قراصنة روس يختطفون إعدادات DNS لأجهزة التوجيه المنزلية

قراصنة الجيش الروسي يستهدفون أجهزة التوجيه المنزلية والمكتبية

وفقًا لتقارير حديثة صادرة عن باحثين في مجال الأمن السيبراني، تمكنت حملة متطورة لاختطاف إعدادات DNS مرتبطة بالجيش الروسي من اختراق أكثر من 5,000 جهاز مستهلك وما يزيد على 200 مؤسسة. الجهة المهددة التي تقف وراء هذه الهجمات، والمعروفة بـ"فورست بليزارد" (ويُشار إليها أيضًا بـ APT28 أو Strontium)، تربطها صلات باستخبارات الجيش الروسي، وهي ناشطة في عمليات اختراق بارزة منذ سنوات.

أسلوب الهجوم بسيط لكنه بالغ الفاعلية. بدلًا من استهداف أجهزة الكمبيوتر أو الهواتف بشكل مباشر، تعمد المجموعة إلى تعديل إعدادات DNS في أجهزة التوجيه المنزلية والمكتبية الصغيرة. وبمجرد اختراق جهاز التوجيه، يصبح كل جهاز متصل به — من أجهزة الكمبيوتر المحمولة والهواتف وأجهزة التلفزيون الذكية إلى أجهزة الكمبيوتر المكتبية — هدفًا محتملًا.

كيف يعمل اختطاف DNS فعليًا؟

يُوصف نظام أسماء النطاقات (DNS) أحيانًا بأنه دليل هاتف الإنترنت. فعندما تكتب عنوان موقع ويب في متصفحك، يستعلم جهازك عن خادم DNS للحصول على عنوان IP الرقمي اللازم للاتصال. وفي الظروف الاعتيادية، يُوجَّه هذا الاستعلام إلى خادم DNS موثوق، غالبًا ما يكون مقدَّمًا من مزود خدمة الإنترنت الخاص بك.

حين يعدّل المهاجمون إعدادات DNS لجهاز التوجيه، يُعيدون توجيه تلك الاستعلامات إلى خوادم يسيطرون عليها. ومن هناك، يمكنهم معرفة المواقع التي تحاول زيارتها بالضبط، وفي بعض الحالات، اعتراض حركة المرور الفعلية. وقد وجد الباحثون أن هذه الطريقة أتاحت لـ"فورست بليزارد" التقاط بيانات نصية واضحة، من بينها رسائل بريد إلكتروني وبيانات اعتماد تسجيل الدخول، من الأجهزة المتصلة بأجهزة التوجيه المخترقة.

يُعدّ هذا الأمر مثيرًا للقلق بشكل خاص، إذ يفترض كثير من المستخدمين أن اتصالاتهم محمية لمجرد استخدامهم مواقع HTTPS أو خدمات بريد إلكتروني مشفرة. لكن عندما يُختطف DNS على مستوى جهاز التوجيه، يكتسب المهاجمون رؤية على تدفقات حركة المرور، ويمكنهم في ظروف معينة تجريد تلك الحماية منها.

من هو "فورست بليزارد"؟

يُنسب "فورست بليزارد"، المعروف أيضًا بالأسماء المستعارة APT28 وStrontium، على نطاق واسع إلى وكالة استخبارات الجيش الروسي GRU. وقد ارتبطت المجموعة بهجمات استهدفت وكالات حكومية ومقاولين في قطاع الدفاع ومنظمات سياسية وبنية تحتية حيوية في أنحاء أوروبا وأمريكا الشمالية.

تمثل هذه الحملة تحولًا في التكتيكات نحو البنية التحتية الاستهلاكية. فكثيرًا ما يُهمَل أمن أجهزة التوجيه المنزلية والمكتبية الصغيرة. فهي نادرًا ما تتلقى تحديثات للبرامج الثابتة، وغالبًا ما تعمل ببيانات الاعتماد الافتراضية، ولا تخضع عادةً لمراقبة فرق أمن تقنية المعلومات. وهذا ما يجعلها نقاط دخول جذابة لأي مجموعة تسعى إلى اعتراض الاتصالات على نطاق واسع.

يُتيح اختراق أجهزة التوجيه أيضًا للمهاجمين الحفاظ على وصول دائم. فحتى إذا أُزيلت البرمجيات الخبيثة من جهاز بعينه، يستمر جهاز التوجيه المخترق في إعادة توجيه حركة المرور حتى يتم تنظيف الجهاز نفسه وإعادة تهيئته.

ماذا يعني هذا بالنسبة لك؟

إذا كنت تستخدم جهاز توجيه منزليًا أو مكتبيًا صغيرًا اعتياديًا، فإن هذه الحملة تمسك بشكل مباشر، حتى لو لم تكن موظفًا حكوميًا أو هدفًا محتملًا للتجسس. يوحي نطاق الهجوم — الذي يتجاوز 5,000 جهاز مستهلك — بأن الاستهداف واسع لا دقيق.

ثمة عدة خطوات عملية تستحق الاتخاذ ردًا على هذا الخبر.

تحقق من إعدادات DNS في جهاز التوجيه الخاص بك. سجّل الدخول إلى لوحة الإدارة في جهاز التوجيه (عادةً على عنوان 192.168.1.1 أو 192.168.0.1) وتحقق من أن خوادم DNS المدرجة هي خوادم تعرفها وتثق بها. إذا رأيت عناوين IP غير مألوفة لم تقم بإدخالها بنفسك، فذلك مؤشر خطر واضح.

حدّث البرنامج الثابت لجهاز التوجيه الخاص بك. يُصدر مصنّعو أجهزة التوجيه تحديثات دورية للبرامج الثابتة تعالج الثغرات الأمنية. كثير من أجهزة التوجيه توفر خيارًا للتحقق من التحديثات مباشرةً من لوحة الإدارة. إذا كان جهاز التوجيه لديك عمره عدة سنوات ولم يعد المصنّع يدعمه، فكّر في استبداله.

غيّر كلمة المرور الافتراضية للمسؤول في جهاز التوجيه. بيانات الاعتماد الافتراضية منشورة على نطاق واسع وهي من أول ما يحاول المهاجمون تجربته. كلمة مرور قوية وفريدة لواجهة إدارة جهاز التوجيه ترفع بشكل ملحوظ عتبة الاختراق.

استخدم شبكة VPN مزودة بحماية من تسرب DNS. تُوجّه شبكة VPN حركة مرورك، بما في ذلك استعلامات DNS، عبر نفق مشفر إلى خوادم خارج شبكتك المحلية. حتى إذا تم التلاعب بإعدادات DNS في جهاز التوجيه الخاص بك، تضمن شبكة VPN ذات الحماية المناسبة من تسرب DNS أن تُحلَّ استعلاماتك عبر خوادم مزود الـ VPN بدلًا من خوادم المهاجم. لا يجعل هذا جهاز التوجيه المخترق آمنًا، لكنه يُقيّد بشكل ملحوظ ما يمكن للمهاجم مراقبته أو اعتراضه.

فكّر في استخدام DNS مشفر بشكل مستقل. الخدمات التي تدعم DNS عبر HTTPS (DoH) أو DNS عبر TLS (DoT) تشفّر استعلامات DNS الخاصة بك حتى بدون شبكة VPN، مما يجعل اعتراضها أو إعادة توجيهها أمرًا أصعب.

تُذكّرنا حملة "فورست بليزارد" بأن أمن الشبكات يبدأ من جهاز التوجيه. الأجهزة التي تربط منزلك أو مكتبك بالإنترنت تستحق الاهتمام ذاته الذي تمنحه لأجهزة الكمبيوتر والهواتف على مكتبك. إبقاؤها محدَّثة، ومهيَّأة بشكل صحيح، وخاضعة للمراقبة ليس اختياريًا — إنه الأساس الذي يرتكز عليه كل شيء آخر. إذا لم تراجع إعدادات جهاز التوجيه مؤخرًا، فهذا هو الوقت المناسب للبدء.