إذا لم تفكر في جهاز التوجيه المنزلي الخاص بك منذ أن قمت بإعداده، فإن مكتب التحقيقات الفيدرالي يريد كلمتك. كشفت الوكالات الفيدرالية بما في ذلك مكتب التحقيقات الفيدرالي ووكالة الأمن القومي في 7 أبريل أن وحدة استخبارات عسكرية روسية، مجموعة GRU المعروفة باسم APT28 أو Fancy Bear، تقوم باختراق أجهزة التوجيه في المنازل والمكاتب الصغيرة بشكل منهجي منذ عام 2024 على الأقل، باستخدام الوصول لاعتراض بيانات الاعتماد ورموز المصادقة والاتصالات الحساسة. اتخذت الوكالة خطوة غير عادية بأمر من المحكمة بإعادة ضبط آلاف الأجهزة المتضررة في الولايات المتحدة عن بعد، لكن المسؤولين يحذرون من أنه بدون اتخاذ إجراء من قبل مالكي أجهزة التوجيه الفردية، فإن المشكلة بعيدة عن الحل.
استهدف الهجوم أجهزة توجيه صغيرة للمكاتب/المكاتب المنزلية، والمعروفة أيضًا باسم أجهزة التوجيه SOHO، ونفذته وحدة الاستخبارات العسكرية الروسية GRU. تحث الوكالات الحكومية الأشخاص على اتباع خطوات النظافة الأساسية لجهاز التوجيه، مثل تحديث البرنامج الثابت إلى أحدث إصدار وتغيير بيانات اعتماد تسجيل الدخول الافتراضية. يضم المركز الوطني البريطاني للأمن السيبراني ما يلي: على وجه التحديد، العديد من أجهزة التوجيه TP-Link هدف المتسللين.
في حين أن هذه الأخبار تبدو مزعجة للغاية، فمن الجدير بالذكر أن الهجوم استهدف على وجه التحديد أجهزة توجيه الشركات، وبالتالي منزلك جهاز توجيه واي فاي ربما ليست مهددة بالانقراض. ومع ذلك، قد يتم استخدام بعض أجهزة التوجيه المتأثرة كأجهزة توجيه منزلية قياسية، لذا من المفيد التحقق لمعرفة ما إذا كان الطراز الخاص بك قد تم استخدامه في الهجوم.
وقال دانييل دوس سانتوس، نائب رئيس الأبحاث في شركة Forescout للأمن السيبراني، لـCNET: “هناك اتجاه كبير في الوقت الحالي نحو استخدام أجهزة التوجيه، وهذا ينطبق على أجهزة التوجيه الخاصة بالمستهلكين والمؤسسات على حد سواء”.
ما نوع هذا الهجوم؟
بيان صحفي من وكالة الأمن القومي تشير إلى أن الهجوم استهدف بشكل عشوائي مجموعة واسعة من أجهزة التوجيه وكان يهدف إلى جمع معلومات حول “البنية التحتية العسكرية والحكومية والحيوية”.
يرتبط هذا الهجوم بمجموعات التهديد داخل GRU الروسية – المعروفة باسم APT28 وFancy Bear وForest Blizzard وغيرها – وهو مستمر منذ عام 2024 على الأقل، وفقًا لمكتب التحقيقات الفيدرالي.
يُطلق على ذلك اسم عملية اختطاف نظام اسم المجال، حيث يتم اعتراض طلبات DNS عن طريق تغيير تكوينات الشبكة الافتراضية على أجهزة توجيه SOHO حتى تتمكن الكيانات من رؤية أن حركة مرور المستخدم غير مشفرة.
“بالنسبة لكيانات الدولة القومية مثل Forest Blizzard، يتيح اختطاف DNS إمكانية الرؤية المستمرة والسلبية والاستطلاع على نطاق واسع،” كما يقول متخصص الأمن تقرير الاستخبارات المتعلقة بالتهديدات من Microsoft على الهجوم.
حددت Microsoft أكثر من 200 مؤسسة و5000 جهاز استهلاكي تأثرت بهجوم GRU.
ما هي أجهزة التوجيه التي تأثرت؟
يشير بيان مكتب التحقيقات الفيدرالي على وجه التحديد إلى جهاز توجيه واحد، تي بي لينك TL-WR841Nلقد كان طراز Wi-Fi 4 صدر أصلا في عام 2007. يسرد المركز الوطني للأمن السيبراني في المملكة المتحدة 23 طرازًا من طرازات TP-Link التي تم استهدافها، لكنه يشير إلى أن هذه ربما ليست قائمة شاملة.
وفيما يلي قائمة الأجهزة المتضررة:
- راوتر TP-Link N MR6400 LTE لاسلكي
- راوتر TP-Link Archer C5 اللاسلكي ثنائي النطاق جيجابت
- راوتر TP-Link Archer C7 اللاسلكي ثنائي النطاق جيجابت
- راوتر تي بي لينك WDR3600 جيجابت لاسلكي ثنائي النطاق
- راوتر تي بي لينك WDR4300 جيجابت لاسلكي ثنائي النطاق
- جهاز التوجيه اللاسلكي ثنائي النطاق TP-Link WDR3500
- راوتر تي بي لينك لايت N WR740N اللاسلكي
- راوتر تي بي لينك WR740N/WR741ND لايت إن اللاسلكي
- راوتر تي بي لينك WR749N اللاسلكي لايت إن
- راوتر تي بي لينك N 3G/4G MR3420 اللاسلكي
- نقطة وصول لاسلكية TP-Link بمعيار N WA801ND
- نقطة وصول لاسلكية TP-Link بمعيار N WA901ND
- راوتر تي بي لينك لاسلكي N جيجابت WR1043ND
- راوتر تي بي لينك WR1045ND جيجابت N لاسلكي
- راوتر تي بي لينك WR840N اللاسلكي N
- راوتر تي بي لينك WR841HP اللاسلكي N
- راوتر تي بي لينك WR841N اللاسلكي N
- راوتر تي بي لينك WR841N/WR841ND اللاسلكي N
- راوتر تي بي لينك WR842N اللاسلكي N
- راوتر تي بي لينك WR842ND اللاسلكي N
- راوتر تي بي لينك WR845N اللاسلكي N
- راوتر تي بي لينك WR941ND اللاسلكي N
- راوتر تي بي لينك WR945N اللاسلكي N
صرح متحدث باسم TP-Link Systems لـ CNET في بيان أن جميع النماذج المتأثرة وصلت إلى حالة نهاية الخدمة والحياة منذ عدة سنوات.
وقال المتحدث: “على الرغم من أن هذه المنتجات تقع خارج دورة الصيانة القياسية لدينا، فقد طورت TP-Link تحديثات أمنية لنماذج قديمة محددة حيثما كان ذلك ممكنًا من الناحية الفنية”.
تحث TP-Link المستخدمين الذين لديهم أجهزة التوجيه القديمة هذه على الترقية إلى جهاز أحدث إن أمكن. يمكنك العثور على قائمة بالتصحيحات الأمنية المتوفرة على موقعها الإلكتروني صفحة نصائح السلامة رداً على الهجوم الأخير.
كيفية حماية جهاز التوجيه الخاص بك
وجهت وكالة الأمن القومي المنظمات إلى القائمة أفضل الممارسات لتأمين شبكتك المنزلية. أهم شيء يمكنك القيام به إذا كنت تستخدم أحد الأجهزة المتأثرة هو تحديث جهاز التوجيه الخاص بك في أقرب وقت ممكن. من المحتمل أنه لم يتلق تحديثًا للبرنامج الثابت منذ سنوات، وهو ما يشبه ترك الباب أمام شبكتك مفتوحًا.
وقال ريك فيرجسون، نائب رئيس الاستخبارات الأمنية في شركة Forescout: “كلما طال أمد القيام بذلك، زادت المخاطر”. “يتمتع جهاز التوجيه بموقع متميز على أي شبكة. ويجب أن تمر جميع الاتصالات وحركة المرور عبر هذا الجهاز.”
بالإضافة إلى استخدام جهاز أحدث لا يزال يتلقى تحديثات الأمان، هناك بعض الخطوات الأخرى التي يمكنك اتخاذها لتأمين شبكتك:
- قم بتحديث البرامج الثابتة بانتظام: تسمح لك العديد من أجهزة الشبكة بتمكينها تحديثات البرامج الثابتة التلقائية في الإعدادات. إذا كان ذلك ممكنا، أوصي بشدة بذلك. إذا لم يكن الأمر كذلك، فيمكنك العثور على تحديثات لجهاز التوجيه الخاص بك عن طريق تسجيل الدخول إلى واجهة الويب الخاصة به أو استخدام التطبيق الخاص به.
- أعد تشغيل جهاز التوجيه الخاص بك: توصي إرشادات وكالة الأمن القومي بإعادة تشغيل جهاز التوجيه والهاتف الذكي وأجهزة الكمبيوتر مرة واحدة على الأقل في الأسبوع. وتقول الوكالة: “إن إعادة التشغيل المنتظمة تساعد على إزالة الغرسات وتضمن السلامة”.
- تغيير أسماء المستخدمين وكلمات المرور الافتراضية: إحدى الطرق الأكثر شيوعًا التي يستخدمها المتسللون للوصول إلى البيانات هي تجربة بيانات اعتماد تسجيل الدخول الافتراضية التي تحددها الشركة المصنعة. يقول فيرجسون: “هناك اقتصاد سري بالكامل في قلب كل ذلك”. “في الأساس، يقومون فقط بجمع بيانات الاعتماد إما من خلال هجماتهم الخاصة أو عن طريق جمعها من مصادر أخرى وشرائها.” تختلف مجموعة اسم المستخدم وكلمة المرور هذه عن معلومات تسجيل الدخول الخاصة بشبكة Wi-Fi، والتي يجب أيضًا تغييرها كل ستة أشهر تقريبًا. كلما كانت كلمة المرور أطول وأكثر عشوائية، كلما كان ذلك أفضل.
- تعطيل الإدارة عن بعد: لا يحتاج معظم المستخدمين العاديين إلى إدارة جهاز توجيه Wi-Fi الخاص بهم عن بُعد، وهذه إحدى الطرق الرئيسية التي يمكن لمجرمي الإنترنت من خلالها تغيير إعدادات جهاز التوجيه دون علمك. يمكنك عادةً العثور على هذا الخيار في الملف إعدادات مسؤول جهاز التوجيه.
- استخدم VPN: إعلان هجوم مكتب التحقيقات الفيدرالي ينصح على وجه التحديد المنظمات التي تعمل عن بعد استخدم VPN عند الوصول إلى البيانات الحساسة. تقوم هذه الخدمات بتشفير حركة المرور التي تمر عبر خادم بعيد، وحمايتها من المتسللين.
