آلية الهجوم: صفحات تسجيل دخول مزيفة ومستندات PDF مفخخة
لوحظ النشاط بين يونيو 2024 وأبريل 2025، ويتميز بنشر صفحات تسجيل دخول تحمل طابع وشعار UKR[.]net على خدمات شرعية مثل Mocky. تهدف هذه الصفحات إلى استدراج المستلمين لإدخال بيانات اعتمادهم وكود المصادقة الثنائية (2FA).
يتم توزيع روابط هذه الصفحات المخادعة من خلال رسائل التصيد الإلكتروني، حيث تكون الروابط مضمنة داخل مستندات PDF. لجأ المهاجمون إلى تقصير هذه الروابط باستخدام خدمات مثل tiny[.]cc أو tinyurl[.]com، كما استخدموا في بعض الحالات نطاقات فرعية تم إنشاؤها على منصات مثل Blogger لبدء سلسلة إعادة توجيه متعددة الطبقات تؤدي في النهاية إلى صفحة سرقة البيانات.
أهداف استخباراتية واسعة وتطور في البنية التحتية
تندرج هذه الجهود ضمن مجموعة أوسع من عمليات التصيد وسرقة بيانات الاعتماد التي ينفذها الخصم منذ منتصف العقد الأول من القرن الحالي، مستهدفة المؤسسات الحكومية ومقاولي الدفاع وموردي الأسلحة وشركات الخدمات اللوجستية ومراكز الفكر. وتهدف إلى خدمة الأهداف الاستراتيجية الروسية وجمع المعلومات الاستخباراتية الحساسة من المستخدمين الأوكرانيين.
وأظهرت الحملة تطوراً ملحوظاً في البنية التحتية التي يستخدمها المهاجمون، حيث انتقلوا من استخدام الموجهات المخترقة إلى استغلال خدمات أنفاق الوكيل مثل ngrok و Serveo لالتقاط وإعادة توجيه بيانات الاعتماد المسروقة ورموز المصادقة الثنائية. ويعكس هذا التحول على الأرجح استجابة تكيفية من القراصنة لعملية إسقاط البنية التحتية التي قادها الغرب في أوائل عام 2024.
دلالة الاستمرار: اهتمام استخباراتي دائم
تسلط الحملة الضوء على الاهتمام المستمر لجهاز الاستخبارات العسكرية الروسية (GRU) في اختراق بيانات اعتماد المستخدمين الأوكرانيين لدعم عمليات جمع المعلومات الاستخباراتية في خضم الحرب المستمرة في أوكرانيا. واستمرار مثل هذه الأنشطة يؤكد استخدام القرصنة كأداة في الصراعات الجيوسياسية المعاصرة.
