من هم قراصنة APT28 (Fancy Bear)؟

• تُنسب الهجمات إلى مجموعة قرصنة تُعرف باسم APT28 (أو BlueDelta/Fancy Bear)، وهي وحدة إلكترونية تابعة لـ GRU وتستهدف منذ 2015 جهات غربية، منها:

  • اختراق قناة TV5Monde الفرنسية عام 2015 (أول هجوم كبير يُنسب للمجموعة).

  • محاولات سرقة بيانات استراتيجية من أوروبا وأمريكا الشمالية عبر تصيد إلكتروني، استغلال ثغرات (مثل CVE-2023-23397)، وهجمات القوة العمياء.

• تستخدم المجموعة بنية تحتية رخيصة ومستأجرة لإخفاء هويتها، وتوزع برمجيات خبيثة مثل HeadLace وOCEANMAP.

كيف تعمل هذه الهجمات؟

1. نقاط الاختراق الأولية:

   • استغلال أجهزة طرفية ضعيفة الحماية.

   • هجمات تصيد إلكتروني متطورة لسرقة بيانات الدخول.

   • استهداف خوادم البريد (مثل Roundcube) لسرقة المحتويات.

2. التسلل الطويل الأمد:

   • استخدام بنية تحتية مشتركة (VPS، استضافة رخيصة) لتجنب التعقب.

   • تثبيت برمجيات تتيح الوصول المستمر للأنظمة (Persistence).

السياق الجيوسياسي: تصاعد الهجمات الموالية لروسيا

• هذه الاتهامات تأتي بالتزامن مع هجمات NoName057(16) (مجموعة هاكتيفيست موالية لروسيا)، التي أعلنت مسؤوليتها عن هجمات حجب الخدمة (DDoS) ضد مؤسسات هولندية انتقامًا لدعمها العسكري لأوكرانيا بقيمة 6 مليار يورو.

• تُظهر هذه التطورات أن الحرب السيبرانية أصبحت سلاحًا أساسيًا في الصراعات الدولية، خاصة مع تصاعد التوترات حول أوكرانيا.

كيف تحمي الدول والشركات نفسها؟

• ترقيع الثغرات الأمنية فور الإعلان عنها (مثل CVE-2023-23397).

• اعتماد مصادقة متعددة العوامل (MFA) لمواجهة التصيد.

• مراقبة حركة الشبكة لاكتشاف الأنشطة المشبوهة، خاصة على خوادم البريد.