أصدرت الوكالة الأمريكية للأمن السيبراني وأمن البنية التحتية (CISA) ومكتب التحقيقات الفيدرالي (FBI) تنبيهاً مشتركاً يحذر من حملة تصيد إلكتروني متطورة ومستمرة. تُنسب هذه العملية إلى جهات تهديد تنتمي لخدمات الاستخبارات الروسية، وتهدف بشكل خاص لمستخدمي تطبيقات المراسلة التجارية (CMAs) مثل واتساب وسيجنال. الهدف الأساسي هو السيطرة على حسابات أفراد يُعتبرون ذوي قيمة استخباراتية عالية، بما في ذلك المسؤولون الحاليون والسابقون في الحكومة الأمريكية، وأفراد الجيش، والشخصيات السياسية، والصحفيون. وأكد مدير مكتب التحقيقات الفيدرالي كاش باتل النطاق العالمي للاختراق، مشيراً إلى أن الحملة أدت بالفعل إلى وصول غير مصرح به إلى آلاف الحسابات الفردية على مستوى العالم.
تركز منهجية الهجوم بشكل ملحوظ على سرقة بيانات الاعتماد بدلاً من استغلال الثغرات التقنية في منصات المراسلة المشفرة نفسها. ينشر المخترقون رسائل تصيد مخصصة، غالباً ما تتظاهر بأنها جهات اتصال موثوقة أو خدمات، لخداع الضحايا وكشف رموز المصادقة الثنائية (2FA) أو بيانات اعتماد الجلسة. بمجرد الحصول على هذه البيانات، تكتسب جهات التهديد وصولاً كاملاً إلى حساب الضحية. يتيح هذا الوصول لهم عرض سجل الرسائل الكامل وقوائم الاتصال، وإرسال رسائل من هوية الضحية الموثوقة لتنفيذ مزيد من التصيد، واحتمال استخراج المعلومات الحساسة. تظل سلامة تشفير سيجنال وواتساب من طرف إلى طرف سليمة؛ يحدث الاختراق على مستوى الحساب من خلال اختراق بيانات اعتماد المستخدم.
على الرغم من أن التنبيه الأمريكي لم يسم مجموعة محددة، فإن المعلومات الاستخباراتية للقطاع توفر السياق. ربطت تقارير سابقة من مايكروسوفت ومجموعة استخبارات التهديد التابعة لجوجل حملات مماثلة بمجموعات تهديد موالية لروسيا تُتعقب تحت أسماء مثل ستار بليزارد، و UNC5792 (المعروفة أيضاً باسم UAC-0195)، و UNC4221 (UAC-0185). تشتهر هذه المجموعات بتنفيذ عمليات "تصيد محكم" عالية الاستهداف، غالباً لأغراض تجسسية. يتوافق هذا التنبيه مع تحذير منفصل من الوكالة الوطنية للأمن السيبراني في فرنسا (ANSSI)، حيث لاحظ مركز تنسيق الأزمات السيبرانية (C4) التابع لها زيادة في الهجمات التي تستهدف حسابات المراسلة الفورية للمسؤولين الحكوميين والصحفيين وقادة الأعمال.
الهدف الاستراتيجي النهائي لهذه الحملة متعدد الأوجه، ويتجاوز سرقة البيانات البسيطة. من خلال السيطرة على هذه الحسابات عالية القيمة، يمكن لجهات التهديد تنفيذ انتحال هوية موثوق ومستمر لجمع الاستخبارات، والتلاعب بالمعلومات، وإطلاق هجمات ثانوية داخل الدوائر المهنية والدبلوماسية. يؤكد الحادث على مبدأ أساسي في الأمن السيبراني: حتى أقوى تشفير يكون عاجزاً أمام نقطة نهاية مخترقة أو بيانات تسجيل مسروقة. إنه تذكير صارخ لجميع المستخدمين، وخاصة أولئك في مناصب حساسة، بالحفاظ على اليقظة القصوى ضد محاولات التصيد، وتمكين جميع ميزات الأمان المتاحة مثل قفل التسجيل، والتحقق من الطلبات غير العادية عبر قناة اتصال منفصلة.
