تتزايد التهديدات السيبرانية الموجهة ضد المنظمات الحيوية، حيث تتبنى الجهات الفاعلة الروسية استراتيجيات جديدة لاستغلال الأجهزة غير المهيأة.
تقوم الجهات الفاعلة الروسية بعمليات استهداف طويلة الأمد تستهدف المنظمات الحيوية في جميع أنحاء العالم. ورغم أن ذلك ليس جديدًا، إلا أن أسلوب تنفيذ تلك الهجمات يتغير.
نشرت أمازون للذكاء التهديدي أمس منشورًا يوضح حملة تهديد طويلة الأمد من قبل الجهات الفاعلة الروسية تستهدف البنية التحتية الحيوية في أمريكا الشمالية وأوروبا والشرق الأوسط، مع تركيز ملحوظ على قطاع الطاقة. كما استهدفت المهاجمون المنظمات التي تمتلك بنية تحتية شبكية مستضافة على السحابة. يوضح المنشور، الذي كتبه كبير مسؤولي الأمن المتكامل في أمازون CJ Moses، العمليات التي تمت نيابة عن المديرية الرئيسية للاستخبارات الروسية (GRU) من عام 2021 حتى الآن.
وفقًا لأمازون، تستهدف الهجمات أجهزة التوجيه المؤسسية، وبنية التوجيه، ومجمعات VPN، وأجهزة إدارة الشبكة، ومنصات التعاون، وأنظمة إدارة المشاريع المستندة إلى السحابة، وغيرها.
تلاحظ المدونة اتجاهًا رئيسيًا يتمثل في الانتقال من استغلال الثغرات إلى استهداف الأجهزة الطرفية الشبكية غير المهيأة للعملاء كوسيلة رئيسية للوصول الأولي. كتب موسى: “تتيح هذه التكيفات التكتيكية تحقيق نفس النتائج التشغيلية، مثل جمع بيانات الاعتماد والحركة الجانبية إلى خدمات البنية التحتية والخدمات عبر الإنترنت للضحايا، مع تقليل تعرض الفاعل ونفقات الموارد”.
الاستنتاج الرئيسي من أمازون: “يجب على المنظمات إعطاء الأولوية لتأمين أجهزة الشبكة الطرفية الخاصة بها ومراقبة هجمات إعادة استخدام بيانات الاعتماد للدفاع ضد هذا التهديد المستمر”.
أمازون تتبع الحملة الطويلة الأمد لروسيا
بين عامي 2021 و2025، حدث الانتقال نحو استهداف الأجهزة الطرفية بشكل مباشر تدريجيًا. في عام 2021، رصدت أمازون مجموعة التهديدات (التي تتداخل مع APT Sandworm المرتبطة بروسيا، بالإضافة إلى جهة فاعلة أخرى تتبعها Bitdefender باسم Curly COMrades) استغلال ثغرة WatchGuard CVE-2022-26318. بين عامي 2022 و2023، استهدفت الجهات الفاعلة ثغرات Confluence CVE-2021-26084 وCVE-2023-22518. في عام 2024، بدأ المهاجمون في إبداء اهتمامهم بثغرة Veeam CVE-2023-27532.
طوال هذه الفترة، استهدفت الجهات الفاعلة الأجهزة غير المهيأة، ولكن وفقًا لجدول زمن أمازون، كان عام 2025 هو العام الذي شهد “استهدافًا مستدامًا للأجهزة الطرفية الشبكية غير المهيأة للعملاء” وانخفاضًا ملحوظًا في استغلال الثغرات كوسيلة للوصول الأولي.
“يمثل تغيير وتيرة العمليات للفاعل تطورًا مقلقًا: بينما كان استهداف تكوينات العملاء غير الصحيحة مستمرًا منذ عام 2022 على الأقل، حافظ الفاعل على تركيز مستدام على هذا النشاط في عام 2025 مع تقليل الاستثمار في استغلال الثغرات Zero-day وN-day”، كتب موسى. “يحقق الفاعل ذلك بينما يقلل بشكل كبير من خطر كشف عملياته من خلال نشاط استغلال الثغرات الأكثر قابلية للاكتشاف”.
أما بالنسبة لنوع البنية التحتية المستهدفة، قال موسى إن المهاجمين كانوا مهتمين بالأجهزة الطرفية الشبكية المستضافة على AWS والتي تم تكوينها بشكل خاطئ، تلاها هجمات إعادة استخدام بيانات الاعتماد ضد خدمات الضحايا عبر الإنترنت. بدت الآلية الرئيسية لاستخراج بيانات الاعتماد أنها تتضمن التقاط الحزم وتحليل حركة المرور.
“في الحالات الملاحظة، قام الفاعل باختراق الأجهزة الطرفية الشبكية للعملاء المستضافة على AWS، ثم حاول لاحقًا المصادقة باستخدام بيانات الاعتماد المرتبطة بمجال المنظمة الضحية ضد خدماتها عبر الإنترنت”، جاء في المنشور. “بينما كانت هذه المحاولات المحددة غير ناجحة، تدعم نمط اختراق الأجهزة يليه محاولات المصادقة باستخدام بيانات اعتماد الضحية تقييمنا بأن الفاعل يجمع بيانات الاعتماد من البنية التحتية الشبكية للعملاء المخترقة لإعادة استخدامها ضد خدمات المنظمات المستهدفة عبر الإنترنت”.
استجابة أمازون وتخفيفات المدافعين
بينما كانت تكتشف النشاط على مدار هذه الحملة، قامت أمازون بتحديد وإخطار العملاء الذين تعرضت أجهزتهم الشبكية للاختراق، وتمكين تصحيح موارد Elastic Compute Cloud (EC2) المخترقة، ومشاركة المعلومات مع الشركاء والبائعين المتأثرين، والإبلاغ عن الملاحظات إلى بائعي الأجهزة الشبكية.
حدد موسى أربع إجراءات ذات أولوية للمنظمات. يجب على العملاء تدقيق أجهزتهم الطرفية الشبكية بحثًا عن علامات الاختراق وواجهات الإدارة المعرضة للخطر؛ وضع الوظائف اللازمة لاكتشاف هجمات إعادة استخدام بيانات الاعتماد (مثل مراجعة “سجلات المصادقة بحثًا عن إعادة استخدام بيانات الاعتماد بين واجهات إدارة الأجهزة الشبكية والخدمات عبر الإنترنت”); استخدام مراقبة الوصول؛ ومراجعة سجلات الوصول باستخدام مؤشرات التهديد المدرجة في المنشور بحثًا عن علامات لمحاولات المصادقة. يسرد المنشور توصيات إضافية محددة لعملاء AWS.
تواصلت Dark Reading مع أمازون للحصول على تعليق إضافي.
من الضروري أن تعزز المنظمات من إجراءاتها الأمنية لحماية بنيتها التحتية الحيوية من هذه التهديدات المستمرة.
