أعلنت شركة مايكروسوفت يوم الإثنين في 5 أغسطس الجاري أن مجموعة من القراصنة الرقميين المرتبطين بوكالات تجسس روسية، تستخدم تجهيزات "إنترنت الأشياء" مثل الهواتف والطابعات المتصلة بالإنترنت لاختراق الشبكات الحاسوبية للشركات.
فانسي بير لا تعرف الهدوء
القراصنة الرقميون الروس -الذين يستخدمون أسماء مثل سترونتيوم، فانسي بير، وإيه بي تي-28- مرتبطون بوكالة الاستخبارات العسكرية التي تعرف اختصاراً باسم: جي آر يو GRU (مديرية الاستخبارات الرئيسية).
بدأت المجموعة عملها منذ العام 2007 على الأقل. وتُنسَب إليها قائمة طويلة من الأعمال المشينة، بما في ذلك اختراق اللجنة الوطنية الديمقراطية عام 2016، وهجمات نوت بيتيا التعطيلية ضد أوكرانيا عام 2017، واستهداف مجموعات سياسية في أوروبا وشمال أميركا طوال العام 2018.
عدم أمان الأشياء
أدت الحملة الجديدة التي شنتها GRU إلى تعريض إنترنت الأشياء شائعة الاستخدام بما في ذلك الهاتف الذي يستخدم تقنية الصوت عبر الإنترنت VOIP، والطابعة المكتبية المتصلة بالإنترنت، ووحدة فك ترميز الفيديو من أجل الوصول إلى شبكات الشركات الحاسوبية. وتتمتع مايكروسوفت بواحدة من أفضل درجات "الرؤية والملاحظة" ضمن الشبكات الخاصة بالشركات على وجه الأرض، لأن الكثير من المؤسسات تستخدم تجهيزات عاملة بنظام ويندوز. وقد تمكن مركز استخبارات التهديدات التابع لمايكروسوفت من اكتشاف عمل جديد لفانسي بير انطلق في أبريل 2019.
كلمة المرور تبقى كلمة مرور
على الرغم من أن الأشياء مثل الهواتف الذكية والحواسيب المكتبية غالباً ما تأتي في مقدمة الاهتمامات عندما يتعلق الأمر بأمن المعلومات والاتصالات، فإن الطابعات، أو الكاميرات، أو وحدات تفكيك الترميز غالباً ما تترك ثغرات متاحة أمام القراصنة الرقميين لاستغلالها.
في حالات متعددة، لحظت مايكروسوفت وصول فانسي بير إلى عدد من الشبكات المستهدفة لأن أجهزة إنترنت الأشياء تم تشغيلها باستخدام كلمات مرور افتراضية. وفي حالة أخرى، لم يتم تطبيق آخر تحديث لأنظمة الأمان. ومن خلال استخدام هذه الأجهزة كنقاط انطلاق، قام القراصنة الرقميون بتأسيس قواعد ارتكاز متقدمة بحثاً عن تعزيز قدرات الوصول أبعد من ذلك.
حذرت مايكروسوفت في منشور مدونة تم نشره يوم الإثنين قائلة: "حالما نجح الفاعلون في الوصول إلى الشبكة، سمح لهم إجراء مسح شبكي بسيط للبحث عن أجهزة أخرى غير آمنة، باكتشاف الشبكة الحاسوبية والتنقل عبرها بحثاً عن حسابات ذات امتيازات أعلى تمنح حق الوصول إلى بيانات أكثر قيمة".
انتقل القراصنة من جهاز إلى آخر، مما وفر لهم الاستمرارية وإمكانية رسم خريطة للشبكة أثناء تنقلهم، والتخاطب مع المخدمات باستخدام الأوامر والتحكم بها طول مدة اختراقهم.
أهداف عالمية
كانت مايكروسفت تراقب هذه المجموعة عن كثب طوال السنة الماضية.
من بين 1,400 إخطار قدمتها الشركة إلى أولئك المستهدفين أو المعرضين للخطر من قبل فانسي بير، كان 20% منها موجهة إلى منظمات عالمية غير حكومية، أو مراكز بحثية، أو منظمات مرتبطة بتوجهات سياسية. أما الثمانين بالمائة المتبقية، فكانت لمختلف القطاعات بما في ذلك الحكومية، والتكنولوجية، والعسكرية، والطبية، والتعليمية، والهندسية.
وقد حذرت مدونة مايكروسوفت: "لقد لاحظنا أيضاً وأبلغنا عن هجمات سترونتيوم ضد اللجان المنظمة للألعاب الأولمبية، ووكالات مكافحة المنشطات، وقطاع الضيافة".
في العام الماضي، اتخذ مكتب التحقيقات الفيدرالي إف بي آي إجراءً معرقلاً ضد حملة فانسي بير يُعرف باسم "في بي إن فلتر VPNFilter" والذي استهدف أجهزة التوجيه (راوترات) وأجهزة التخزين الشبكي ببرمجية خبيثة تتمتع بقدرات تدميرية تتمثل في "تعطيل" الجهاز عن طريق حذف برنامج التشغيل الثابت وجعل الجهاز غير صالح للاستخدام. وقد استهدفت تلك الحملة أوكرانيا على وجه الخصوص، وهي أحد الأهداف المفضلة لفانسي بير.