تحذير سيبراني دولي من استهداف روسي لأجهزة التوجيه الثغرة حول العالم

تحذير دولي عاجل من استغلال استخبارات روسيا لأجهزة التوجيه ضعيفة التكوين.

تحذير سيبراني دولي من استهداف روسي لأجهزة التوجيه الثغرة حول العالم
تحالف سيبراني دولي يحذر من استغلال روسيا لثغرات أجهزة التوجيه.

أصدرت 19 وكالة للأمن السيبراني من 12 دولة تحذيراً مشتركاً عاجلاً يفيد باستغلال جهات فاعلة تابعة لجهاز الأمن الفيدرالي الروسي (FSB) لأجهزة التوجيه ومعدات الشبكات ضعيفة التكوين حول العالم. 

وركز التحذير، الذي شاركت في إعداده وكالة الأمن القومي الأميركية (NSA)، ووكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA)، والمركز الوطني للأمن السيبراني البريطاني (NCSC)، ونظراؤهم من أستراليا، وكندا، ودول الاتحاد الأوروبي، ونيوزيلندا، على الأنشطة السيبرانية التي ينفذها “مركز 16” التابع للجهاز، والذي ينشط تحت عدة أسماء مستعارة أبرزها Berserk Bear وEnergetic Bear وCrouching Yeti وDragonfly وGhost Blizzard وStatic Tundra.

وأوضح التحذير المشترك أن المهاجمين يجرون مسحاً آلياً شاملاً لنطاقات عناوين IP عبر الإنترنت، بحثاً عن أجهزة توجيه ومعدات شبكية لا تزال تفعل إصدارات بروتوكول إدارة الشبكات البسيط القديمة SNMPv1 وSNMPv2 وتقبل “سلاسل مجتمع” (Community Strings) افتراضية أو ضعيفة مثل “public” أو “private”، وهي كلمات مرور مشتركة تظل غالباً دون تغيير من قبل مسؤولي الأنظمة. ويستغل المهاجمون هذه المنافذ لجمع ملفات الإعدادات من الأجهزة المخترقة، والتي تحتوي عادة على بيانات اعتماد صريحة أو مشفرة بشكل ضعيف، إلى جانب تفاصيل حساسة عن بنية الشبكة الداخلية.

عند سيطرة المهاجمين على جهاز التوجيه، يجري استخدامه كعقدة خروج للهجمات اللاحقة الموجهة ضد قطاعات حيوية تشمل الاتصالات، والدفاع، والطاقة، والخدمات المالية، والمرافق الحكومية، والرعاية الصحية. ويصعب هذا الأسلوب رصد أنظمة الدفاع للنشاط الخبيث كونه يظهر قادماً من عنوان IP موثوق. 

وتطرق التحذير أيضاً إلى استغلال المهاجمين لثغرات معروفة ومصنفة منذ سنوات في أجهزة Cisco، وهما الثغرتان CVE-2018-0171 وCVE-2008-4128، بالإضافة إلى استغلال ميزة التثبيت الذكي Cisco Smart Install (SMI) التي تظل مفعلة في بعض الأجهزة بعد الانتهاء من الإعداد الأولي.

ونقل المركز الوطني للأمن السيبراني البريطاني عن مدير المرونة الوطنية، جوناثان إليسون، قوله إن المركز بالتعاون مع الشركاء الدوليين كشف مراراً الأدوات المتطورة وحملات التنسيق التي تشنها الجهات السيبرانية الروسية لاستغلال الثغرات، مؤكداً أن التحذير يقدم توجيهات حاسمة وقابلة للتنفيذ لحماية البنى التحتية الحيوية.

وجاء هذا التحذير متزامناً مع إعلان المملكة المتحدة والاتحاد الأوروبي رسمياً نسب الهجوم السيبراني الذي استهدف شبكة الكهرباء البولندية في ديسمبر 2025 إلى “مركز 16” الروسي، وهو الهجوم الذي كاد يتسبب في انقطاع التيار الكهربائي عن نحو 500 ألف مدني. وترتب على هذا التقييم السياسي فرض حزمة عقوبات مشتركة شملت 24 فرداً وكياناً متورطين في عمليات سيبرانية وهجينة مرتبطة بأجهزة الاستخبارات الروسية.

وبناء على هذه التهديدات، دعت الوكالات الأمنية المؤسسات التي تدير البنى التحتية الحيوية إلى اتخاذ إجراءات فنية عاجلة، تشمل تعطيل إصداري SNMPv1 وSNMPv2 نهائياً والانتقال إلى بروتوكول SNMPv3 الذي يضمن مصادقة قوية وتشفير البيانات، مع تعيين كلمات مرور فريدة ومعقدة للأجهزة، وتطبيق المصادقة متعددة العوامل (MFA). كما شددت التوصيات على ضرورة تعطيل ميزة Cisco Smart Install، وتقييد الوصول الإداري عبر إغلاق منافذ الإدارة عن الشبكة العامة، والالتزام بتحديث البرامج الثابتة (Firmware) بانتظام مع استبدال الأجهزة التي بلغت نهاية دورة حياتها ومنتهية الصلاحية.

ويؤكد هذا التحذير الدولي أن إهمال ضبط إعدادات أجهزة التوجيه، والاعتماد على مبدأ “الإعداد ثم النسيان”، يمثل ثغرة رئيسية تستغلها مجموعات التهديد المتقدمة منذ أكثر من عقد، مما يجعل تأمين هذه الأجهزة خط الدفاع الأول لحماية الشبكات الحساسة.

الموثوقة والمعتمدة لدى خبراء الأمن السيبراني

تقرأ في نشرتنا التي تصلك كل أسبوع:

  • أحدث أخبار ومستجدات الأمن السيبراني محليًا وعالميًا.
  • تحليلات وتقارير دقيقة يقدمها خبراء المجال.
  • نصائح عملية لتطوير استراتيجياتك السيبرانية.
  • مراجعات شاملة لأهم الأحداث والتطورات التقنية
اذهب إلى الأعلى