كشف باحثو الأمن السيبراني في شركة “تريند مايكرو” عن حملة هجومية ممنهجة ومتواصلة نفّذتها مجموعة التهديدات المتقدمة المعروفة بـ APT28، أو “بون ستورم” كما تُعرف في بعض التقارير الأمنية، استهدفت خلالها طيفاً واسعاً من المؤسسات الحكومية والخاصة حول العالم. وامتدت هذه الهجمات من أبريل 2022 حتى نوفمبر 2023، وطالت قارات أوروبا وأمريكا الشمالية والجنوبية وآسيا وأفريقيا والشرق الأوسط، مستعينةً بتقنيات اختطاف بيانات اعتماد NTLMv2 عبر أساليب متعددة ومتطورة.
وتُعد APT28 من أخطر مجموعات التهديدات السيبرانية المنسوبة إلى الاستخبارات العسكرية الروسية، وتحديداً إلى مديرية الاستخبارات الرئيسية GRU. وقد سبق أن ربطتها تحقيقات غربية عديدة بعمليات تجسس رفيعة المستوى، من بينها التدخل في الانتخابات الأمريكية عام 2016، واختراق منظومات حكومية أوروبية متعددة.
تقنية NTLMv2 Hash Relay.. سلاح التجسس الصامت
تقوم هذه التقنية على استغلال بروتوكول المصادقة NTLM الخاص بأنظمة مايكروسوفت، إذ يتمكن المهاجم من اعتراض “البصمة المشفرة” لبيانات اعتماد المستخدم المعروفة بـ NTLMv2 Hash، وإعادة توظيفها للتسلل إلى أنظمة أخرى تدعم هذا البروتوكول دون الحاجة إلى معرفة كلمة المرور الأصلية. وما يجعل هذا الأسلوب بالغ الخطورة هو أن الضحية لا تُدرك في الغالب أن بيانات اعتمادها قد سُرقت، إذ لا يترك الهجوم أثراً ظاهراً فورياً.
وقد كشفت “تريند مايكرو” أن المجموعة لجأت إلى هذه التقنية عبر مسارات متعددة، شملت استغلال ثغرة CVE-2023-23397 في برنامج مايكروسوفت Outlook، وهي ثغرة خطيرة كشف عنها في مارس 2023 تتيح للمهاجم انتزاع بصمة NTLMv2 الخاصة بالضحية عبر مجرد إرسال رسالة بريد إلكتروني أو دعوة تقويم مخصوصة، دون أن تضطر الضحية إلى النقر على أي رابط أو فتح أي مرفق. وقد تبيّن لاحقاً وفقاً لمايكروسوفت أن هذه الثغرة استُغلت كـ”ثغرة يوم الصفر” منذ أبريل 2022، أي قبل نحو عام كامل من إعلانها رسمياً.
أجهزة EdgeOS والتصيد الاحتيالي.. أدوات متنوعة في ترسانة المهاجمين
لم تكتفِ APT28 بأسلوب واحد في شنّ هجماتها، بل أظهرت براعة لافتة في توظيف بنى تحتية متنوعة لإخفاء آثارها وتعزيز فاعلية اختراقاتها. فقد رصدت “تريند مايكرو” استخدام المجموعة لأجهزة توجيه EdgeOS المخترقة، وهي أجهزة تجارية شائعة الانتشار في الشبكات المؤسسية الصغيرة والمتوسطة، بوصفها منصات لإطلاق رسائل التصيد الاحتيالي الموجّه، وتنفيذ استدعاءات استغلال ثغرة CVE-2023-23397، إضافةً إلى توجيه حركة مرور سرقة بيانات الاعتماد عبر مواقع تصيد مُعدّة لهذا الغرض.
وفي سياق موازٍ، كشف الباحثون أن APT28 تواظب منذ عام 2019 على استخدام أسلوب القوة الغاشمة Brute Force لاختراق خوادم البريد الإلكتروني وخدمات الشبكات الافتراضية الخاصة VPN التابعة لمؤسسات حول العالم، مما يكشف عن استراتيجية هجومية متكاملة تجمع بين التقنيات المتطورة والأساليب التقليدية التي أثبتت فاعليتها.
حملة أكتوبر 2022.. برامج سرقة الملفات وشبكات المشاركة المجانية
من أبرز ما رصده الباحثون في هذه الحملة الممتدة، سلسلة هجمات وقعت في أكتوبر 2022 اعتمدت على رسائل تصيد احتيالي مُصمّمة لزرع برنامج خبيث متخصص في سرقة الملفات. وقد كان هذا البرنامج يعمل بصمت على الأجهزة المصابة، إذ يُفتّش بصفة دورية عن ملفات بامتدادات محددة يستهدفها المهاجمون، ثم يُسرّب ما يعثر عليه إلى خدمة المشاركة المجانية free.keep.sh، في أسلوب يعكس ذكاءً تشغيلياً يسعى إلى الاندماج بين حركة المرور الضارة وحركة الإنترنت الاعتيادية لتفادي الرصد.
ويكشف هذا الأسلوب عن نهج APT28 في استغلال الخدمات المشروعة المتاحة للعموم بوصفها قنوات لتهريب البيانات المسروقة، وهي تقنية تُربك أنظمة الرصد الأمني التي تعتمد على القوائم السوداء للنطاقات الخبيثة المعروفة.
