كشفت حادثة أمنية تشغيلية خطيرة لمجموعة القرصنة الروسية Fancy Bear عن حملة تجسس نشطة تستهدف المنظمات الحكومية والعسكرية في أوروبا، مما وفر للباحثين الأمنيين نظرة استثنائية وغير مسبوقة على عملياتها. تأتي هذه الأنباء في وقت يتزايد فيه التركيز على الأمن السيبراني على المستوى الإقليمي والدولي.
نشرت شركة استخبارات التهديدات “Hunt.io” في 11 مارس 2026 نتائج تتعلق بحملة تتتبعها تحت اسم “Operation Roundish”، وذلك بعد اكتشاف مجلد مفتوح يتم فحصه منذ 13 يناير 2026. تُعرف Fancy Bear أيضاً بأسماء مثل APT28 و Forest Blizzard و Sednit، وتقدر عدة جهات أمنية دولية أنها تتبع لوحدة الاستخبارات العسكرية الروسية GRU.
ما بدأ كحملة استهداف لبريد الويب المركزة، استمرت بهدوء لأكثر من عام قبل أن تكشف المجموعة عن خادمها عن طريق الخطأ. وقد جاء هذا الكشف بسبب خطأ في خادم افتراضي خاص (VPS) تابع لـ NameCheap، يقع في الولايات المتحدة ويستخدم عنوان IP 203.161.50.145.
يذكر أن هذا الخادم نفسه قد تم ربطه علناً بـ Fancy Bear من قبل مركز الاستجابة لحوادث الحاسوب في أوكرانيا (CERT-UA) في سبتمبر 2024، ومع ذلك، واصلت المجموعة العمل من خلاله لأكثر من 500 يوم دون تغيير بنيته التحتية.
تفاصيل الخرق الأمني لحملة Fancy Bear
داخل المجلد المفتوح، اكتشف الباحثون ما يقرب من 2800 رسالة بريد إلكتروني حكومية وعسكرية تم استخلاصها، بالإضافة إلى 240 مجموعة من بيانات الاعتماد المسروقة، بما في ذلك كلمات المرور وأسرار التحقق بخطوتين (2FA) بنظام TOTP. كما تم العثور على 140 قاعدة إعادة توجيه صامت للبريد الإلكتروني، و 11500 عنوان اتصال تم جمعه من دفاتر عناوين الضحايا عبر عدة دول مستهدفة.
اكتشف محللو “Ctrl-Alt-Intel” مجلداً مفتوحاً ثانياً على الخادم نفسه، لم يتم التقاطه في أرشيف Hunt.io لشهر يناير 2026. يحتوي هذا المجلد على الكود المصدري الكامل لأنظمة التحكم والقيادة (C2) الخاصة بـ Fancy Bear، وحمولات JavaScript إضافية، وسجلات لمراقبة الحملة، وبيانات مستخلصة قدمت صورة شبه كاملة للعملية بأكملها.
شمل الضحايا أوكرانيا، ورومانيا، وبلغاريا، واليونان، وصربيا، ومقدونيا الشمالية. وتم استعادة عناوين بريد إلكتروني مرتبطة بأربع دول أعضاء في حلف الناتو، بما في ذلك البنية التحتية لحلف شمال الأطلسي نفسه، مباشرة من بيانات الاتصال المسروقة.
الاستهداف الجيوسياسي وتداعياته
كان نمط الاستهداف الجيوسياسي متعمداً بوضوح. شكلت النيابات الإقليمية في أوكرانيا، والتي يُحتمل ارتباطها بتحقيقات جرائم الحرب، أكبر مجموعة من الضحايا. كما تم اختراق سلاح الجو الروماني، وهيئة الأركان العامة اليونانية للدفاع الوطني، ووزارة الدفاع الصربية، وكيانات حكومية بلغارية.
وقعت رومانيا وبلغاريا واليونان اتفاقية للتنقل العسكري في يوليو 2024، وكانت اليونان تشارك في تدريب طياري مقاتلات F-16 الأوكرانية. تشير هذه الحقائق بقوة إلى اختيار الأهداف بناءً على دوافع استخباراتية وليست مجرد اختراقات عشوائية.
ثغرة Fancy Bear في تجاوز التحقق بخطوتين (2FA)
كان الاكتشاف الأكثر إثارة للقلق تقنياً في هذه الحملة هو طريقة Fancy Bear في سرقة أسرار التحقق بخطوتين بنظام TOTP بصمت، من ضحايا كانوا يعتقدون أن حساباتهم محمية بالكامل. قامت المجموعة بنشر وحدة JavaScript تسمى keyTwoAuth.js، والتي عملت بالكامل داخل جلسة بريد الويب Roundcube الخاصة بالضحية بعد المصادقة عليها، دون الحاجة إلى نقرة إضافية أو تسجيل دخول منفصل من الهدف.
بمجرد تفعيل حمولة XSS، أرسلت keyTwoAuth.js طلباً HTTP إلى صفحة إعدادات 2FA الخاصة بـ Roundcube لإضافته twofactorgauthenticator. ثم قامت بتحليل HTML المُ returned، واستخرجت خمسة حقول كلمة مرور مخفية – بما في ذلك سر TOTP وأربعة رموز استرداد – وقامت بتشفيرها بواسطة base64، وقامت بتسليمها بهدوء إلى خادم C2 الخاص بـ Fancy Bear على zhblz.com باستخدام بادئة السجل ktfu.
بامتلاك كلمة مرور الضحية وسر TOTP، كان بإمكان Fancy Bear إنشاء رموز مصادقة صالحة في أي وقت مستقبلي، متجاوزة بذلك الحماية ثنائية العوامل بالكامل دون الحاجة إلى الوصول المادي إلى جهاز الضحية.
استعادت “Ctrl-Alt-Intel” 516 سجل تحت البادئة ktfu عبر 108 عناوين ضحايا فريدة. من بينها، سُرقت أسرار TOTP حقيقية من 256 حساباً، مما أثر على أهداف في سلاح الجو الروماني، وهيئة الأركان اليونانية العامة للدفاع والطيران، ووكالة استرداد الأصول الأوكرانية، ووزارة الدفاع الصربية. أما الـ 260 حساباً المتبقية، فقد أعادت “nokey”، مما يعني أنها لم تكن مفعلة بأي 2FA على الإطلاق، مما جعل الوصول إليها أكثر سهولة.
يُنصح المنظمات التي تشغل Roundcube مع الإضافة twofactorgauthenticator بالتعامل مع جميع أسرار TOTP الحالية على أنها ربما تم اختراقها، وتغييرها دون تأخير. يُنصح المسؤولون بالتدقيق في قواعد تصفية البريد الإلكتروني Sieve بحثاً عن أي إدخالات إعادة توجيه غير مصرح بها، خاصة تلك المسماة “SystemProtect” أو “SystemHealthChek”، وحظر جميع الاتصالات بعنوان IP للخادم C2 203.161.50.145 والنطاق zhblz.com.
يعد تطبيق الإصلاح لـ Roundcube CVE-2023-43770 ومراقبة البنية التحتية للبريد الإلكتروني بحثاً عن علامات حقن XSS، من أهم الخطوات الدفاعية التي يمكن لأي منظمة متأثرة اتخاذها حالياً.