تستهدف مجموعة قرصنة ترعاها الدولة الروسية، تُعرف باسم Sandworm، أجهزة الشبكات الطرفية في البنية التحتية الغربية الحيوية منذ عام 2021، مع تكثيف العمليات بشكل ملحوظ خلال عام 2025. تمثل هذه الحملة، التي يُعتقد أنها مرتبطة بمديرية المخابرات الرئيسية (GRU)، تحولاً استراتيجياً في أساليب الهجوم.
بدلاً من التركيز على استغلال ثغرات يوم الصفر، تتجه المجموعة الآن لاستهداف الأجهزة التي تم تكوينها بشكل خاطئ والتي تحتوي على واجهات إدارة مكشوفة. يوفر هذا النهج نتائج مماثلة في الوصول المستمر وسرقة بيانات الاعتماد، بينما يجعل اكتشافها أكثر صعوبة. تستهدف الهجمات بشكل خاص منظمات قطاع الطاقة في أمريكا الشمالية وأوروبا، بالإضافة إلى مزودي البنية التحتية الحيوية الآخرين.
حملة استهداف أجهزة الشبكات الطرفية الروسية
تستهدف عملية القرصنة هذه بشكل أساسي أجهزة التوجيه للشركات، وبوابات الشبكة الخاصة الافتراضية (VPN)، وأجهزة إدارة الشبكات التي تستضيفها منصات سحابية. من خلال استهداف هذه الأجهزة، يضع المهاجمون أنفسهم في موقع يسمح لهم باعتراض بيانات اعتماد المستخدمين المنقولة عبر حركة مرور الشبكة.
تُستخدم هذه البيانات المسروقة لاحقاً للوصول إلى الخدمات عبر الإنترنت والأنظمة الداخلية لمنظمات الضحايا. رصد محللو AWS هذه الحملة من خلال بيانات استخبارات التهديدات الخاصة بهم، حيث لاحظوا هجمات منسقة ضد أجهزة الشبكات الطرفية للعملاء. لم تحدث عمليات الاختراق هذه بسبب عيوب أمنية في AWS، بل بسبب تكوينات العملاء الخاطئة التي تركت واجهات الإدارة مفتوحة على الإنترنت.
أظهر تحليل الشبكة اتصالات مستمرة من عناوين IP التي يتحكم فيها المهاجمون بأجهزة Amazon EC2 المخترقة التي تعمل ببرامج أجهزة الشبكة، مما يشير إلى وصول تفاعلي وجمع مستمر للبيانات. يشير الجدول الزمني للحملة إلى تطور واضح في الأساليب.
تطور أساليب الهجوم
بين عامي 2021 و2022، استغل المهاجمون أجهزة WatchGuard باستخدام ثغرة CVE-2022-26318. وفي الفترة من 2022 إلى 2023، استهدفوا منصات Confluence عبر ثغرات CVE-2021-26084 وCVE-2023-22518. بحلول عام 2024، أصبح استغلال ثغرة Veeam عبر CVE-2023-27532 شائعاً.
طوال عام 2025، حافظ المهاجمون على تركيز مستمر على الأجهزة التي تم تكوينها بشكل خاطئ، مع تقليل استثمارهم في استغلال الثغرات، مما يدل على تحول استراتيجي نحو أهداف أسهل. يعكس هذا التحول فهماً عميقاً لنقاط الضعف في تكوين البنية التحتية الحالية.
عمليات حصاد وإعادة تشغيل بيانات الاعتماد
تستخدم المجموعات المهاجمة قدرات التقاط الحزم لحصد بيانات الاعتماد من أجهزة الشبكات المخترقة. بمجرد وصولهم إلى جهاز شبكة طرفي، يقومون باعتراض حركة مرور المصادقة التي تمر عبره. يشير الفارق الزمني بين اختراق الجهاز ومحاولات إعادة تشغيل بيانات الاعتماد إلى جمع سلبي بدلاً من السرقة النشطة.
تقوم المجموعة بالتقاط بيانات اعتماد المنظمات المستهدفة، وليس مجرد كلمات مرور الجهاز، حيث يقوم المستخدمون بالمصادقة على خدمات مختلفة عبر البنية التحتية المخترقة. بعد جمع بيانات الاعتماد، يقوم المهاجمون بإعادة تشغيلها بشكل منهجي ضد خدمات المنظمات عبر الإنترنت، بما في ذلك منصات التعاون، ومستودعات الكود المصدري، ووحدات تحكم إدارة السحابة.
لاحظ باحثو AWS هذا النمط بشكل متكرر: اختراق الجهاز، يليه محاولات مصادقة باستخدام بيانات الاعتماد المسروقة ضد خدمات الضحية والتطبيقات المؤسسية. أنشأ المهاجمون اتصالات بنقاط نهاية المصادقة عبر قطاعات متعددة، بما في ذلك مرافق الكهرباء، ومزودي الطاقة، ومزودي الأمن المدار، وشركات الاتصالات التي تنتشر في أمريكا الشمالية وأوروبا والشرق الأوسط.
أظهر استغلال WatchGuard النهج التقني للمهاجمين. تظهر حمولة الاستغلال الملتقطة كيف قاموا بتشفير ملفات التكوين المسروقة باستخدام مكتبة تشفير Fernet، واستخراجها عبر TFTP إلى خوادم مرحلية مخترقة، وإزالة الأدلة عن طريق حذف الملفات المؤقتة. تكشف هذه المنهجية عن اهتمام دقيق بالأمن التشغيلي ومكافحة الأدلة الجنائية.