاحظنا تراجعاً تدريجياً في الاتصالات المرتبطة بهذه البنية التحتية على مدى الأسابيع القليلة الماضية”.
أشارت Lumen إلى أنها لاحظت استغلالاً واسع النطاق لأجهزة التوجيه وإعادة توجيه DNS بدءاً من أغسطس، بعد يوم واحد من نشر المركز الوطني للأمن السيبراني في المملكة المتحدة تقريراً تحليلياً عن أداة استخدمت لسرقة بيانات اعتماد Microsoft Office. وفي نفس اليوم، نشر المركز البريطاني تفاصيل عن حملة اختطاف DNS التي شنتها APT28، بما في ذلك مؤشرات على الاختراق.
قام قسم العدل ومكتب التحقيقات الفيدرالي، بناءً على أمر قضائي، بمعالجة أجهزة التوجيه المخترقة في الولايات المتحدة بعد جمع أدلة حول نشاط Forest Blizzard. وأكد مكتب التحقيقات الفيدرالي أن GRU الروسية استخدمت أجهزة توجيه مملوكة لأمريكيين في أكثر من 23 ولاية لسرقة معلومات حكومية وعسكرية وبنية تحتية حيوية حساسة.