حذرت وكالات أمن سيبراني أمريكية ودولية من استمرار قراصنة مدعومين من الحكومة الروسية في استغلال أجهزة الراوتر القديمة أو غير المؤمنة للتسلل إلى شبكات البنية التحتية الحيوية، ضمن حملة تجسس إلكتروني مستمرة منذ أكثر من عقد.
وجاء التحذير في بيان مشترك صادر عن وكالة الأمن القومي الأمريكية (NSA) ووكالة الأمن السيبراني وأمن البنية التحتية (CISA) ومكتب التحقيقات الفيدرالي (FBI)، إلى جانب عدد من الشركاء الدوليين.
وأوضح البيان أن المجموعة المرتبطة بـ "المركز 16" التابع لجهاز الأمن الفيدرالي الروسي (FSB) تواصل استهداف معدات الشبكات الضعيفة، خاصة في قطاعات حيوية مثل الطاقة والرعاية الصحية والمؤسسات الحكومية.
أجهزة الراوتر القديمة بوابة للهجمات الإلكترونية
وأشار خبراء الأمن السيبراني إلى أن المهاجمين يبحثون عن أجهزة راوتر متصلة مباشرة بالإنترنت وتعمل بإصدارات قديمة أو غير مؤمنة من بروتوكول SNMP (Simple Network Management Protocol) المستخدم في إدارة الشبكات.
وفي حال استخدام هذه الأجهزة بيانات اعتماد افتراضية أو كلمات مرور ضعيفة، يمكن للمهاجمين إجبارها على إرسال ملفات الإعدادات الخاصة بها إلى خوادم تحت سيطرتهم، ما يمنحهم معلومات مهمة عن طبيعة الشبكة المستهدفة.
كما تستغل المجموعة ثغرات معروفة في بعض أجهزة Cisco القديمة، بالإضافة إلى إساءة استخدام ميزة Cisco Smart Install التي قد تظل مفعلة حتى بعد الانتهاء من إعداد الجهاز، لتوفير نقطة دخول إضافية إلى الشبكات.
لماذا تستهدف الهجمات أجهزة الراوتر؟
رغم أن أجهزة الراوتر قد تبدو هدفًا بسيطًا، فإنها تحتوي على معلومات حساسة تساعد المهاجمين في فهم البنية الداخلية للشبكات، ومنها:
بيانات تسجيل الدخول إلى الشبكة. إعدادات الشبكة الداخلية. تفاصيل البنية التحتية ومسارات الاتصال.
وتسمح هذه المعلومات برسم خريطة دقيقة للشبكة، وتحديد الأنظمة الأكثر أهمية تمهيدًا لاستهدافها لاحقًا.
وأكدت الوكالات أن الهدف الأساسي من هذه الحملات لا يتمثل في التخريب الفوري، وإنما في جمع المعلومات والحفاظ على وصول سري طويل الأمد يمكن استخدامه مستقبلًا وفقًا للأهداف الاستراتيجية للجهات التي تقف خلف الهجمات.
توصيات لتعزيز حماية الشبكات
ودعت الجهات الأمنية المؤسسات إلى اتخاذ إجراءات عاجلة للحد من مخاطر الاختراق، أبرزها:
استبدال أجهزة الراوتر التي توقفت عن تلقي التحديثات الأمنية. تثبيت أحدث إصدارات البرامج الثابتة Firmware. تعطيل ميزة Cisco Smart Install عند عدم الحاجة إليها. الترقية من بروتوكولي SNMPv1 وSNMPv2 إلى SNMPv3 الذي يوفر مستويات أقوى من المصادقة والتشفير. استخدام كلمات مرور قوية وفريدة. تقييد الوصول إلى بروتوكولات إدارة الشبكات للأجهزة الموثوقة فقط. مراقبة محاولات تسجيل الدخول غير المعتادة والأنشطة المشبوهة داخل الشبكة.
وأكدت الوكالات أن الالتزام بهذه الإجراءات يمثل أساسيات الحماية السيبرانية الحديثة، مشددة على أن إهمال تحديث وتأمين أجهزة الشبكات يمنح الجهات المدعومة من الدول فرصة لاختراق الأنظمة دون الحاجة إلى استخدام تقنيات هجومية معقدة.
ودعت المؤسسات إلى مراجعة جميع أجهزة الشبكات المتصلة بالإنترنت، خاصة الأجهزة القديمة التي لم تعد تحصل على تحديثات أمنية.