اخترق قراصنة مرتبطون بالاستخبارات العسكرية الروسية أكثر من 170 حساب بريد إلكتروني تعود لمدعين عامين ومحققين أوكرانيين خلال الأشهر الماضية، في عملية تجسس إلكتروني واسعة تستهدف أيضاً دولاً أعضاء في حلف الناتو بمنطقة البلقان وأوروبا الشرقية.
APT28: ذراع الاستخبارات الروسية في الفضاء الإلكتروني
تُنسب هذه العملية بدرجة عالية من اليقين إلى مجموعة القرصنة المعروفة بـ”APT28″، أو “Fancy Bear”، أو “Sednit”، وهي مجموعة تجسس إلكتروني روسية ترتبط ارتباطاً وثيقاً بالاستخبارات العسكرية الروسية “GRU”، ويعود تاريخ نشاطها إلى ما لا يقل عن عام 2004. وقد ربطت وزارة العدل الأمريكية هذه المجموعة بعملية اختراق الحزب الديمقراطي الأمريكي عشية انتخابات 2016، فضلاً عن تورطها في عدد من أبرز عمليات التجسس الإلكتروني على المستوى الدولي، من بينها اختراق شبكة التلفزيون الفرنسية TV5Monde وتسريب وثائق الوكالة العالمية لمكافحة المنشطات.
وتُعدّ هذه المجموعة واجهة إلكترونية لوحدة عسكرية روسية تحمل الرقم 26165، وتعمل تحت مظلة المركز الرئيسي للخدمات الخاصة، ما يجعلها أداة استخباراتية تتجاوز حدود العمليات الإجرامية الإلكترونية المعتادة لتصل إلى مستوى الحرب الهجينة الممنهجة.
عملية “RoundPress”: التجسس عبر رسالة بريد إلكترونية واحدة
أطلق باحثو شركة ESET السلوفاكية على هذه الحملة اسم “Operation RoundPress”، مشيرين إلى أنها بدأت في عام 2023 على أقل تقدير، وتستهدف في المقام الأول الجهات الحكومية الأوكرانية وشركات الدفاع في بلغاريا ورومانيا، وبعضها يُنتج أسلحة من الحقبة السوفيتية لإرسالها إلى أوكرانيا.
تعتمد هذه العمليات على ثغرات في برنامج البريد الإلكتروني مفتوح المصدر “Roundcube”، إذ تتيح هذه الثغرات تنفيذ أكواد خبيثة بمجرد فتح الضحية لرسالة البريد الإلكتروني دون الحاجة إلى الضغط على أي رابط أو تحميل أي مرفق. وهذا ما يجعل هذا الأسلوب بالغ الخطورة، إذ يكفي فتح البريد الوارد لتُشنّ العملية بالكامل.
تكشف التقارير أن الهجمات استغلت ثغرات من نوع “Cross-Site Scripting” أو XSS في منصات بريدية متعددة، من بينها Roundcube وHorde وZimbra، بينما استُخدمت ثغرة يوم الصفر غير المعروفة سابقاً في برنامج MDaemon، وهي الثغرة التي يرجّح الباحثون أن APT28 اكتشفتها بنفسها. ويُعني ذلك أن المجموعة لا تكتفي باستغلال الثغرات المعروفة، بل تعمل بنشاط على اكتشاف ثغرات جديدة غير مرصودة.
آلية الاختراق تبدأ بإرسال رسائل بريدية مُعدّة بعناية تحتوي على أكواد HTML خبيثة، فإذا فتح المستخدم الرسالة في عميل البريد الإلكتروني المتأثر بالثغرة، يُنفَّذ تلقائياً برنامج خبيث يُعرف بـ”SpyPress”، يُمكّن المهاجمين من سرقة بيانات الاعتماد والرسائل وجهات الاتصال.
الجهات الأوكرانية المستهدفة والتداعيات الأمنية
من بين الجهات الأوكرانية المتضررة نيابة مكافحة الفساد المتخصصة، ووكالة استرداد الأصول وإدارتها التي تُشرف على الأصول المصادرة من مجرمين وعملاء روس. وأكدت الرئيسة بالإنابة لهذه الوكالة أن موظفيها تعرضوا للاستهداف، غير أن القراصنة فشلوا في الوصول إلى الأنظمة الداخلية أو تسريب أي بيانات من قواعد المعلومات.
وأكدت هيئة الاتصالات الحكومية الخاصة وحماية المعلومات في أوكرانيا أن الحملة مستمرة منذ عام 2023 وهي ترصدها باستمرار. ولفت المسؤول الأوكراني المعني إلى أن بعض المعلومات المسربة نُشرت على الإنترنت في مارس الماضي، محذراً من أن روسيا قد تستغل هذه الاختراقات الإلكترونية ذريعةً لحملات تضليل إعلامي تستهدف تشويه سمعة المؤسسات الأوكرانية.
والأهمية الاستراتيجية لهذه الاختراقات تتجاوز بعدها التقني؛ فالنيابات العامة المستهدفة تضطلع بملاحقة قضايا الفساد ومعالجة ملفات مصادرة الأصول الروسية، ما يعني أن القراصنة ربما تمكنوا من الاطلاع على معلومات بالغة الحساسية تتعلق بمسار الملاحقات القضائية والتحقيقات الجارية.
امتداد التجسس إلى دول الناتو والبلقان
لم تقتصر الحملة على الأراضي الأوكرانية، بل امتدت جغرافياً لتطال دولاً متعددة. شملت الضحايا في عام 2024 وحده مسؤولين في حكومات محلية بأوكرانيا واليونان والكاميرون وصربيا، إضافة إلى مسؤولين عسكريين في أوكرانيا والإكوادور، وموظفين في شركات مقاولات دفاعية في أوكرانيا ورومانيا وبلغاريا.
ولا يبدو هذا التوسع عشوائياً؛ فالشركات الدفاعية في رومانيا وبلغاريا المستهدفة تُنتج أسلحة من الموروث السوفيتي موجهة نحو دعم أوكرانيا في المعركة، ما يعني أن الهجوم الإلكتروني يخدم مباشرة الهدف العسكري الروسي بتعطيل سلاسل الإمداد وجمع المعلومات الاستخباراتية اللازمة.
وفي سياق أوسع، أكد الرئيس الروماني أن عملاء الاستخبارات العسكرية الروسية كانوا يجمعون معلومات عسكرية وحكومية تتعلق بالبنية التحتية الحيوية، مضيفاً أن روسيا تواصل حربها الهجينة ضد الدول الغربية.
ويُشير خبراء الأمن السيبراني إلى أن النجاح المتواصل لـAPT28 في استهداف خوادم البريد الإلكتروني يعود في جزء كبير منه إلى إخفاق المؤسسات في تطبيق تحديثات الأمان في الوقت المناسب، إذ كانت معظم الثغرات المستغَلة معروفة ومُرمَّمة قبل وقوع الهجمات، غير أن البطء في التحديث فتح الباب للمهاجمين.
