أمازون تكشف عن حملة قرصنة روسية “طويلة الأمد” تستهدف الطاقة والبنية السحابية

كشفت فرق الاستخبارات الأمنية في شركة أمازون النقاب عن تفاصيل حملة قرصنة إلكترونية “طويلة الأمد” مدعومة من الدولة الروسية، استهدفت البنية التحتية الحيوية الغربية بين عامي 2021 و2025. تُظهر الحملة تحولاً تكتيكياً خطيراً في هجمات القرصنة الموجهة ضد القطاعات الحساسة، مع اعتماد متزايد على استغلال أجهزة الشبكة ذات الإعدادات الخاطئة بدلاً من الاعتماد الكلي على الثغرات الأمنية المعروفة أو غير المعروفة (Zero-day).

نطاق الاستهداف: من الطاقة إلى السحابة الإلكترونية

شملت أهداف الحملة التي نُسبت بثقة عالية إلى المديرية الرئيسية لأركان الجيش الروسي (GRU)، والمعروفة أيضاً باسم “أبت 44” أو “Sandworm”، جهات متعددة حيوية. تضمنت هذه الأهداف:

• منظمات في قطاع الطاقة عبر الدول الغربية.

• موردي البنية التحتية الحرجة في أمريكا الشمالية وأوروبا.

• كيانات تمتلك بنية شبكية مستضافة على منصات السحابة الإلكترونية.
  أشارت أمازون إلى أن الحملة تميزت باستخدام واجهات الإدارة المكشوفة لأجهزة حواف شبكة العملاء (Network Edge Devices) ذات التهيئة الخاطئة كبوابة أولية للاختراق، في وقت انخفض فيه اعتماد المهاجمين على استغلال ثغرات الصفراء (Zero-day) أو ثغرات الأيام القليلة (N-day)، مما يعكس تحولاً استراتيجياً في أساليب الهجمات.

التطور التكتيكي: تحول من استغلال الثغرات إلى استغلال الأخطاء البشرية

قال “سي جيه موسيس”، الرئيس التنفيذي لأمن المعلومات في أمازون، إن هذا التكيف التكتيكي مكّن المهاجمين من تحقيق نفس النتائج التشغيلية، مثل سرقة بيانات الاعتماد والتحرك جانبياً داخل شبكات الضحايا، مع تقليل ظهورهم وإنفاقهم للموارد. تتبع التحليل الذي أجرته أمازون تطور الأدوات والتكتيكات على مدى خمس سنوات:

• 2021-2022: استغلال ثغرة في أجهزة حماية الجدار الناري WatchGuard (CVE-2022-26318)، بالإضافة إلى استهداف أجهزة حواف الشبكة ذات الإعدادات الخاطئة.

• 2022-2023: استغلال ثغرات في منصة Atlassian Confluence (CVE-2021-26084 و CVE-2023-22518)، مع مواصلة استهداف أجهزة حواف الشبكة.

• 2024: استغلال ثغرة في برمجيات Veeam (CVE-2023-27532)، والاستمرار في التركيز على أجهزة الشبكة.

• 2025: تركيز مستمر وحصري تقريباً على استهداف أجهزة حواف الشبكة ذات التهيئة غير الآمنة.
  ركزت الحملة على أنواع محددة من الأنظمة، تشمل: موجهات الشركات وبنية التوجيه، وموازعات VPN، وأجهزة إدارة الشبكة، ومنصات التعاون والمشاريع السحابية.

آلية الهجوم: من اعتراض البيانات إلى الهجمات المتتالية

كشف التحليل التفصيلي آلية متسلسلة نفذها القراصنة:

1. اختراق جهاز حافة شبكة العميل المستضاف على بنية أمازون السحابية (AWS).

2. الاستفادة من قدرة التقاط الحزم (Packet Capture) المضمنة في الجهاز المخترق.

3. جمع بيانات الاعتماد (أسماء المستخدمين وكلمات المرور) من حركة المرور المعترضة.

4. إعادة استخدام هذه البيانات المسروقة لمهاجمة الخدمات والبنى التحتية الإلكترونية للضحية.

5. تأمين وصول دائم للتحرك أفقيًا عبر الشبكة.
   كما اكتشفت أمازون محاولات منسقة لاستهداف أجهزة شبكة عملاء مُهيأة بشكل خاطئ ومستضافة على AWS، حيث أظهر تحليل الاتصالات اتصالات مستدامة من عناوين IP يتحكم فيها المهاجمون إلى مثيلات EC2 مخترقة، بشكل يتوافق مع الوصول التفاعلي واسترجاع البيانات.

ارتباطات أوسع ودلالات استراتيجية

لا تقتصر أهمية الكشف على الحملة نفسها، بل تمتد إلى الربط مع مجموعات قرصنة أخرى. حيث تشاركت هذه الحملة البنية التحتية (مثل العنوان 91.99.25[.]54) مع مجموعة أخرى تتعقبها شركة Bitdefender باسم “Curly COMrades”، والتي يُعتقد أنها تعمل بمصالح متوافقة مع روسيا منذ أواخر 2023. هذا التداخل يرفع احتمالية أن المجموعتين تمثلان عمليات متكاملة ضمن حملة أوسع تقودها GRU، حيث تتخصص إحداهما في اختراق الشبكات بينما تركز الأخرى على الاستقرار والتخفي داخل الأنظمة المضيفة.
أكدت أمازون أنها حددت العملاء المتأثرين وأبلغتهم، كما عملت على تعطيل عمليات المهاجمين النشطة التي تستهدف خدماتها السحابية. وشددت على استمرار التركيز الاستخباري للحملة على سلسلة توريد قطاع الطاقة، مستهدفةً كل من المشغلين المباشرين وموردي الخدمات من الجهات الخارجية الذين يتمتعون بإمكانية الوصول إلى شبكات البنية التحتية الحرجة.