روسيا تستهدف أجهزة التوجيه القديمة لسرقة رموز تسجيل الدخول في مايكروسوفت أوفيس

حملة تجسس روسية تستهدف أجهزة التوجيه القديمة

كشفت شركة مايكروسوفت عن حملة تجسس جديدة تنسبها إلى مجموعة Forest Blizzard التابعة للمخابرات العسكرية الروسية (GRU). تستهدف الحملة أجهزة التوجيه القديمة التي لم تعد تدعمها الشركات المصنعة، بهدف سرقة رموز المصادقة في مايكروسوفت أوفيس.

تفاصيل الحملة

أوضح باحثون في Black Lotus Labs، قسم أمني تابع لشركة Lumen، أن القراصنة استغلوا ثغرات معروفة في أجهزة التوجيه القديمة، مثل أجهزة Mikrotik وTP-Link، لاختراق أكثر من 18 ألف شبكة في ذروة نشاطهم في ديسمبر 2025.

لم يعتمد القراصنة على برامج خبيثة، بل قاموا بتعديل إعدادات DNS لأجهزة التوجيه لتوجيه المستخدمين إلى خوادمهم الخاصة، مما سمح لهم بسرقة رموز المصادقة OAuth دون الحاجة إلى اختراق حسابات المستخدمين بشكل مباشر.

طريقة الهجوم

استخدمت مجموعة Forest Blizzard، المعروفة أيضًا باسم APT28 أو Fancy Bear، تقنية DNS Hijacking لتحويل طلبات المستخدمين إلى خوادم خبيثة. بعد ذلك، تمكنت من اعتراض أي رمز مصادقة يتم إرساله عبر الشبكة المحلية، حتى بعد اجتياز المستخدمين لعملية المصادقة الثنائية.

« الجميع يبحث عن برامج خبيثة متطورة، لكن هؤلاء القراصنة استخدموا طريقة قديمة وغير معقدة لكنها فعالة »، قال ريان إنجليش، مهندس أمن في Black Lotus Labs.

الضحايا المستهدفون

ركزت الحملة بشكل أساسي على الوكالات الحكومية، بما في ذلك وزارات الخارجية، أجهزة إنفاذ القانون، ومزودي البريد الإلكتروني من الدرجة الثالثة. كما شملت 5 آلاف جهاز مستهلك تم اختراقها دون علم أصحابها.

تحذيرات من السلطات البريطانية

أصدرت المركز الوطني للأمن السيبراني في المملكة المتحدة (NCSC) تحذيرًا جديدًا بشأن استخدام القراصنة الروس لأجهزة التوجيه لشن هجمات DNS Hijacking. أوضحت السلطات أن هذه التقنية تسمح للمهاجمين بسرقة معلومات تسجيل الدخول والمعلومات الحساسة دون الحاجة إلى اختراق مباشر.

كيف تحمي نفسك؟

• تحديث أجهزة التوجيه بشكل دوري إلى أحدث إصدارات البرامج.
• إيقاف تشغيل ميزات إدارة الأجهزة عن بُعد إذا لم تكن ضرورية.
• استخدام كلمات مرور قوية ومتعددة العوامل لحماية حساباتك.
• مراقبة إعدادات DNS بانتظام للتأكد من عدم تعديلها من قبل جهات خارجية.