مجموعة قرصنة تخترق أجهزة الراوتر للتجسس على مستخدمي Microsoft 365
أعلنت شركة مايكروسوفت عن اكتشاف هجوم سيبراني حديث يستهدف أجهزة الراوتر في المنازل والمكاتب، ويعمل على اختراقها واستغلالها لتنفيذ مجموعة من الأنشطة الخبيثة التي تتضمن التجسس على مستخدمي خدمات Microsoft 365 السحابية.
أوضحت مايكروسوفت بأنّ مجموعة القرصنة Forest Blizzard، التي تعرف أيضاً بأسماء مستعارة مثل Storm-2754 أو Fancy Bear، حاولت خلال الشهور الماضية اختراق آلاف أجهزة الراوتر الشخصية في المكاتب الصغيرة والمنازل. وحالما تنجح المجموعة في اختراق جهاز غير آمن، فإنّ أعضاءها يباشرون أنشطتهم الخبيثة لتحقيق أهدافهم المتعددة.
ذكر فريق استخبارات التهديدات السيبرانية لدى مايكروسوفت بأنّ هذه الحملة الإجرامية نشطة منذ شهر أغسطس من العام الماضي. وقد شنّت Forest Blizzard هجمات واسعة على آلاف أجهزة الراوتر، مما أثر على أكثر من 200 مؤسسة و5 آلاف جهاز إلكتروني استهلاكي. ويعمد المهاجمون إلى إدخال تغييرات خبيثة على إعدادات نظام أسماء النطاقات (DNS) في أجهزة الراوتر، مما يمنحهم الوصول الدائم والقدرة على اعتراض حركة البيانات عبر نظام أسماء النطاقات.
أشار محللو مايكروسوفت إلى أنّ Forest Blizzard استخدمت أجهزة الراوتر المخترقة لإعادة توجيه حركة البيانات عبر بنيتها التحتية الخبيثة لنظام أسماء النطاقات. كما استغل المخترقون المعلومات التي حصلوا عليها لشن هجمات أكثر تعقيداً تعرف باسم الخصم في المنتصف ضد نطاقات Microsoft 365.
تتيح هجمات الخصم في المنتصف لمجموعة Forest Blizzard الوصول إلى معلومات حساسة ومهمة عن حسابات المستخدمين، مما يعرض المؤسسات الكبرى لأخطار كبيرة، ويساعد المجموعة في شن حملاتها الخبيثة. وقد يستغل المخترقون بيانات الحسابات لنشر برمجيات خطيرة خبيثة أو شن هجمات حجب الخدمة الموزعة.
يتضمن تقرير مايكروسوفت قائمة مفصلة بالإجراءات التي يمكن للشركات والمستهلكين النهائيين اتخاذها للتخفيف من أخطار هذه الحملة الخبيثة؛ إذ تستطيع الشركات تطبيق حماية Entra ID وتفعيل خيارة المصادقة متعددة العوامل، فضلاً عن الاستفادة من المزايا المتاحة ضمن برنامج Microsoft Defender لمنع محاولات اختراف واختطاف نظام أسماء النطاقات.
