زعمت شركة البرمجيات الأمريكية مايكروسوفت "Microsoft " أن مجموعات قرصنة يُزعم ارتباطها بالحكومة الصينية كانت تستغل نقاط الضعف في أحد منتجاتها وهو "SharePoint"، الذي تستخدمه الوكالات الحكومية الأمريكية، بخلاف العديد من الشركات في جميع أنحاء العالم.
وأعلنت "مايكروسوفت"، في إشعار على مدونتها الأمنية، أمس الثلاثاء، أنها حددت مجموعتين على الأقل مقرهما الصين، يُزعم أنهما مرتبطتين بالحكومة الصينية، قالت إنهما كانتا تستغلان ثغرات أمنية في برنامج SharePoint الخاص بها. حيث تهدف هذه الهجمات إلى التسلل إلى أنظمة حواسيب المستخدمين.
ويساعد SharePoint المؤسسات على إنشاء مواقع الويب وإدارة المستندات؛ وهو يتكامل مع خدمات الشركة الأخرى، مثل Office وTeams وOutlook.
وقالت "مايكروسوفت" إن الثغرات الأمنية أثرت فقط على خوادم SharePoint المحلية، أي تلك التي تديرها المؤسسات على شبكات الكمبيوتر الخاصة بها، وليس تلك التي تعمل على سحابة "مايكروسوفت".
وقالت عملاق البرمجيات الأمريكية إنها كانت تتعقب تلك المجموعات لسنوات، التي قالت إنها كانت تستهدف المنظمات والأفراد المرتبطين بالحكومة والدفاع وحقوق الإنسان والتعليم العالي والإعلام والخدمات المالية والصحية في الولايات المتحدة وأوروبا وشرق آسيا.
أيضًا، أعلنت الشركة أن جهةً أخرى، أطلقت عليها اسم Storm-2603، متورطةٌ في حملة القرصنة. وأضافت أن لديها "ثقةً متوسطة" بأن Storm-2603 "جهة تهديدٍ مقرها الصين"؛ كما نقلت صحيفة "نيويورك تايمز".
اختراقات كبيرة
مع إعلان "مايكروسوفت"، أصدرت وكالة الأمن السيبراني وأمن البنية التحتية التابعة للحكومة الأمريكية (CISA) إشعارًا يفيد بأنها على علم بهجوم القرصنة على SharePoint. وأضافت أنها "أبلغت مؤسسات البنية التحتية الحيوية المتضررة".
وأشارت الوكالة السيبرانية إلى أنه "بينما يستمر تقييم النطاق والتأثير، فإن الثغرات الأمنية ستمكن الجهات الخبيثة من الوصول الكامل إلى محتوى SharePoint، بما في ذلك أنظمة الملفات والتكوينات الداخلية وتنفيذ التعليمات البرمجية عبر الشبكة".
ونقل التقرير عن متحدث باسم "مايكروسوفت" تأكيدات بأن الشركة كانت "تنسق بشكل وثيق" مع وكالة الأمن السيبراني وأمن البنية التحتية، وقيادة الدفاع السيبراني التابعة لوزارة الدفاع و"شركاء الأمن السيبراني الرئيسيين على مستوى العالم".
كما أشارت الشركة في تدوينة لها إلى أن التحقيقات لا تزال جارية بشأن جهات أخرى تستخدم هذه الثغرات.
ونقلت "نيويورك تايمز" عن شركة "Eye Security"، المتخصصة في الأمن السيبراني، إنها قامت بفحص أكثر من 23 ألف خادم لبرنامج SharePoint في جميع أنحاء العالم واكتشفت أن أكثر من 400 نظام "تم اختراقها بشكل نشط".
أيضًا، أشارت شركة الأمن السيبراني إلى أن هذه الاختراقات "قد تسمح للمتسللين بسرقة مفاتيح تشفير تُمكّنهم من انتحال هوية المستخدمين أو الخدمات حتى بعد إصلاح الخادم". وأضافت أن على المستخدمين اتخاذ خطوات إضافية لحماية معلوماتهم.
كما نقل التقرير عن جيمس كوريرا، مدير برنامج الأمن السيبراني والتكنولوجيا في المعهد الأسترالي للسياسة الاستراتيجية، إن القدرة على نشر أبواب خلفية لتمكين الوصول على المدى الطويل كانت "مستوى من التطور يرتبط عادة بالجهات الفاعلة الأكثر تقدما".
ورغم عدم وجود تأكيد علني حتى الآن على مزاعم أن القراصنة الصينيين تمكنوا من سرقة تلك المفاتيح التشفيرية "فمن الواضح أن العمليات التي ترعاها الدولة الصينية أصبحت أكثر دقة في السنوات الأخيرة"، على حد قوله.
محاولات نشطة
في الآونة الأخيرة، ازداد قلق المسؤولين الأمريكيين من قدرات القرصنة الرقمية الصينية. وخلال اختراق نظام الاتصالات الأمريكي العام الماضي، تمكّنت مجموعة مرتبطة بالاستخبارات الصينية من التنصت على محادثات هاتفية وقراءة رسائل نصية، وفقًا لأعضاء في الكونجرس.
وقد اعتُبر الاختراق خطيرًا لدرجة أن الرئيس السابق جوزيف بايدن ناقشه مباشرةً مع شي جين بينج، الزعيم الصيني، خلال لقائهما في بيرو في نوفمبر الماضي.
وفي هذا الاختراق الأخير، قالت "مايكروسوفت" إن المتسللين كانوا يحاولون استغلال نقاط الضعف في البرنامج للوصول إلى "المنظمات المستهدفة" منذ وقت مبكر من 7 يوليو؛ وأصدرت تحديثات أمنية وحثت المستخدمين على تثبيتها على الفور.
كانت الشركة كشفت عن الثغرات الأمنية في SharePoint في وقت سابق من هذا الشهر، لكنها في البداية لم تُصحّحها إلا جزئيًا. وفي 19 يوليو، صرّحت الشركة أنها على علم بمحاولات نشطة لاستغلال هذه الثغرات.
وقالت شركات الأمن السيبراني إنها تعتقد أن جهات صينية كانت من بين المهاجمين، حتى قبل أن تزعم "مايكروسوفت" ذلك.
قالت شركة Palo Alto Networks، وهي شركة للأمن السيبراني، في منشور حول الاختراق إن الخوادم المحلية "خاصة داخل الحكومة والمدارس ومؤسسات الرعاية الصحية (بما في ذلك المستشفيات) وشركات المؤسسات الكبرى" كانت "معرضة لخطر مباشر".
وأضافت شركة الأمن السيبراني أن "التسوية في هذا الوضع لا تقتصر على شيء واحد، بل تفتح الباب أمام الشبكة بأكملها".