- تقوم Forest Blizzard (APT28) باختطاف أجهزة SOHO للتجسس
- يقوم المهاجمون بإعادة توجيه حركة مرور DNS لتمكين المراقبة وهجمات AiTM
- تؤثر الحملة على أكثر من 200 مؤسسة عبر قطاعات الحكومة وتكنولوجيا المعلومات والاتصالات والطاقة
ادعى الخبراء أن جهات التهديد الروسية التي ترعاها الدولة تستهدف أجهزة المكاتب الصغيرة والمكاتب المنزلية (SOHO) ضعيفة الحماية وتستخدمها للتمحور في بيئات المؤسسات والشركات.
حذر تقرير صادر عن Microsoft Threat Intelligence من هجوم واسع النطاق شنته شركة Forest Blizzard (AKA APT28) يستهدف أجهزة توجيه TP-Link.
وقالت مايكروسوفت إن أكثر من 200 منظمة وأكثر من 5000 جهاز استهلاكي تأثرت حتى الآن بالهجوم، مشيرة إلى أن المجموعة مهتمة في الغالب بالتجسس الإلكتروني وجمع المعلومات الاستخبارية.
يستمر المقال أدناه
ماذا حدث؟
يبدو أن الحملة بدأت في أغسطس 2025، وبدلاً من استهداف شبكات الشركات بشكل مباشر، ركزت Forest Blizzard على الأجهزة المتطورة مثل أجهزة التوجيه المنزلية، والتي غالبًا ما تفتقر إلى ضوابط أمنية ورقابة قوية موجودة في بيئات المؤسسات.
ولم تذكر مايكروسوفت صراحة كيف يقتحم المهاجمون نقاط النهاية هذه، ولكنها تشير إلى أنه قد يكون لديهم كلمات مرور افتراضية أو سهلة الاختراق أو ثغرات أمنية معروفة ولكن غير مُصححة يمكن استغلالها بسهولة.
بمجرد الدخول، يقومون بتغيير تكوين الأجهزة لتوجيه حركة مرور نظام اسم المجال (DNS) من خلال البنية التحتية التي يتحكمون فيها، مما يسمح لهم بمراقبة، وحتى التأثير، على كيفية قيام الأجهزة المصابة بتحليل أسماء النطاقات.
ومن خلال العمل على هذا المستوى الأولي، اكتسبت APT28 رؤية واسعة النطاق لنشاط الشبكة عبر بيئات المستهلكين والمؤسسات. وهذا لا يسمح لهم بإجراء مراقبة سلبية على نطاق واسع فحسب، بل يمهد الطريق أيضًا لهجمات لاحقة أكثر استهدافًا ضد المنظمات ذات القيمة الأعلى.
يعمل DNS مثل دفتر عناوين الإنترنت. لذلك، بدلاً من إرسال الطلبات إلى خوادم DNS الشرعية، تتم في الواقع إعادة توجيه الأجهزة المخترقة إلى خوادم تحت سيطرة المهاجمين. وفي الحالات الأكثر استهدافًا، قد تتلاعب الجهات الفاعلة في التهديد باستجابات DNS لإعادة توجيه الضحايا إلى إصدارات مزيفة من الخدمات المشروعة، مما يؤدي إلى ما يُعرف بهجوم Adversary-in-the-Middle (AitM).
وهذا بدوره يسمح لعملاء APT28 باعتراض البيانات أثناء انتقالها بين المستخدم والخدمة الحقيقية.
إذا تجاهل الضحية تحذيرات المتصفح بشأن شهادات الأمان غير الصالحة (وهو ما يفعله الكثير منا في الحقيقة)، فقد يتمكن المهاجمون من التقاط معلومات حساسة، بما في ذلك بيانات اعتماد تسجيل الدخول ورسائل البريد الإلكتروني.
من هو المستهدف؟
وشددت مايكروسوفت على أن الحملة تؤثر على مجموعة واسعة من القطاعات، بما في ذلك الوكالات الحكومية وتكنولوجيا المعلومات والاتصالات والطاقة. في حين تم اختراق الآلاف من الأجهزة المنزلية والمكاتب الصغيرة، يبدو أن Forest Blizzard تستخدم الهجمات اللاحقة الأكثر تدخلاً بشكل انتقائي، مع التركيز على الأهداف ذات القيمة العالية.
إنهم يستخدمون هجمات AitM لاعتراض رسائل البريد الإلكتروني والبيانات السحابية، لكن العدد الهائل من الأجهزة المخترقة يمنحهم مساحة كبيرة للمناورة، وربما لحملات واسعة النطاق في المستقبل.
حذرت Microsoft من أنه “على الرغم من أن عدد المؤسسات المستهدفة خصيصًا لـ TLS AiTM ليس سوى مجموعة فرعية من الشبكات التي تحتوي على أجهزة SOHO معرضة للخطر، فإن Microsoft Threat Intelligence تقدر أن الوصول الواسع لممثل التهديد يمكن أن يتيح هجمات AiTM واسعة النطاق، والتي قد تشمل اعتراض حركة المرور النشطة”.
“إن استهداف أجهزة SOHO ليس تكتيكًا أو تقنية أو إجراءً جديدًا (TTP) للجهات الفاعلة في الاستخبارات العسكرية الروسية، ولكن هذه هي المرة الأولى التي تلاحظ فيها Microsoft أن Forest Blizzard تستخدم اختطاف DNS على نطاق واسع لدعم AiTM لاتصالات TLS بعد استغلال الأجهزة المتطورة.”
للدفاع ضد اختطاف DNS، تنصح Microsoft المؤسسات بفرض خوادم DNS الموثوقة، وحظر المجالات الضارة، والاحتفاظ بسجلات DNS، وتجنب أجهزة SOHO في شبكات الشركة.
بالنسبة لـ AiTM وسرقة بيانات الاعتماد، فإنهم يوصون بإدارة الهوية المركزية، وتمكين تسجيل الدخول الموحد، وفرض المصادقة متعددة العوامل (MFA) ومفاتيح المرور، وتطبيق سياسات الوصول المشروط، ومراقبة عمليات تسجيل الدخول المحفوفة بالمخاطر من خلال تقييم الوصول المستمر. يجب على المؤسسات تسجيل نشاط الهوية، وحماية الحسابات المميزة باستخدام MFA المقاوم للتصيد الاحتيالي، واتباع أفضل ممارسات الاستجابة للحوادث من Microsoft للتعافي من اختراقات الهوية النظامية. يوصى أيضًا بحماية الشبكة عبر Microsoft Defender for Endpoint لحظر المواقع الضارة.
أفضل برامج مكافحة الفيروسات لجميع الميزانيات
اتبع TechRadar على أخبار جوجل و أضفنا كمصدر مفضل للحصول على أخبار الخبراء والمراجعات والآراء في خلاصاتك. تأكد من النقر على زر المتابعة!
وبالطبع يمكنك أيضًا اتبع TechRadar على TikTok للحصول على الأخبار والمراجعات وفتح الصناديق في شكل فيديو، والحصول على تحديثات منتظمة منا على واتساب أيضاً.
التعليقات