في عالم يزداد فيه الاعتماد على التكنولوجيا، تزداد أيضاً مخاطر القرصنة الإلكترونية.

ومع ذلك اختراق البيانات من أكثر الجرائم الإلكترونية شيوعاً وانتشاراً وتُسرق المعلومات الشخصية والبيانات التجارية الحساسة كل يوم.
ولعل أخطر أنواع هجمات القرصنة الإلكترونية هي تلك التي تعتمد على تقنية NTLM Relay.

كيف تعمل هجمات NTLM Relay؟

• يقوم المهاجم بإرسال رسالة بريد إلكتروني تصيد احتيالي إلى المستخدم.
• يفتح المستخدم رسالة البريد الإلكتروني وينقر على رابط ضار أو يفتح مرفقاً ضاراً.
• يُنشئ هذا الإجراء اتصالًا بين جهاز المستخدم وخادم المهاجم.
• يقوم المهاجم بترحيل طلب المصادقة من جهاز المستخدم إلى خادم آخر يسيطر عليه.
• يقوم الخادم المراقب بالمصادقة على طلب المصادقة باستخدام حسابات المستخدم المخترقة.
• يستخدم المهاجم الحسابات المخترقة للوصول إلى شبكة المؤسسة وسرقة البيانات.

ما هي المخاطر التي تواجه المستخدمين من هجمات NTLM Relay؟

• سرقة البيانات الحساسة: يمكن للمهاجمين سرقة معلومات تسجيل الدخول، وكلمات المرور، والبيانات المالية، والمعلومات الشخصية، وغيرها من البيانات الحساسة.
• التحكم في جهاز المستخدم: يمكن للمهاجمين اختراق جهاز المستخدم والتحكم فيه عن بعد.
• نشر البرامج الضارة: يمكن للمهاجمين نشر البرامج الضارة على جهاز المستخدم، مثل فيروسات الفدية أو برامج التجسس.
• تعطيل الخدمات: يمكن للمهاجمين تعطيل الخدمات على شبكة المؤسسة، مما قد يؤدي إلى توقف الأعمال.

هجمات القرصنة الروسية باستخدام “NTLM Relay v2” (أبريل/ نيسان 2022 – نوفمبر/ تشرين الثاني 2023)

بين أبريل/ نيسان 2022 ونوفمبر 2023، شنت عناصر تابعة للحكومة الروسية سلسلة من الهجمات الإلكترونية باستخدام تكتيكات “NTLM Relay v2”.
هذه الهجمات استهدفت مؤسسات ذات أهمية كبرى في جميع أنحاء العالم.

تعريف بالمجموعة الإلكترونية “APT28”

بينما خبراء في مجال الأمن الإلكتروني قد ربطوا هذه الهجمات بالمجموعة الإلكترونية العدائية المعروفة باسم “APT28”.
المجموعة، التي تعمل تحت أسماء عدة مثل “Blue Athena”، “BlueDelta”، “Fancy Bear”، وغيرها، قد استهدفت قطاعات متعددة منها الشؤون الخارجية والطاقة.

أهداف الهجمات وطرق التنفيذ

شركة “Trend Micro” المتخصصة في الأمن الإلكتروني أوضحت أن هذه الهجمات تمثل طريقة مكلفة فعالة للمهاجمين لاختراق شبكات الضحايا. المهاجمون تمكنوا من اختراق الآلاف من حسابات البريد الإلكتروني.

تاريخ ونشاط “APT28”

“APT28” تعود إلى عام 2009 على الأقل، وتعمل تحت إدارة الاستخبارات العسكرية الروسية “GRU”.
للمجموعة تاريخ طويل في تنفيذ حملات التصيد الاحتيالي وهجمات إلكترونية استراتيجية.

استغلال ثغرات في معدات “Cisco”

بالإضافة إلى ذلك في إبريل/ نيسان 2023، استغلت “APT28” ثغرات أمنية كانت موجودة في معدات شبكات “Cisco”.
كما هذه الثغرات استخدمت للقيام باستطلاعات ونشر برمجيات ضارة ضد أهداف مختارة بعناية.

مواجهة التحدي المستمر لهجمات NTLM Relay

تُعد هجمات “NTLM Relay” تهديداً مُتطوراً ومُستمراً، يُشكل تحدياً كبيراً للأمن الإلكتروني في الوقت الحالي.

مع ازدياد تعقيد هذه الهجمات وتطورها المستمر، يزداد التأكيد على أهمية اليقظة والحذر، والتحديث المستمر للمعلومات والمعرفة بأحدث التهديدات.

بالإضافة إلى ذلك القراصنة الروس، وخاصة مجموعات مثل “APT28″، يُشكلون خطراً كبيراً على الأمن الإلكتروني. يواصلون تطوير أساليبهم بشكل يتجاوز الحلول الأمنية التقليدية.

ومع ذلك يصبح البحث المستمر عن استراتيجيات دفاعية مُبتكرة ضرورياً لمواكبة هذه التطورات، والتصدي لهذه التهديدات بشكل فعال.

من ناحية أخرى يجب أن نركز على فهم ديناميكيات الهجمات، وتطوير تقنيات رصد ومنع أكثر فعالية، لضمان حماية أنفسنا من هجمات “NTLM Relay” وغيرها من التكتيكات المتقدمة.

كاتب المقال يحيى الصبيح ينصح بقراءة ...

أسباب إخفاق هجمات روسيا السيبرانية على أوكرانيا