استهدفت مجموعة القراصنة الروسية سيئة السمعة (فانسي بير) شركات أسلحة تورد معدات تسليح إلى أوكرانيا، بحسب دراسة حديثة أجرتها شركة الأمن الألمانية "إيست" في مدينة ينا.
وبحسب الدراسة، استهدفت الهجمات السيبرانية في المقام الأول شركات مصنعة لتكنولوجيا الأسلحة السوفيتية في بلغاريا ورومانيا وأوكرانيا، والتي تضطلع بدور رئيسي في دفاع أوكرانيا ضد الحرب الروسية. كما استهدفت الهجمات شركات أسلحة في أفريقيا وأمريكا الجنوبية.
وتُعرف مجموعة "فانسي بير" أيضا باسم "سيدنيت" و"إيه بي تي 28"، وتُنسب إليها هجمات سيبرانية استهدفت البرلمان الاتحادي الألماني (بوندستاج) عام 2015، والسياسية الأمريكية هيلاري كلينتون (2016)، ومقر الحزب الاشتراكي الديمقراطي الألماني (2023). وبحسب الخبراء، تعد المجموعة جزءا من استراتيجية أكبر للاستخبارات الروسية لاستخدام الهجمات الإلكترونية كوسيلة للتأثير السياسي وزعزعة الاستقرار. وإلى جانب التجسس، تشمل الاستراتيجية أيضا نشر حملات تضليل ضد الديمقراطيات الغربية.
وفي حملة التجسس الحالية التي تسمى "أوبريشن راوند بريس"، استغل المتسللون الإلكترونيون نقاط الضعف في برامج بريد شائعة عبر المتصفح الإلكتروني، من بينها "راوند كيوب" و"زيمبرا" و"هورد" و"إم ديمون". وبحسب الدراسة، كان من الممكن القضاء على العديد من الثغرات الأمنية من خلال الصيانة الجيدة للبرمجيات، ولكن في إحدى الحالات، كانت الشركات المتضررة عاجزة فعليا لأن المهاجمين تمكنوا من استغلال ثغرة أمنية غير معروفة سابقا في برنامج "إم ديمون"، ولم تتمكن الشركات من سدها في البداية.
وبحسب الدراسة، كانت الهجمات عادة ما تبدأ برسائل بريد إلكتروني احتيالية في صورة تقارير إخبارية منبثقة عن مصادر إعلامية تبدو جديرة بالثقة مثل "كييف بوست" و"نيوز بي جي" البلغارية. وبمجرد فتح البريد الإلكتروني في المتصفح، يبدأ تفعيل رمز ضار متخفي، والذي يفلت بنجاح من مرشحات البريد العشوائي.
وتمكن الخبراء في شركة الأمن الألمانية "إيست" من خلال تحليل الهجمات من تحديد البرنامج الضار المستخدم، وهو "سباي بريس. ديمون". وبحسب البيانات، فإن هذا البرنامج لا يستطيع رصد بيانات الوصول ومتابعة رسائل البريد الإلكتروني فحسب، بل يمكنه أيضا أن يفلت من إجراء المصادقة ثنائية العوامل، وهي عبارة عن إجراء أمني إضافي عند تسجيل الدخول إلى حسابات عبر الإنترنت أو عند الوصول إلى بيانات حساسة. ويعمل هذا الإجراء على عدم الاكتفاء بالوصول إلى الحسابات أو البيانات عبر كلمة مرور فحسب، بل يطلب أيضا إثباتا إضافيا للتحقق. ومع ذلك، نجح المتسللون من (فانسي بير) في العديد من الحالات في تجاوز إجراء المصادقة ثنائية العوامل والوصول إلى صناديق البريد بشكل دائم عبر ما يسمى "كلمات مرور التطبيق".
وقال ماتيو فاو، الباحث لدى "إيست": "العديد من الشركات تدير خوادم بريدية عفا عليها الزمن... حتى مجرد عرض بريد إلكتروني في المتصفح يمكن أن يكون كافيا لتفعيل رمز ضار دون أن ينقر المستلم فعليا على شيء".