تقف مديرية المخابرات الرئيسية في روسيا (GRU) وراء حملة مستمرة منذ سنوات تستهدف مقدمي خدمات الطاقة والاتصالات والتكنولوجيا، وسرقة بيانات الاعتماد وتعريض الأجهزة التي تم تكوينها بشكل خاطئ والمستضافة على AWS لمنح متطفلي الكرملين وصولاً مستمرًا إلى الشبكات الحساسة، وفقًا لرئيس الأمن في أمازون.
“The campaign demonstrates sustained focus on Western critical infrastructure, particularly the energy sector, with operations spanning 2021 through the present day,” سي جي موسيس، كبير مسؤولي أمن المعلومات (CISO) في Amazon Integrated Security،”_blank” rel=”nofollow” href=”https://aws.amazon.com/blogs/security/amazon-threat-intelligence-identifies-russian-cyber-threat-group-targeting-western-critical-infrastructure/”> قال في تقرير التهديد يوم الاثنين. “Going into 2026, organizations must prioritize securing their network edge devices and monitoring for credential replay attacks to defend against this persistent threat.”
قام موسى بتسمية أجهزة توجيه المؤسسات، ومكثفات VPN، وبوابات الوصول عن بعد، وأجهزة إدارة الشبكة كأجهزة تستحق الاهتمام.
وقال إن الروس يحاولون أيضًا الوصول إلى أنظمة الشركات من خلال استهداف التعاون بين المنظمات ومنصات الويكي، بالإضافة إلى أدوات إدارة المشاريع المستندة إلى السحابة.
رفضت AWS الإجابة السجلأسئلة حول عدد الضحايا في هجمات GRU.
وفقًا لمدونة موسى، تشمل الأهداف الرئيسية للمهاجمين الروس مؤسسات قطاع الطاقة الغربية ومورديها، ومقدمي البنية التحتية الحيوية الآخرين في أمريكا الشمالية وأوروبا، والمنظمات ذات البنية التحتية للشبكات المستضافة على السحابة.
من 0 أيام إلى التكوينات الخاطئة للجهاز
تتبعت شركة Amazon Threat Intelligence الاختراقات السيبرانية للبنية التحتية العالمية حتى عام 2021، حيث استهدف المجرمين في البداية الأجهزة التي تم تكوينها بشكل خاطئ واستغلالها.”_blank” rel=”nofollow” href=”https://nvd.nist.gov/vuln/detail/cve-2022-26318″>CVE-2022-26318، ثغرة أمنية خطيرة في أجهزة WatchGuard Firebox وXTM والتي سمحت للمستخدمين غير المصادقين بتنفيذ تعليمات برمجية عشوائية عبر الوصول إلى الإدارة المكشوفة.
انتقل المهاجمون إلى استغلال اثنتين من نقاط الضعف الحرجة في Confluence،”_blank” href=”https://www.theregister.com/2021/08/26/atlassian_critical_confluence_flaw/e”>CVE-2021-26084 و”_blank” href=”https://www.theregister.com/2023/11/08/atlassian_confluence_flaw_upgraded/”>CVE-2023-22518 بين عامي 2022 و2023 قبل إساءة استخدام ثغرة Veeam (“_blank” href=”https://www.theregister.com/2024/07/11/estate_ransomware_veeam_bug/”>CVE-2023-27532) والتي تم استغلالها أيضًا من قبل مجرمي برامج الفدية في عام 2024.
منذ عام 2022 على الأقل، وما زالت مستمرة حتى يومنا هذا، كانت GRU تهاجم أجهزة حافة الشبكة التي تم تكوينها بشكل خاطئ، وفقًا لموزس، الذي لاحظ أيضًا انخفاضًا في استغلال ثغرات N-day وZero-day هذا العام.
وهذا يمثل أ “concerning evolution,” بسبب إحداث ثغرات في التكوينات الخاطئة – بدلاً من استغلال العيوب الأمنية البارزة – “significantly” يقلل من المهاجمين “risk of exposing their operations through more detectable vulnerability exploitation activity,” وأضاف.
عند اقتحام شبكات الضحايا، أنشأ الأوغاد اتصالات مستمرة ببرامج أجهزة الشبكة الخاصة بمثيلات EC2 المخترقة.
“تعطيل العمليات بشكل مستمر”.
تتم استضافة العديد من أجهزة حافة الشبكة التي تم تكوينها بشكل خاطئ كأجهزة افتراضية على AWS، ووفقًا لمتحدث باسم الشركة، فقد تم استضافة عملاق السحابة “continually disrupting” عمليات المهاجمين “as we identify activity.” يتضمن ذلك إخطار العملاء المتأثرين، ومعالجة حالات EC2 المخترقة، ومشاركة المعلومات مع شركاء الصناعة والموردين المتأثرين وجهات إنفاذ القانون.
بالإضافة إلى مهاجمة البنية التحتية لشبكات المؤسسات، لاحظت أمازون هجمات إعادة تشغيل بيانات الاعتماد المنهجية التي حاول فيها المتسللون استخدام بيانات اعتماد الضحايا للوصول إلى خدماتهم عبر الإنترنت. وفي الحالات المحددة التي حاول فيها مهاجمو الكرملين المصادقة على خدمات AWS، لم يجدوا نجاحًا، وفقًا لعملاق السحابة.
لم تراقب أمازون بشكل مباشر سرقة الروس لبيانات الاعتماد، وبالتالي لا يمكنها تحديد الآلية الدقيقة التي يجمع بها الجواسيس معلومات تسجيل دخول المستخدمين. قال موسى “multiple indicators,” بما في ذلك الفجوة الزمنية بين اختراق الجهاز ومحاولات المصادقة، بالإضافة إلى استخدام بيانات اعتماد الضحايا (وليس الجهاز)، تشير إلى أن عملاء الإنترنت استخدموا التقاط الحزم وتحليل حركة المرور كطريقة أساسية لجمع البيانات.
هناك بعض التداخل بين البنية التحتية للمهاجمين المستخدمة في هذه الحملة ومتجر الأمان الجماعي الذي يتتبعه Bitdefender”_blank” href=”https://www.theregister.com/2025/11/04/russian_spies_pack_custom_malware/”> رفاق مجعد. في ضوء ذلك، تقدر أمازون أن النشاط المستمر الذي تتتبعه، بالإضافة إلى حوادث Curly COMrades الأمنية السابقة – إساءة استخدام Hyper-V للتهرب من أمان نقطة النهاية واستخدام عمليات الزرع المخصصة بما في ذلك CurlyShell وCurlCat – قد تكون جزءًا من حملة GRU أوسع.
- يقوم الجواسيس الروس بتعبئة برامج ضارة مخصصة في أجهزة افتراضية مخفية على أجهزة تعمل بنظام Windows
- الولايات المتحدة تسلّم امرأة أوكرانية متهمة باختراق مصنع لتصنيع اللحوم لصالح روسيا
- يطلق المتسللون الروس خدمة فدية بسيطة، لكنهم يخزنون المفاتيح بنص عادي
- شركة RomCom الروسية من بين الشركات التي تستغل برنامج WinRAR 0-day في هجمات شديدة الاستهداف
“This potential operational division, where one cluster focuses on network access and initial compromise while another handles host-based persistence and evasion, aligns with GRU operational patterns of specialized subclusters supporting broader campaign objectives,” كتب موسى.
ونظرًا لمشهد التهديدات، تقترح أمازون على المؤسسات أن تتخذ العديد من التهديدات “immediate priority actions.” تتضمن قائمة المهام هذه إجراء تدقيق لجهاز حافة الشبكة، ومراجعة جميع سجلات المصادقة لإعادة استخدام بيانات الاعتماد بين واجهات إدارة جهاز الشبكة والخدمات عبر الإنترنت، ومراقبة الجلسات التفاعلية لبوابات إدارة الجهاز من عناوين IP غير المتوقعة للمصدر.
يتبع التنبيه الأمني من أمازون”_blank” href=”https://www.theregister.com/2025/12/10/pro_russia_hacktivist_charged/”> صدرت التوجيهات في الأسبوع الماضي من عدة وكالات حكومية أمريكية، إلى جانب أكثر من 20 شريكًا دوليًا، حددت الإجراءات التي يجب على مالكي ومشغلي التكنولوجيا التشغيلية (OT) اتخاذها لتأمين شبكاتهم الحيوية ضد الهجمات التي تشنها مجموعات القرصنة الموالية لروسيا المرتبطة بـ GRU.
لم يستجب CISA ولا مكتب التحقيقات الفيدرالي على الفور السجلاستفسارات حول حملة GRU الموثقة من قبل أمازون. ®