كشف النقاب عن حملة تجسس إلكتروني متطورة مرتبطة بجهاز الاستخبارات العسكرية الروسية، تستغل ثغرات معروفة في أجهزة توجيه الإنترنت القديمة لجمع رموز تعريف مايكروسوفت أوفيس على نطاق واسع. يحذر خبراء الأمن من أن هذه العملية، التي نُسبت إلى جهة التهديد المدعومة من الدولة الروسية والمعروفة باسم "فورست بليزارد" (والتي تُتعقب أيضًا باسم APT28 أو فانسي بير)، مكّنت القراصنة من سحب الرموز بهدوء من مستخدمين عبر أكثر من 18000 شبكة دون نشر برامج ضارة تقليدية. من خلال استغلال أجهزة التوجيه التي انتهى دعمها والتي لا تتم صيانتها جيدًا، أنشأت المجموعة شبكة مراقبة منتشرة، تستهدف في المقام الأول الكيانات الحكومية ووكالات إنفاذ القانون ومقدمي خدمات البريد الإلكتروني من جهات خارجية.
وفقًا لتقرير مفصل من "بلاك لوتس لابس"، قسم استخبارات التهديدات التابع لمزود البنية التحتية للإنترنت "لومين"، بلغت الحملة ذروتها في ديسمبر 2025. ركز القراصنة على طرازات أجهزة التوجيه القديمة غير المدعومة - في المقام الأول من شركات مصنعة مثل "ميكروتيك" و"تي بي-لينك" المصممة لسوق المكاتب الصغيرة / المكاتب المنزلية (SOHO). والأهم من ذلك، أن المهاجمين لم يحتاجوا إلى تثبيت برامج ضارة على الأجهزة. بدلاً من ذلك، استخدموا ثغرات أمنية معروفة لاختراق أجهزة التوجيه وتعديل إعدادات نظام أسماء النطاقات (DNS) الخاصة بها. أجبرت إعادة التوجيه هذه أجهزة المستخدمين على استخدام خوادم DNS التي يتحكم فيها المهاجمون، مما سمح لهم باعتراض وجمع رموز المصادقة - وتحديدًا رموز مايكروسوفت 365 - بينما حاول المستخدمون الوصول إلى الخدمات المشروعة.
أكدت مايكروسوفت هذه النتائج في منشور مدونة منفصل، مشيرة إلى أنها حددت أكثر من 200 منظمة و5000 جهاز مستهلك تم اختراقها بواسطة شبكة التجسس "الخفيّة ولكن البسيطة بشكل ملحوظ". تُنسب مجموعة "فورست بليزارد"، وهي مجموعة عالية الكفاءة تاريخيًا، إلى الوحدة 26165 والوحدة 74455 التابعتين لمديرية الاستخبارات الرئيسية الروسية (GRU). اكتسبت المجموعة سمعة عالمية لدورها في التدخل في الانتخابات الرئاسية الأمريكية لعام 2016، بما في ذلك اختراقات اللجنة الوطنية الديمقراطية وحملة هيلاري كلينتون. تُظهر هذه الحملة الأخيرة تحولًا استراتيجيًا نحو استغلال البنية التحتية الأساسية للشبكة، التي غالبًا ما يتم إهمالها، لتحقيق وصول واسع النطاق وصعب الكشف.
تتضمن الآلية الفنية اختطاف DNS على مستوى جهاز التوجيه. عندما يحاول مستخدم على شبكة مخترقة الوصول إلى خدمة مايكروسوفت مثل Outlook أو SharePoint، يتم إعادة توجيه استعلام DNS الخاص بجهازه لعنوان الخدمة بهدوء إلى خادم المهاجم. يمكن بعد ذلك لهذا الخادم الضار تقديم صفحة تسجيل دخول مزيفة أو تمرير الاتصال، مما يؤدي إلى التقاط رمز مصادقة المستخدم في هذه العملية. هذه الرموز، التي تحقق هوية المستخدم لجلسة ما، ذات قيمة عالية حيث يمكن استخدامها للوصول إلى رسائل البريد الإلكتروني والمستندات والموارد الأخرى للضحية دون الحاجة إلى كلمة مرور، وغالبًا ما تتجاوز المصادقة متعددة العوامل (MFA).
تسلط هذه الحملة الضوء على عدة تحديات أمنية حرجة. فهي تبرز المخاطر المستمرة التي تشكلها الأجهزة التي انتهى دعمها ولم تعد تتلقى تصحيحات أمنية، مما يخلق نقطة ضعف في الشبكات العالمية. كما تُظهر كيف تستهدف جهات فاعلة تابعة لدول بشكل متزايد البنية التحتية للشبكة نفسها - أجهزة التوجيه، والجدران النارية، وشبكات VPN - لتمكين المراقبة الواسعة النطاق. بالنسبة للمدافعين، يتطلب التخفيف نهجًا متعدد الطبقات: التخلص بشكل استباقي من الأجهزة غير المدعومة، وإنفاذ إدارة صارمة للتحديثات لجميع أجهزة الشبكة، وتنفيذ مراقبة DNS و DNSSEC للكشف عن الاختطاف، واعتماد بنية "عدم الثقة" الصفرية التي لا تثق بشكل أساسي بحركة مرور الشبكة الداخلية. يذكرنا الحادث بوضوح بأن النظافة الأمنية الأساسية تظل خط الدفاع الأول والأكثر أهمية ضد حتى أكثر الخصوم تقدمًا.
