قد يكون الآلاف من عملاء Microsoft ضحايا الاختراق المرتبط بالصين
قال خبراء أمنيون إن المتسللين بدأوا هجومهم في يناير لكنهم صعدوا من جهودهم في الأسابيع الأخيرة. الأعمال التجارية والوكالات الحكومية المتضررة.
استغل الهجوم ثغرات في Exchange ، وهو خادم بريد وتقويم أنشأته Microsoft ويستخدمه مجموعة واسعة من العملاء. / رويترز
قالت شركة Microsoft إن الشركات والوكالات الحكومية في الولايات المتحدة التي تستخدم خدمة بريد إلكتروني من Microsoft تعرضت للاختراق في حملة قرصنة عنيفة كانت على الأرجح تحت رعاية الحكومة الصينية.
يقدر عدد الضحايا بعشرات الآلاف ويمكن أن يرتفع ، كما يعتقد بعض خبراء الأمن ، مع استمرار التحقيق في الخرق. هاجم المتسللون عدة أهداف خلسة في يناير ، وفقًا لشركة Volexity ، شركة الأمن السيبراني التي اكتشفت الاختراق ، لكنها صعدت من جهودها في الأسابيع الأخيرة حيث تحركت Microsoft لإصلاح نقاط الضعف التي تم استغلالها في الهجوم.
أصدرت وكالة الأمن السيبراني التابعة للحكومة الأمريكية تحذيرًا طارئًا يوم الأربعاء ، وسط مخاوف من أن حملة القرصنة أثرت على عدد كبير من الأهداف. حث التحذير الوكالات الفيدرالية على تصحيح أنظمتها على الفور. يوم الجمعة ، أفاد مراسل الأمن السيبراني براين كريبس أن الهجوم أصاب ما لا يقل عن 30 ألف عميل من عملاء مايكروسوفت.
وقال السكرتير الصحفي للبيت الأبيض ، جين بساكي ، خلال مؤتمر صحفي يوم الجمعة "نشعر بالقلق من وجود عدد كبير من الضحايا". وأضافت أن الهجوم "يمكن أن يكون له آثار بعيدة المدى".
يُعتقد بالفعل أن الهجوم أكبر من اقتحام ديسمبر من قبل قراصنة روس معروفين باسم SolarWinds ، والذي أثر على ما لا يقل عن 250 وكالة وشركات فيدرالية. في الشهر الماضي ، استجوب أعضاء في الكونجرس قادة الصناعة حول سبب عدم اكتشاف الهجوم الروسي.
استغل الهجوم الأخير الثغرات الموجودة في Exchange ، وهو خادم بريد وتقويم أنشأته Microsoft ويستخدمه مجموعة واسعة من العملاء ، من الشركات الصغيرة إلى الوكالات الحكومية الفيدرالية. وقالت مايكروسوفت في منشور على مدونة إن المتسللين تمكنوا من سرقة رسائل البريد الإلكتروني وتثبيت برامج ضارة لمواصلة مراقبة أهدافهم.
وقال ستيفن أدير ، مؤسس Volexity ، إنه تم الكشف عن الحملة في يناير. سرق المتسللون رسائل البريد الإلكتروني بهدوء من عدة أهداف ، مستغلين خطأ سمح لهم بالوصول إلى خوادم البريد الإلكتروني دون كلمة مرور.
قال أدير: "هذا ما نعتبره حقًا خلسة" ، مضيفًا أن الاكتشاف أطلق تحقيقًا محمومًا. "لقد جعلنا نبدأ في تمزيق كل شيء." وأضاف أن شركة Volexity أبلغت شركة مايكروسوفت والحكومة الأمريكية بالنتائج التي توصلت إليها.
لكن الهجوم تصاعد في أواخر فبراير. بدأ المتسللون في نسج نقاط ضعف متعددة معًا ومهاجمة مجموعة أكبر من الضحايا. قال السيد أدير: "علمنا أن ما أبلغنا به وشاهدناه مستخدمًا خلسة للغاية تم الآن دمجها وتقييدها بسلاسل مع استغلال آخر". "لقد استمر الأمر في التفاقم سوءًا."
استهدف المتسللون أكبر عدد ممكن من الضحايا عبر الإنترنت ، وضربوا الشركات الصغيرة والحكومات المحلية والاتحادات الائتمانية الكبيرة ، وفقًا لأحد الباحثين في مجال الأمن السيبراني الذي درس التحقيق الأمريكي في الاختراق غير المصرح له بالتحدث علنًا عن هذا الأمر. كانت العيوب التي استخدمها المتسللون ، والمعروفة باسم صفر أيام ، غير معروفة لشركة Microsoft من قبل.
قال جيك سوليفان ، مستشار الأمن القومي بالبيت الأبيض: "إننا نتتبع عن كثب تصحيح الطوارئ من Microsoft بحثًا عن نقاط ضعف غير معروفة سابقًا في برنامج Exchange Server وتقارير عن التسويات المحتملة لمراكز الأبحاث وكيانات القاعدة الصناعية الدفاعية الأمريكية".
غرد كريستوفر كريبس ، المدير السابق لوكالة الأمن السيبراني والبنية التحتية الأمريكية ، على تويتر: "هذه هي الصفقة الحقيقية". (لا علاقة للسيد كريبس بمراسل الأمن السيبراني الذي كشف عن عدد الضحايا).
وأضاف السيد كريبس أن الشركات والمؤسسات التي تستخدم برنامج Microsoft Exchange يجب أن تفترض أنه تم اختراقها في وقت ما بين 26 فبراير و 3 مارس ، وأن تعمل بسرعة لتثبيت التصحيحات التي أصدرتها Microsoft الأسبوع الماضي.
وقالت مايكروسوفت إن مجموعة قرصنة صينية تعرف باسم هافنيوم ، "مجموعة تم تقييمها على أنها ترعاها الدولة وتعمل من الصين" ، كانت وراء الاختراق.
وقالت مايكروسوفت إنه منذ أن كشفت الشركة عن الهجوم ، بدأ قراصنة آخرون غير منتسبين لهفنيوم في استغلال نقاط الضعف لاستهداف المنظمات التي لم تقم بإصلاح أنظمتها. وقالت الشركة: "تواصل مايكروسوفت زيادة استخدام هذه الثغرات في الهجمات التي تستهدف أنظمة غير مسبوقة من قبل جهات ضارة متعددة".
تصحيح هذه الأنظمة ليس مهمة مباشرة. يصعب صيانة خوادم البريد الإلكتروني ، حتى بالنسبة لمحترفي الأمان ، كما تفتقر العديد من المؤسسات إلى الخبرة اللازمة لاستضافة خوادمها الخاصة بأمان. لسنوات ، كانت Microsoft تدفع هؤلاء العملاء للانتقال إلى السحابة ، حيث يمكن لـ Microsoft إدارة الأمان لهم. قال خبراء الصناعة إن الحوادث الأمنية قد تشجع العملاء على التحول إلى السحابة وأن تكون نعمة مالية لشركة Microsoft.
وقال السيد أدير إنه بسبب النطاق الواسع للهجوم ، فمن المحتمل أن يكون العديد من مستخدمي Exchange معرضين للخطر. "حتى بالنسبة للأشخاص الذين قاموا بتصحيح هذا بأسرع ما يمكن من الناحية البشرية ، هناك احتمال كبير للغاية أنهم تعرضوا للاختراق بالفعل."