أخرى
#مجموعة_APT_الروسية
#الدب_الفاخر
مجموعة APT الروسية تستهدف بيانات الاعتماد العالمية
مجموعة APT الروسية الشهيرة تستهدف بيانات الاعتماد من أهداف عالمية
"الدب الفاخر" يعتمد على تقنيات بسيطة لكنها فعالة للغاية، وغالبًا ما تحقق عائدًا أكبر من العمليات المعقدة التي تتضمن البرمجيات الضارة.
تعتبر مجموعة من أكثر الجهات الفاعلة في مجال التهديدات قدرةً قد نفذت هجمات بسيطة وغير مكلفة لجمع بيانات الاعتماد ضد منظمات محددة في منطقة البلقان والشرق الأوسط وآسيا الوسطى.
تُعرف مجموعة APT 28، المعروفة أيضًا باسم الدب الفاخر، بأنها مرتبطة بالمديرية الرئيسية لهيئة الأركان العامة للقوات المسلحة الروسية (GRU)، وكانت واحدة من أبرز التهديدات المتقدمة المستمرة في منتصف العقد 2010. كانت هجماتها ضد أوكرانيا، والانتخابات الأمريكية والأوروبية، والمنظمات المعنية بالأولمبياد مؤثرة لدرجة أنها طغت على هجماتها الأخرى واسعة النطاق ضد وسائل الإعلام الغربية والمؤسسات الحكومية. في ذروتها، لا يمكن لأحد سوى مجموعة أنونيموس أن يدعي أنه كان له تأثير أكبر في دفع النقاش حول الأمن السيبراني في العالم الغربي.
بالمقارنة، قد تبدو الأنشطة الأخيرة للدب الفاخر أقل إثارة. فهي تعتمد على تقنيات الصيد الاحتيالي القياسية، تستهدف الحكومات العالمية أو أي منظمات ذات قيمة استراتيجية بالنسبة لروسيا. واستمرت حملته الأخيرة في هذا الاتجاه. وجدت Recorded Future أنه من فبراير إلى سبتمبر 2025، كانت المجموعة المعروفة باسم BlueDelta تستهدف بيانات الاعتماد من عدد قليل من المنظمات المحددة المنتشرة عبر مركز خريطة العالم. للحصول على تلك البيانات، استخدمت صفحات احتيالية أنيقة وبنية تحتية متاحة تجاريًا.
يُحذر مات هـ.، المحلل الرئيسي للتهديدات في Recorded Future، من أن "هذه الحملات قد تبدو بسيطة على السطح، لكنها فعالة للغاية بالنسبة للجهات المدعومة من الدولة، وفي كثير من الحالات، تقدم عائدًا أكبر على الاستثمار مقارنة بالعمليات المعقدة التي تتضمن البرمجيات الضارة".
حملة الدب الفاخر الأخيرة
بدأت الهجمات الأخيرة للدب الفاخر ببريد إلكتروني احتيالي، مصمم ليتناسب مع أهدافه المكتوبة بلغاتهم الأصلية. عندما يتبع الضحية الرابط المقدم، يتم توجيهه إلى ملف PDF شرعي مستعار من منظمة ذات صلة. على سبيل المثال، استهدفت المجموعة العلماء الأتراك في مجال الطاقة المتجددة بمستند حول سياسة تغير المناخ من مركز أبحاث حقيقي في الشرق الأوسط.
بعد لحظة، تم توجيه الضحية إلى صفحة تسجيل دخول تشبه خدمة عبر الإنترنت شرعية. بعد أن يكشف الضحايا عن بيانات اعتمادهم الخاصة بـ Sophos VPN أو Google أو Microsoft Outlook مرة واحدة، يتم توجيههم مرة أخرى إلى صفحة تسجيل الدخول المطابقة للخدمة الشرعية للقيام بذلك مرة أخرى، مما قد يعتبرونه مجرد خلل بسيط.
لدعم تدفق هذا الهجوم، استخدم الدب الفاخر مجموعة متنوعة من الخدمات المستضافة العادية، بدلاً من أدواته وبنيته التحتية المخصصة. أي بيانات اعتماد تم الحصول عليها ستستخدم للوصول إلى حسابات البريد الإلكتروني للضحايا أو الشبكات الافتراضية الخاصة (VPN)، مما يتيح جمع المعلومات، والتحرك الجانبي في أنظمتهم، وهجمات لاحقة ضد أهداف ذات قيمة أكبر.
على الرغم من عدم وجود شيء جديد تمامًا حول هذه التكتيكات والتقنيات والإجراءات (TTPs) — خاصة بالنسبة لمجموعة APT على مستوى الدولة ذات موارد عالية وقدرات كبيرة — يؤكد مات هـ. أن هذا قد يكون عن قصد. "تعتمد حملات جمع بيانات الاعتماد على خدمات الإنترنت المتاحة على نطاق واسع، وتتطلب إعدادًا بسيطًا، ويمكن إعادة تكوينها أو التخلي عنها بسرعة بتكلفة قليلة"، يشير. يساعد استخدام أجزاء رخيصة وقابلة للاستبدال أيضًا القراصنة في البقاء تحت الرادار. "عادةً ما يتم الوصول إلى هذه العمليات من خلال خدمات VPN التجارية، وتستضيف البنية التحتية على منصات مجانية، مما يجعل الطرق التقليدية مثل تتبع تسجيلات الخادم أو متابعة المسارات المالية أقل فعالية بكثير".
لذا، بعيدًا عن توفير التكاليف، فإن عدم وجود برمجيات ضارة خاصة أو بنية تحتية أو تقنيات يعني أن "الفاعل يحد من بصماته التقنية ويقلل من الفترة التي تحتاج فيها البنية التحتية إلى البقاء نشطة. بدلاً من أن يكون هذا تراجعًا، تعكس هذه المقاربة تطورًا ناضجًا لجمع المعلومات الاستخباراتية، حيث يتم إعطاء الأولوية للاستمرارية، والقابلية للتوسع، والإنكار على التعقيد — وغالبًا ما تحقق قيمة تشغيلية أكبر من الحملات ذات الجهد العالي التي تجذب الانتباه بسرعة"، يقول مات هـ.
الهدف النهائي: الوصول إلى منظمات استراتيجية
تشمل الأهداف المعروفة لهذه الحملة مُدمج تكنولوجيا المعلومات ومقره أوزبكستان، ومركز أبحاث أوروبي، ومنظمة عسكرية في مقدونيا الشمالية، وعلماء وباحثين مرتبطين بمنظمة تركية للطاقة والبحوث النووية.
يعترف مات هـ. أنه، للوهلة الأولى، قد يبدو أن الاستهداف متقطع. "لكن عند النظر إليه من خلال عدسة الاستخبارات، فإنه انتقائي للغاية ومتسق مع أولويات جمع المعلومات الخاصة بـ GRU. الأهداف تتماشى تقريبًا دائمًا مع الأهداف الجيوسياسية أو العسكرية أو الاستراتيجية بدلاً من الأهداف التجارية أو الإجرامية".
من المهم أن بعض هذه الأهداف قد تكون مجرد محطات في الطريق إلى أهداف أكبر وأكثر قيمة — مثل مُدمج تكنولوجيا المعلومات الأوزبكي، على سبيل المثال. "في حملات BlueDelta السابقة، لاحظنا صفحات جمع بيانات الاعتماد التي تستهدف منظمات صغيرة أو غامضة نسبيًا والتي أثبتت لاحقًا أنها مرتبطة بأهداف ذات قيمة أعلى من خلال العلاقات اللوجستية أو سلسلة التوريد"، يقول مات هـ.
الأكثر قلقًا، قد يكون هناك العديد من الضحايا أكثر مما نعرف حتى الآن. "يجب اعتبار النشاط الذي يمكننا ملاحظته عينة تمثيلية من جهد جمع معلومات استخباراتية أوسع بكثير، بدلاً من استهداف معزول أو انتهازي"، يقول.
تُعتبر قمة GISEC GLOBAL أكبر وأهم تجمع للأمن السيبراني في منطقة الشرق الأوسط وأفريقيا، حيث تجمع بين كبار مسؤولي المعلومات العالميين، وقادة الحكومات، ومشتري التكنولوجيا، والهاكرز الأخلاقيين. تستمر الفعالية لثلاثة أيام مليئة بالابتكار، والاستراتيجيات، والتدريبات السيبرانية الحية.
📌 احجز مساحتك الآن!
التعليقات 0
سجل دخولك لإضافة تعليق
لا توجد تعليقات بعد. كن أول من يعلق!