Article image
مصدر الصورة: ماثيو مانويل عبر أنسبلاش



انضمت مجموعة كبيرة من الخصوم المندفعين إلى القراصنة الصينيين الذين يستهدفون خوادم مايكروسوفت إكستشينج منذ الأسبوع قبل الماضي.

2021-03-14 14:32:02

14 مارس 2021

يبدو أن حملة القرصنة التي تنفذها مجموعة ترتبط بالحكومة الصينية، والتي كشفتها مايكروسوفت، آخذة بالتسارع والتصعيد. فقد انضمت على الأقل أربع مجموعات قرصنة متمايزة أخرى إلى الهجوم الذي يستهدف الثغرات الحساسة في برمجيات البريد الإلكتروني لمايكروسوفت في حملة سيبرانية وصفتها الحكومة الأميركية بأنها “خرق واسع النطاق على الصعيد المحلي والدولي” مع احتمال تأثيرها على مئات الآلاف من الضحايا في جميع أنحاء العالم.

انطلقت الحملة في يناير من هذا العام؛ حيث بدأت مجموعة القراصنة الصينيين (المعروفة باسم هافنيوم) باستغلال ثغرات في خوادم مايكروسوفت إكستشينج. ولكن منذ أن أعلنت الشركة عن الحملة مؤخراً، انضمت أربع مجموعات أخرى إلى الهجوم، وتخلى القراصنة الصينيون الذين أطلقوا الحملة عن أي محاولة للتخفي، وزادوا من عدد الهجمات التي ينفذونها. تتضمن قائمة الضحايا التي تتزايد باستمرار عشرات الآلاف من الشركات والمؤسسات الحكومية الأميركية التي استهدفتها المجموعات الجديدة.

تقول كيتي نيكلس، التي تقود فريق الاستخبارات في شركة الأمن السيبراني ريد كاناري، التي تحقق في الهجمات: “هناك على الأقل خمس مجموعات مختلفة من النشاطات التي يبدو أنها تستغل الثغرات”. عند تتبع التهديدات السيبرانية، تقوم مجموعات التحليل الاستخبارية بتجميع نشاطات القرصنة وفق العديد من المواصفات التي تراقبها، مثل التقنيات والتكتيكات والإجراءات والآلات والأشخاص وغير ذلك. إنها إحدى طرق تتبع عمليات القرصنة التي يواجهونها.

تعد هافنيوم إحدى مجموعات القرصنة الصينية عالية المستوى، التي تدير عمليات تجسس سيبراني ضد الولايات المتحدة منذ فترة طويلة، وفقاً لمايكروسوفت. وتُعد هذه المجموعة بمنزلة المفترسات العُلوية (في الهرم الغذائي)، أي أنها بالضبط من النوع الذي تتبعه باستمرار المفترسات الانتهازية والمفترسات الذكية جامعة القمامة.

ولهذا، ارتفعت حدة النشاط كثيراً بمجرد أن أعلنت مايكروسوفت عن الاختراق مؤخراً. ولكن ما زالت هوية هذه المجموعات وأهدافها وطريقة وصولها إلى هذه الخوادم غامضة حتى الآن. وكما تشرح نيكلس، فمن المحتمل أن تكون مجموعة هافنيوم الأصلية قد باعت أو شاركت تعليماتها البرمجية لاستغلال الثغرات، أو أن تلك المجموعات الأخرى استنتجت الثغرات باستخدام الهندسة العكسية بناء على الحلول التي أطلقتها مايكروسوفت.

تقول نيكلس: “إن التحدي الأساسي هو غموض الموضوع وتشابك العوامل المؤثرة فيه. وقد لاحظنا أن المشكلة أصبحت أكبر من هافنيوم منذ أن أعلنت مايكروسوفت عنها؛ فقد شهدنا نشاطات تختلف عما تحدثت عنه مايكروسوفت من حيث التكتيكات والتقنيات والإجراءات”؟

وباستغلال الثغرات الكامنة في خوادم مايكروسوفت إكستشينج، التي تستخدمها المنظمات لتشغيل خدمات البريد الإلكتروني الخاصة بها، تمكن القراصنة من بناء طبقة ويب خارجية، وهي أداة قرصنة للوصول عن بعد تسمح بالوصول من الأبواب الخلفية بسهولة للتحكم في الآلة المصابة، أي أنهم يستطيعون التحكم في الخادم المخترق عبر الإنترنت ومن ثم سرقة البيانات من جميع أنحاء الشبكة المستهدفة. تعني طبقة الويب الخارجية أنه حتى لو أصدرت ويندوز إصلاحات للثغرات -التي لم يطبقها سوى 10% من العملاء حتى يوم الجمعة، وفقاً للشركة- فإن الخصم ما زال قادراً على الدخول إلى أهدافه من الأبواب الخلفية.

يمثل تطبيق التعديلات البرمجية التي أصدرتها مايكروسوفت خطوة أولى هامة، ولكن عملية المكافحة والتنظيف الكلية ستكون أكثر تعقيداً بكثير بالنسبة للكثير من الضحايا المحتملين، خصوصاً عدما يتحرك القراصنة بحرية من مكان إلى آخر عبر الشبكة.

يقول أحد الناطقين باسم مايكروسوفت: “نحن نعمل عن كثب مع وكالة حماية البنى التحتية والأمن السيبراني، ووكالات حكومية أخرى، وشركات الأمن؛ وذلك لضمان أفضل إرشاد لعملائنا والتخفيف قدر الإمكان من الآثار السلبية عليهم”. ويضيف: “إن أفضل حماية هي تطبيق التحديثات بأسرع وقت ممكن على جميع الأنظمة المصابة” وسنستمر بمساعدة عملائنا بمتابعة تقديم تحقيقات إضافية والمزيد من إرشادات تخفيف الآثار السلبية. ويجب على العملاء الذين تأثروا بهذا الهجوم الاتصال بفرق الدعم الخاصة بنا للحصول على مساعدة وموارد إضافية”.

يقول كريس كريبس، وهو مسؤول حكومي سابق في مجال الأمن السيبراني: “بوجود عدة مجموعات تقوم الآن بمهاجمة الثغرات، من المتوقع أن تؤثر عمليات الاختراق بشكل مضاعف على المنظمات الأقل قدرة على مواجهتها، مثل الشركات الصغيرة والمدارس والحكومات المحلية”.

ولكن لماذا؟ تساءل كريبس في تغريدة على تويتر، “أهي وسيلة لاختبار قوة إدارة بايدن في بداياتها؟ أم هي عصابة جريمة سيبرانية خارجة عن السيطرة؟ أم أنهم متعاقدون قرروا التصرف بشكل جنوني؟”.

مع احتمال وصول عدد الضحايا إلى مئات الآلاف في جميع أنحاء العالم، فإن هذه الحملة على إكستشينج قد أثرت على أهداف أكثر من عملية اختراق سولار ويندز التي ما زالت الحكومة الأميركية تعمل جاهدة على إزالة آثارها حتى الآن. ولكن، وكما في حالة سولار ويندز، فإن الأرقام ليست كل شيء؛ حيث إن القراصنة الروس الذين قاموا بتنفيذ سولار ويندز كانوا شديدي الانضباط، وركزوا فقط على أهداف محددة عالية الأهمية، على الرغم من أنهم كانوا قادرين على الوصول إلى عدة آلاف من الأهداف.

وهذا الأمر صحيح في هذه الحالة أيضاً؛ فعلى الرغم من أن الأرقام مثيرة للقلق، فليست جميع عمليات الاختراق كارثية. 

تقول نيكلس: “ليست جميع هذه الاختراقات على نفس المستوى من الخطورة؛ فهناك خوادم سهلة الاختراق من إكستشينج حيث كان الباب مفتوحاً للدخول، ولكننا لا نعرف ما إذا كان الخصم قد دخل إليه أم لا. وهناك خوادم تعرضت إلى درجة خفيفة من الاختراق لا تتجاوز مجرد إنشاء طبقة ويب خارجية دون أي إجراء لاحق. وأيضاً، هناك أسوأ الاختراقات التي تضمنت قيام الخصوم بنشاطات لاحقة والانتقال إلى أنظمة أخرى”.

ليس من المعتاد أن يعلق البيت الأبيض على مسائل الأمن السيبراني، ولكن إدارة بايدن كان لديها ما يدفعها إلى الحديث كثيراً عن عمليات القرصنة، بدءاً من اختراقات سولار ويندز وصولاً إلى هذه العملية الأحدث.

وقد قالت جين ساكي خلال مؤتمر صحفي عقدته مؤخراً: “نشعر بالقلق لوجود عدد كبير من الضحايا، ونعمل مع شركائنا لاستيعاب حجم المشكلة وامتدادها. كما يجب على مالكي الشبكات أن يتحققوا أيضاً من وجود اختراقات في شبكاتهم ويتخذوا الخطوات الضرورية على الفور”.