أعلنت مايكروسوفت اليوم الخميس، اكتشاف حملة تجسس روسية ضد السفارات الغربية بموسكو باستهداف البنية التحتية المحلية للإنترنت والاتصالات التي يستخدمها الدبلوماسيون في العاصمة الروسية.
ولاحظت مايكروسوفت هذه المجموعة، المعروفة باسم «سيكرت بليزارد»، تنشر برنامج تجسس يُسمى «أبولو شادو» داخل أنظمة مزودي خدمات الإنترنت والاتصالات المحليين التي تستخدمها السفارات، بهدف اعتراض معلومات حساسة تنتجها البعثات الدبلوماسية وموظفوها، وفق تقرير مايكروسوفت.
كما يرجح أن قراصنة الإنترنت يستغلون «هيكلية التنصت القانوني» في روسيا لزرع البرمجيات الخبيثة داخل أنظمة الإنترنت والاتصالات، وفق موقع «نكست جوف» التقني.
ويتمثل الهجوم، المعروف باسم «الخصم في المنتصف» (adversary-in-the-middle)، في إعادة توجيه الأجهزة الدبلوماسية المستهدفة إلى صفحة دخول محجوزة «بوابة مقيدة» (captive portal)، وهي صفحة تسجيل دخول شائعة في الفنادق والمطارات لتسهيل استخدام الإنترنت العام. وعند وضع الجهاز خلف هذه الصفحة، يشغل نظام ويندوز تلقائياً مؤشر حالة الاتصال «كونيكتيفيتي ستاتس إنديكيتور» (Connectivity Status Indicator)، وهي خدمة شرعية تتحقق من الوصول إلى الإنترنت عبر إرسال طلب إلى موقع مايكروسوفت.
لكن بدلاً من الاتصال بمايكروسوفت، يُحوّل الطلب إلى خادم يتحكم فيه القراصنة، وقد يرى الضحايا تحذيراً مزيفاً بشأن الشهادة الرقمية ويُطلب منهم تنزيل برنامج «أبولو شادو» سراً.
في حين، يخفي المهاجمون العملية على أنها تثبيت برنامج مكافحة الفيروسات «كاسبرسكي». وإذا وافق الضحية، فإن العملية تثبت سراً أذونات خبيثة تمنح المتسللين صلاحيات مرتفعة وقدرة على الوصول إلى اتصالات الضحية المؤمنة.
يُذكر أن «كاسبرسكي» هي شركة روسية كبيرة في مجال الأمن السيبراني معروفة بمنتجاتها لمكافحة الفيروسات. حُظرت من السوق التجارية الأميركية بالكامل الصيف الماضي، قبيل فرض وزارة الخزانة الأميركية عقوبات على عدد من قياداتها العليا.
ولم تكشف مايكروسوفت عن السفارات أو القنصليات التي استهدفتها مجموعة «سيكرت بليزارد».
وتُعد مجموعة «سيكرت بليزارد» وحدة روسية رفيعة المستوى مرتبطة بجهاز الأمن الفيدرالي الروسي المعروف اختصاراً بـ«إف إس بي» (FSB). لوحظ نشاط المجموعة في نحو 50 دولة حول العالم، وفق تحذير أصدرته وكالة الأمن السيبراني وأمن البنية التحتية الأميركية عام 2023.
وقال التقرير الصادر عن مايكروسوفت: "بينما قمنا سابقا بتقييم منخفض الثقة يفيد بأن الفاعل يقوم بأنشطة تجسس إلكتروني داخل حدود روسيا ضد كيانات أجنبية ومحلية، فإن هذه هي المرة الأولى التي يمكننا فيها تأكيد أن لديهم القدرة على القيام بذلك على مستوى مزودي خدمات الإنترنت".
وأضاف التقرير: "هذا يعني أن الموظفين الدبلوماسيين الذين يستخدمون مزودي الإنترنت أو خدمات الاتصالات المحلية في روسيا هم أهداف محتملة للغاية لموقع 'الخصم في المنتصف' الذي تحتله مجموعة سيكرت بليزارد داخل تلك الخدمات".
وتخضع برامج التنصت القانونية في روسيا لنظام يُعرف بـ«سورم» (SORM)، الذي أُقر عام 1995. وتشكل منصات «سورم» جزءاً من جهاز رقابة واسع داخل روسيا، وتعتمد عليه أجهزة أمنية عدة للتنصت على الاتصالات التي تمر عبر الإنترنت الروسي.