مكتب التحقيقات الفيدرالي يُعطّل شبكة اختطاف DNS التابعة للاستخبارات العسكرية الروسية GRU

مكتب التحقيقات الفيدرالي ووزارة العدل يُفككان شبكة أجهزة توجيه الاستخبارات العسكرية الروسية

أعلنت وزارة العدل الأمريكية ومكتب التحقيقات الفيدرالي في السابع من أبريل 2026 عن إتمامهما عملية مُرخَّصة قضائياً لتعطيل شبكة من أجهزة التوجيه المخترقة، كانت تستخدمها وحدة تابعة لمديرية الاستخبارات الرئيسية الروسية، المعروفة اختصاراً بـ GRU. استهدفت العملية آلاف أجهزة التوجيه المخصصة للمكاتب الصغيرة والمنازل، التي جرى اختطافها بصمت لتنفيذ هجمات اختطاف نظام أسماء النطاقات DNS ضد أفراد ومنظمات في القطاعات العسكرية والحكومية والبنية التحتية الحيوية.

يكشف نطاق هذه العملية وأسلوبها عن صورة واضحة لكيفية استغلال الجهات الفاعلة التي ترعاها الدول للأجهزة الاستهلاكية المُهملة في تنفيذ حملات جمع استخباراتية متطورة.

كيف عمل هجوم اختطاف DNS

استغلّت وحدة GRU ثغرات معروفة في أجهزة التوجيه من ماركة TP-Link، وهي ماركة شائعة الانتشار في المنازل والشركات الصغيرة حول العالم. وبمجرد اختراق الجهاز، عمد المهاجمون إلى التلاعب في إعدادات DNS الخاصة به. ويُعدّ نظام أسماء النطاقات DNS العملية التي تُترجم عنوان موقع ويب مثل "example.com" إلى عنوان IP رقمي تستخدمه الحواسيب للاتصال، وهو يعمل بوصفه دليل عناوين الإنترنت في جوهره.

من خلال تغيير إعدادات DNS في أجهزة التوجيه المخترقة، تمكّنت GRU من إعادة توجيه حركة المرور عبر خوادم تسيطر عليها، دون أن يدرك أصحاب الأجهزة ذلك. تُعرف هذه التقنية بهجوم الجهة الوسيطة (Actor-in-the-Middle). فحين حاول الضحايا زيارة مواقع إلكترونية مشروعة أو تسجيل الدخول إلى حساباتهم، كانت طلباتهم تُعاد توجيهها خِفيةً. ولأن قدراً كبيراً من هذه الحركة كان غير مُشفَّر، تمكّن المهاجمون من حصاد كلمات المرور ورموز المصادقة ومحتوى البريد الإلكتروني بنص صريح.

لم يكن الضحايا مخطئين بالضرورة في أي شيء يفعلونه؛ فقد كانوا يستخدمون أجهزة التوجيه الاعتيادية ويزورون المواقع المعتادة. وقد جرى الهجوم على مستوى البنية التحتية، بعيداً عن مرمى بصر معظم المستخدمين، بل وكثير من فِرق تقنية المعلومات أيضاً.

لماذا تُمثّل أجهزة توجيه المكاتب الصغيرة والمنازل هدفاً دائماً

باتت أجهزة التوجيه المخصصة للمكاتب الصغيرة والمنازل نقطة دخول مُفضَّلة لدى جهات التهديد المتطورة لأسباب عدة؛ إذ إنها كثيرة الانتشار، وكثيراً ما تكون سيئة الصيانة، ونادراً ما تخضع للمراقبة. وتحديثات البرامج الثابتة على أجهزة التوجيه الاستهلاكية نادرة، وكثير من المستخدمين لا يُغيّرون بيانات الاعتماد الافتراضية أو يراجعون إعدادات الجهاز بعد الإعداد الأولي.

وليست هذه المرة الأولى التي يضطر فيها مكتب التحقيقات الفيدرالي للتدخل لتنظيف شبكات أجهزة توجيه مخترقة؛ إذ استهدفت عمليات مماثلة في سنوات سابقة بنية تحتية لشبكات الروبوتات، شملت أجهزة من شركات مُصنِّعة متعددة. ويعكس استمرار هذا النهج الهجومي مشكلة هيكلية جوهرية: فأجهزة التوجيه تقع عند حدود كل شبكة، لكنها تحظى باهتمام أمني أقل بكثير مقارنةً بالأجهزة التي تقع خلفها.

وقد تضمّنت عملية وزارة العدل المُرخَّصة قضائياً تعديلاً عن بُعد لأجهزة التوجيه المخترقة بهدف قطع وصول GRU وإزالة الإعدادات الخبيثة. ويُعدّ هذا النوع من التدخل نادراً ويستلزم موافقة قضائية، مما يُشير إلى مدى خطورة التهديد في نظر السلطات الأمريكية.

ما الذي يعنيه هذا بالنسبة إليك

إن كنت تستخدم جهاز توجيه استهلاكياً في منزلك أو مكتبك الصغير، فإن هذه العملية تُمثّل إشارة مباشرة إلى أن جهازك يمكن أن يصبح جزءاً من عملية استخباراتية دون علمك أو مشاركتك. فالهجوم لم يستلزم من الضحايا النقر على رابط خبيث أو تنزيل أي شيء، بل اقتصر الأمر على أن يعمل جهاز التوجيه الخاص بهم ببرامج ثابتة قابلة للاختراق وأن تمر حركة مرور الإنترنت عبره غير مُشفَّرة.

ثمة خطوات عملية ملموسة تستحق الاتخاذ استجابةً لهذا الخبر.

أولاً، تحقّق مما إذا كانت هناك تحديثات للبرامج الثابتة متاحة لجهاز التوجيه لديك وقم بتثبيتها. يُصدر مصنّعو أجهزة التوجيه تصحيحات دورية للثغرات المعروفة، غير أن هذه التصحيحات لا تُجدي إلا إذا جرى تثبيتها. وتتيح كثير من أجهزة التوجيه تفعيل التحديثات التلقائية من خلال واجهة الإعدادات.

ثانياً، غيّر بيانات الاعتماد الافتراضية لتسجيل الدخول إلى جهاز التوجيه. فعدد كبير من الأجهزة المخترقة في عمليات كهذه يجري الوصول إليها باستخدام أسماء المستخدمين وكلمات المرور الافتراضية المُوثَّقة علناً.

ثالثاً، تأمّل طبيعة حركة مرور الإنترنت لديك حين تغادر جهاز التوجيه. فحركة المرور غير المُشفَّرة، سواء اتصالات HTTP أو بعض بروتوكولات البريد الإلكتروني أو بعض اتصالات التطبيقات، يمكن قراءتها إذا جرى إعادة توجيه DNS. ويضمن استخدام بروتوكولات DNS المُشفَّرة مثل DNS عبر HTTPS أو DNS عبر TLS أن استفساراتك الخاصة بـ DNS لا يمكن اعتراضها أو التلاعب بها عبر جهاز توجيه مخترق أو خادم يمر عبره.

رابعاً، يمكن أن توفر الشبكة الافتراضية الخاصة VPN طبقة حماية إضافية من خلال تشفير حركة المرور بين جهازك وخادم موثوق قبل أن تصل إلى جهاز التوجيه أو مزود خدمة الإنترنت. وهذا يعني أنه حتى لو جرى التلاعب بـ DNS في جهاز التوجيه، فإن محتوى حركة مرورك يظل غير قابل للقراءة لأي جهة تقع بينك وبين وجهتك.

لا تنطوي أيٌّ من هذه الإجراءات على تعقيد أو تكاليف باهظة، لكن عملية GRU تُثبت بجلاء أن حركة المرور غير المُشفَّرة والأجهزة غير المُحدَّثة تُفرز تعرضاً حقيقياً لأشخاص حقيقيين، لا مجرد مخاطر افتراضية.

لقد أدى تدخّل مكتب التحقيقات الفيدرالي إلى تعطيل هذه الشبكة بعينها، لكن الثغرات الأساسية في أجهزة التوجيه الاستهلاكية لا تزال قائمة. ويبقى البقاء على اطلاع واتخاذ خطوات وقائية أساسية أكثر الاستجابات عملية لسطح هجوم يبدو بعيداً عن الاختفاء.