اكتشفت شركة لومن تكنولوجيز، من خلال مختبرات بلاك لوتس، أن الجيش الروسي يشن هجمات واسعة على أجهزة التوجيه المنزلية والمكتبية الصغيرة، في عمليات تستهدف بشكل خاص المستخدمين غير المنتبهين. تتضمن هذه الهجمات توجيه المستخدمين إلى مواقع إلكترونية تجمع كلمات المرور وبيانات الاعتماد لاستخدامها في حملات التجسس.
تستهدف الهجمات بين 18,000 و40,000 جهاز توجيه استهلاكي، معظمها من ماركات ميكروتيك وتي بي-لينك، موزعة في 120 دولة حول العالم. يستخدم المهاجمون أدوات وطرق متقدمة، ويعملون ضمن مجموعة تهديدات متطورة تُعرف باسم APT28، وهي جزء من جهاز المخابرات العسكرية الروسي، الـGRU. هذه المجموعة معروفة بنشاطها منذ أكثر من عقدين، وتتحمل مسؤولية العديد من الاختراقات البارزة التي استهدفت حكومات ومنظمات دولية.
### تقنية عالية وأساليب مجربة
اعتمد المهاجمون على عدد محدود من أجهزة التوجيه كنقاط انطلاق للسيطرة على شبكات أكبر، تشمل أجهزة تابعة لوزارات داخلية، وأجهزة شرطة، ووكالات حكومية أخرى. من خلال السيطرة على هذه الأجهزة، تمكنوا من تعديل إعدادات DNS لعدد من المواقع، بما في ذلك خدمات مايكروسوفت 365، بهدف التجسس على البيانات المارة.
وصف الباحثون مجموعة Forest Blizzard بأنها تستخدم مزيجاً من أدوات متطورة، مثل نماذج اللغة الكبيرة (LLM) مثل “LAMEHUG”، مع تقنيات هجوم قديمة وموثوقة. وتواصل المجموعة تحديث استراتيجياتها، مع استمرارها في استخدام طرق هجوم كلاسيكية حتى بعد الكشف عنها علنًا، مما يعكس مدى خطورة التهديد الذي تمثله على المؤسسات حول العالم.
### كيف تتم العمليات؟
للقيام بهذه الهجمات، استغل المهاجمون نماذج أجهزة التوجيه القديمة التي لم تتلقَ تحديثات أمنية حديثة، واستغلوا ثغرات معروفة فيها. بعد ذلك، قاموا بتغيير إعدادات DNS لمجموعة من المواقع المستهدفة، ووزعوا هذه الإعدادات عبر بروتوكول DHCP على أجهزة المستخدمين المتصلة. عندما يزور المستخدمون هذه المواقع، تتم عبر خوادم خبيثة قبل أن تصل إلى الوجهة الأصلية، مما يسمح للمهاجمين بجمع البيانات وتنفيذ عمليات التجسس بكفاءة عالية.
المصدر: Biz & IT – Ars Technica
