كشفت تحقيقات أمنية مؤخراً عن حملة تصيد احتيالي واسعة النطاق تستهدف مستخدمي خدمة البريد الإلكتروني والأخبار الأوكرانية الشهيرة UKR.NET.
تُنسب هذه الهجمات إلى مجموعة BlueDelta، وهي مجموعة قرصنة روسية ذات دوافع حكومية، تُعرف أيضاً بأسماء مثل APT28 و Fancy Bear و Forest Blizzard.
تنشط هذه المجموعة منذ أكثر من عقد من الزمان، وتركز جهودها على سرقة بيانات اعتماد الدخول من جهات حكومية، ومقاولين دفاعيين، وأهداف حساسة أخرى، لدعم احتياجات استخبارات الجيش الروسي.
على مدار الفترة ما بين يونيو 2024 وأبريل 2025، قام منفذو الهجمات بإنشاء صفحات تسجيل دخول وهمية لـ UKR.NET، مصممة خصيصاً لسرقة أسماء المستخدمين، وكلمات المرور، ورموز المصادقة الثنائية الخاصة بالمستخدمين الأوكرانيين.
آلية الاحتيال لـ UKR.NET
تم استضافة هذه الصفحات الوهمية على خدمات ويب مجانية مثل Mocky و DNS EXIT، مما جعل من الصعب تتبعها.
قام المهاجمون بإرسال ملفات PDF إلى الضحايا تحتوي على روابط تؤدي إلى بوابات تسجيل الدخول المزيفة هذه.
ساعدت هذه الطريقة في تجنب اكتشاف أنظمة أمن البريد الإلكتروني الآلية وأدوات التحليل التي تفحص المحتوى الضار.
وقد أشار محللو Recorded Future إلى أن مجموعة BlueDelta قامت بتغيير أساليبها بعد أن قامت جهات إنفاذ القانون بتعطيل بنيتها التحتية السابقة في أوائل عام 2024.
وبدلاً من استخدام أجهزة التوجيه المخترقة كما كان الحال سابقاً، تحولت المجموعة إلى منصات نفق الوكيل (proxy tunneling) مثل ngrok و Serveo.
مكنت هذه الخدمات المجموعة من إخفاء المواقع الفعلية لخوادمها أثناء التقاط بيانات اعتماد المستخدمين.
تُظهر هذه الحملة الجهود المستمرة التي تبذلها أجهزة الاستخبارات الروسية لجمع معلومات حساسة من المستخدمين الأوكرانيين في ظل الصراع الدائر.
تفاصيل فنية لآلية سرقة بيانات الاعتماد
استخدمت صفحات تسجيل الدخول الوهمية شفرة JavaScript مخصصة لسرقة معلومات المستخدم وإرسالها إلى خوادم يتحكم بها المهاجم.
نجحت الشفرة في التقاط بيانات اعتماد الدخول وإعادة توجيه تحديات CAPTCHA إلى نطاقات ذات أرقام منافذ غير عادية، مثل `kfghjerrlknsm[.]line[.]pm:11962`.
كما أضاف المهاجمون شفرة لتسجيل عناوين IP للضحايا باستخدام HTTPBin، وهي خدمة API مجانية.
في الإصدارات اللاحقة، قامت BlueDelta بتحديث شفرة JavaScript لتعطيل صفحة تحذير المتصفح الخاصة بـ ngrok.
تمت إضافة السطر البرمجي `req.setRequestHeader(“ngrok-skip-browser-warning”, “1”);` لمنع الضحايا من رؤية تنبيهات الأمان عند الاتصال عبر خدمة الوكيل.
وهذا جعل الصفحات المزيفة تبدو أكثر شرعية وقلل من احتمالية ملاحظة الضحايا لأي شيء مريب.
قامت المجموعة ببناء بنية تحتية متعددة المستويات تصل إلى ست طبقات منفصلة بين الضحية والخادم النهائي.
استخدمت الطبقة الأولى خدمات الاختصار للروابط مثل TinyURL و Linkcuts، بينما استضافت الطبقة الثانية صفحات سرقة بيانات الاعتماد على Mocky.
تضمنت الطبقة الثالثة نطاقات نفق ngrok التي اتصلت بخوادم مخصصة في فرنسا وكندا.
هذا الإعداد المعقد جعل من الصعب على فرق الأمن تتبع المهاجمين وإيقاف عملياتهم.
لاحظ باحثو Recorded Future أكثر من 42 سلسلة مختلفة لسرقة بيانات الاعتماد خلال فترة الحملة، مما يدل على حجم ومثابرة هذا التهديد.