كشفت شركتا Google وCitizen Lab عن حملة تصيّد إلكتروني متطورة يُعتقد أنها مرتبطة بجهات تهديد روسية، تستغل ميزة “كلمات مرور التطبيقات” (App Passwords) في حسابات Google لاختراق البريد الإلكتروني للضحايا وتجاوز المصادقة الثنائية (2FA).
ووفقًا لتقرير [Google Threat Intelligence Group](https://thehackernews.com/2025/06/russian-apt29-exploits-gmail-app.html)، فإن الحملة استهدفت منذ أبريل وحتى أوائل يونيو 2025 عددًا من الأكاديميين البارزين ومنتقدي الحكومة الروسية، عبر بناء علاقات تدريجية معهم وإقناعهم بإنشاء كلمات مرور خاصة بالتطبيقات، ثم مشاركتها مع المهاجمين.
كيف تعمل الهجمة؟
– يتلقى الضحية رسالة بريد إلكتروني تبدو وكأنها من وزارة الخارجية الأمريكية، تتضمن دعوة لاجتماع.
– تُرفق الرسالة بعناوين بريدية مزيفة تنتهي بـ”@state.gov” لإضفاء المصداقية.
– بعد تبادل الرسائل، يُطلب من الضحية إنشاء كلمة مرور تطبيق (ASP) ومشاركتها للوصول إلى “بيئة سحابية آمنة”.
– يستخدم المهاجمون هذه الكلمة لإعداد عميل بريد إلكتروني يمنحهم وصولًا دائمًا إلى صندوق البريد.
من يقف وراء الهجوم؟
نسبت Google هذا النشاط إلى مجموعة UNC6293، والتي يُعتقد أنها مرتبطة بمجموعة التجسس الروسية المعروفة باسم APT29 (المعروفة أيضًا بأسماء مثل Cozy Bear وMidnight Blizzard). وتُعرف هذه المجموعة باستخدامها لأساليب هندسة اجتماعية متقدمة، مثل التصيّد عبر رموز الأجهزة (Device Code Phishing) لاختراق حسابات Microsoft 365.
لماذا كلمات مرور التطبيقات؟
تُستخدم كلمات مرور التطبيقات للسماح لتطبيقات أو أجهزة “أقل أمانًا” بالوصول إلى حساب Google عند تفعيل المصادقة الثنائية. لكن هذه الميزة تُستغل في هذه الحملة لتجاوز الحماية، حيث لا تتطلب الكلمة المُنشأة إدخال رمز تحقق إضافي.
جهود الحماية
أكدت Google أنها اتخذت إجراءات لتأمين الحسابات المتأثرة، بما في ذلك إلغاء كلمات المرور المسروقة وتنبيه الضحايا. كما أوصت باستخدام ميزة الحماية المتقدمة (Advanced Protection) وتجنب مشاركة كلمات المرور أو رموز المصادقة عبر البريد الإلكتروني.
