أطلقت أجهزة الاستخبارات الهولندية تحذيراً صريحاً بخصوص حملة سيبرانية واسعة النطاق تقودها جهات روسية، تستهدف الوصول إلى حسابات دبلوماسيين وعسكريين وموظفين حكوميين على تطبيقي Signal و WhatsApp، مع توقعات بتوسع نطاق الاستهداف ليشمل صحافيين وشخصيات أخرى تهم موسكو، مؤكدة وقوع موظفين حكوميين هولنديين ضحية لهذه العمليات.
وقد أوضح الإفصاح الرسمي الصادر في التاسع من مارس 2026 طبيعة هذا التهديد، الذي يرتكز على خداع المستخدمين للحصول على رموز التحقق والأمان الشخصية PIN، أو دفعهم لربط حساباتهم بأجهزة يسيطر عليها المهاجمون عبر خاصية الأجهزة المرتبطة Linked Devices. ويعتمد هذا الهجوم كلياً على إساءة استخدام خصائص تقنية متاحة مسبقاً داخل هذه الخدمات، دون الاستناد إلى اختراق في البنية التحتية أو وجود ثغرات برمجية في التطبيقين.
أساليب الاختراق والمخاطر التشغيلية
رصدت الاستخبارات الهولندية لجوء المهاجمين إلى انتحال صفة “روبوت دعم فني” تابع لتطبيق Signal لإقناع المستهدفين بمشاركة رموزهم الأمنية، كما وثقت استغلال ميزة “ربط الأجهزة” في تطبيقي Signal وWhatsApp؛ حيث يتمكن المهاجم فور إتمام الربط من قراءة الرسائل الواردة، ومتابعة المحادثات الفردية والجماعية، والوصول إلى بيانات بالغة الحساسية.
وتكتسب هذه الحملة أهمية استثنائية نظراً للسمعة القوية التي تتمتع بها تطبيقات التراسل المشفرة من الطرف إلى الطرف داخل الأوساط الحكومية والدبلوماسية والصحافية، إذ ترى الأجهزة الهولندية أن هذا المستوى المرتفع من الثقة يمثل عامل جذب للمهاجمين، ويُضعف يقظة المستخدمين تجاه رسائل الدعم المزيفة أو طلبات الربط غير المألوفة.
وفي هذا السياق، شدد مدير جهاز الاستخبارات العسكرية الهولندي MIVD، نائب الأميرال بيتر ريسينك، على ضرورة تجنب استخدام تطبيقات المحادثة لتبادل المعلومات المصنفة أو السرية، بغض النظر عن قوة التشفير المستخدم.
رصد تقني متواصل من Google و Microsoft
يتسق هذا التقييم الأمني مع تقارير سابقة أصدرتها كبرى شركات التقنية؛ حيث أعلن قسم تتبع التهديدات السيبرانية Google Threat Intelligence، في التاسع عشر من فبراير 2025، رصد نشاط روسي متزايد يستهدف حسابات Signal لشخصيات تحظى باهتمام استخباري، وذلك عبر استغلال خاصية “الأجهزة المرتبطة” Linked Devices بواسطة رموز QR خبيثة تؤدي إلى ربط حساب الضحية بجهاز المهاجم، مما يتيح وصول الرسائل للطرفين معاً دون اختراق الجهاز الأساسي، وهو خطر أكدت Google شموله لتطبيقي WhatsApp وTelegram أيضاً.
ومن جانبها، كشفت شركة Microsoft في السادس عشر من يناير 2025 عن حملة تصيد نفذتها مجموعة “Star Blizzard” الروسية ضد حسابات WhatsApp، عبر رسائل خادعة توحي بأنها دعوات للانضمام لمجموعات داعمة لمنظمات أوكرانية، مستخدمة رموز QR لربط حسابات الضحايا بواجهة WhatsApp Web أو أجهزة يسيطر عليها المهاجمون، ما مكنهم من قراءة الرسائل وتصديرها، واستهدف ذلك مسؤولين ودبلوماسيين وباحثين في الدفاع والعلاقات الدولية.
كما عرضت الشركة في الثالث عشر من فبراير 2025 تفاصيل حملة أخرى نُسبت لجهة تخدم المصالح الروسية، اعتمدت أسلوب Device Code Phishing عبر واجهات مزيفة لتطبيقات Signal وWhatsApp وMicrosoft Teams لاستدراج الأهداف ومنح المهاجمين رموز وصول فعالة؛ وهو ما يثبت تحول تطبيقات التراسل إلى أدوات عملياتية للوصول إلى البريد الإلكتروني، والخدمات السحابية، وبيانات المؤسسات.
إجراءات الحماية وأهمية الوعي التشغيلي
وجهت الأجهزة الهولندية توصيات عملية لمستخدمي Signal، وشملت ضرورة مراجعة قوائم أعضاء المجموعات للبحث عن أسماء مكررة أو معدلة بشكل طفيف، وتعتبر رؤية اسم الشخص مرتين مؤشراً لاحتمال اختراق حسابه أو إنشاء حساب موازٍ باسمه.
حذرت التوصيات أيضاً من الحسابات التي تغير أسماءها إلى صيغ تمويهية، مثل Deleted account، وشددت على أهمية إزالة أي عضو غير معروف أو غير مصرح له بالتواجد في المجموعة.
تتطلب هذه التهديدات إعادة التحقق من هوية الأشخاص عبر قنوات اتصال بديلة مثل البريد الإلكتروني أو المكالمات الهاتفية، ويُنصح بمغادرة المجموعة وتأسيس مجموعة جديدة كلياً في حال وجود شكوك حول اختراق حساب مدير المجموعة ذاته.
تُظهر هذه الحوادث توجهاً متزايداً ومختلفاً في عمليات التجسس السيبراني، وتؤكد عدم حاجة المهاجمين الدائمة لكسر التشفير أو استغلال ثغرات برمجية معقدة. يتحقق الهدف بتكلفة أقل وسرعة أكبر عبر استدراج المستخدم لتفعيل ميزة نظامية أو تسليم رمز تحقق، وتبرز هنا الأهمية القصوى للوعي التشغيلي، ومراقبة الأجهزة المرتبطة، والتدقيق في طلبات الدعم الفني.
