كشفت شركة مايكروسوفت عن حملة تجسس سيبراني جديدة تنفذها مجموعة التهديد الروسي Secret Blizzard، تستهدف سفارات أجنبية ومؤسسات دبلوماسية تقع داخل العاصمة الروسية موسكو.
ووفقا لتقرير تقني نُشر في 31 يوليو، فإن الهجوم يعتمد على أنظمة التنصت الداخلية الرسمية في روسيا، ويستخدم ملفات ضارة تتخفى على شكل برمجيات مضادة للفيروسات من شركة كاسبرسكي، مما يزيد من تعقيد اكتشافها.
وتُعد مجموعة Secret Blizzard واحدة من أخطر مجموعات التهديد المستمر المتقدم (APT)، وترتبط بشكل مباشر بجهاز الأمن الفيدرالي الروسي (FSB)، وتستهدف وزارات الخارجية، والسفارات، والمكاتب الحكومية، وشركات الصناعات الدفاعية، باستخدام أساليب متنوعة تشمل التصيد الاحتيالي الموجه وهجمات الوسيط (AiTM)، إلى جانب أدواتها الخاصة وبرمجيات خبيثة مخصصة.
وقد بدأت مايكروسوفت رصد هذه الحملة في فبراير 2025، وهي المرة الأولى التي يتم فيها توثيق تنفيذ مثل هذه الأنشطة التجسسية على مستوى مزودي خدمات الإنترنت المحليين (ISPs). وتستخدم المجموعة أسلوب “الخصم في المنتصف” لزرع برمجيتها الخبيثة الخاصة المسماة ApolloShadow، التي تتيح لها الاستمرار في مراقبة الأجهزة الدبلوماسية واختراقها.
ويُعتقد أن هذه الإمكانية تعتمد على ما يُعرف بالتنصت القانوني، عبر أنظمة روسية مثل “نظام الأنشطة التحقيقية التشغيلية”، ما يتيح للمهاجمين توجيه الأجهزة المستهدفة نحو بوابات مصيدة.
وتبدأ سلسلة الهجوم عندما يحاول الجهاز المستهدف التحقق من الاتصال بالإنترنت، فيرسل طلبا إلى خدمة تحقق مشروعة خاصة بمايكروسوفت. إلا أن النظام يعيد توجيه هذا الطلب إلى نطاق خبيث يتحكم فيه المهاجم، ما يؤدي إلى ظهور خطأ في شهادة الاتصال يدفع الضحية لتنزيل ملف مزيف.
ويقوم هذا الملف، الذي يُعرض كمثبت لبرنامج كاسبرسكي، بتثبيت شهادات جذور ضارة تمنح المهاجم صلاحيات مرتفعة على الجهاز. وعند تنفيذ هذه العملية، يقوم البرنامج الخبيث بتعديل إعدادات الجهاز ليجعل الشبكة الخاصة به أكثر عرضة للاكتشاف ويخفف من قيود الجدار الناري، مما يسهل نقل الملفات والتجسس المستمر.
وقد أوصت مايكروسوفت البعثات الدبلوماسية في موسكو باتخاذ تدابير وقائية مثل تمرير جميع حركة الإنترنت عبر نفق مشفر إلى شبكة موثوقة أو استخدام خدمات VPN، وتطبيق مبدأ أقل قدر من الامتيازات، ومراجعة الحسابات ذات الصلاحيات العالية بانتظام، وحظر تشغيل الملفات التنفيذية غير الموثوقة، ومنع تنفيذ السكربتات المشفرة أو الغامضة.
وفي تعليقها على ما ورد في التقرير، أكدت شركة كاسبرسكي أن العلامات التجارية المعروفة تُستخدم كثيرا كغطاء دون علمها، ودعت المستخدمين لتحميل التطبيقات فقط من المصادر الرسمية، وشددت على أن أنظمتها قادرة بالفعل على رصد هذا النوع من التهديدات.
