قراصنة روس يتحدّون المصادقة الثنائية 2FA الخاصة بجوجل: تفاصيل اختراق جريء لحسابات Gmail

في خطوة مقلقة تسلط الضوء من جديد على المخاطر المتصاعدة للأمن الإلكتروني، تمكنت مجموعة هاكرز روسية من اختراق البريد الإلكتروني "جيميل" عبر أساليب لم تكن متوقعة، وذلك عن طريق تجاوز المصادقة متعددة العوامل "MFA"، والتي تُعتبر عادة من أهم خطوط الدفاع للمستخدمين.

القراصنة الذين قاموا بهذه العملية، وظّفوا تقنية تُسمى "كلمات المرور المخصصة للتطبيقات" في هجوم دقيق ومعقد استهدف شخصيات أكاديمية بارزة ونقاداً لروسيا. استخدم المخترقون أساليب الهندسة الاجتماعية المتقدمة، والتي تعتمد على إقناع الضحية بالقيام بخطوات معينة تمنح المهاجم وصولاً آمناً لحسابه الخاص.

وهذه الطريقة في الحصول على "كلمات المرور الخاصة بالتطبيقات" قامت على رسائل احتيالية تدّعي بشكل مُتقن بأنها من وزارة الخارجية الأمريكية. والمثير أن الرسائل كانت تحتوي فعلاً على عناوين بريدية تنتهي بـ"@state.gov"، مما عزّز مصداقية الرسالة في عيون المتلقين، حسب ما أوضحه الخبراء في فريق Threat Intelligence Group التابع لشركة جوجل.

واحدة من أهم الضحايا المعلنة لهذا الهجوم هي الخبير البريطاني كير جيلز، المتخصص في الدراسات المتعلقة بالعمليات الروسية، والذي تلقى رسالة من شخص ادّعى بأنه مسؤول في الخارجية الأمريكية يحمل اسم "كلودي إس ويبر". الرسالة عرضت على جيلز المشاركة في لقاء خاص عبر منصة افتراضية خاصة بالخارجية الأمريكية، وتحت حجة الإجراءات الأمنية، طلب منه المهاجم توفير "كلمة مرور خاصة بالتطبيق"، وهي ميزة موجودة فعلاً في واجهات شركة جوجل وتُستخدم عادة لتسهيل استخدام التطبيقات الخارجية مع حسابات البريد الإلكتروني.

المفاجأة هنا تكمن في أن تلك الخطوة البسيطة، خلق وإرسال هذه الكلمة، كانت كافية لمنح الهاكرز وصولاً كاملاً إلى البريد الإلكتروني الشخصي للمستخدم. فحسب التقارير التي نشرها فريق Citizen Lab المتخصص في الأمن المعلوماتي، فإن المستخدم الذي ظنّ أنه يوفر كلمة مرور خاصة لتطبيق موثوق، منح المخترقين بالفعل "مفتاحاً" للدخول الكامل على حسابه والبيانات المتاحة داخله.

وأكد خبراء من جوجل أن هذه العملية نفّذتها مجموعة قراصنة معروفة في الأوساط الأمنية تحت الرقم UNC6293، والتي يُشتبه أنها مدعومة رسمياً من الحكومة الروسية وتتمتع بصلات مع منظمات قرصنة أخرى أبرزها المجموعة الشهيرة APT29، والمعروفة أيضاً بأسماء مثل "كوزي بير" أو "ميدنايت بليزارد". وتمتاز هذه المجموعات بتاريخ طويل من الاختراقات، استهدف في الماضي مؤسسات حكومية عالمية ومراكز أبحاث مرموقة.

ويشير الخبراء إلى استمرارية هذه الحملة الخبيثة من أبريل وحتى بداية يونيو من العام الحالي، واستهدفت مواضيع حساسة تتعلق بأوكرانيا والولايات المتحدة. اللافت في العملية أن المهاجمين استخدموا خوادم افتراضية وتقنيات تخفي حديثة لحجب هويتهم وأماكن نشاطهم الحقيقي، مما زاد تعقيد تعقبهم من قِبل الجهات الأمنية.

في ظل هذه التهديدات، تنصح جوجل المستخدمين على اختلاف مواقعهم باتباع احتياطات أكثر تشدداً، أبرزها تفعيل "برنامج الحماية المتقدمة" الذي يفرض قيوداً مشددة على حساباتهم ولا يتيح للمستخدمين إنشاء "كلمات مرور تطبيقات" بسهولة، مما يسهم في التصدي للهجمات بشكل فعال.

هذا الحدث يشكل تذكيراً قوياً لنا جميعاً بتعقيد الهجمات الأمنية المستجدة، والحاجة الملحة إلى رفع مستوى وعي المستخدم وإعادة النظر في الممارسات الأمنية اليومية. قد يكون من المفيد في المستقبل الاستعاضة عن طرق التحقق الحالية بتقنيات أكثر حداثة وأماناً، مثل "مفاتيح الأمان" عبر الأجهزة المادية، والتي تقلل الاعتماد على المستخدم بشكل كبير. وفي الختام، لا يمكننا تجاهل ضرورة التوعية المستمرة والمبادرة إلى تعلم أساسيات التأكد من هوية المرسل قبل اتخاذ أي إجراءات قد تؤدي إلى تهديد أمن المستخدم وخصوصيته.