في واحدة من أخطر الهجمات السيبرانية التي واجهتها الولايات المتحدة خلال الأعوام الأخيرة، كشفت شركة مايكروسوفت عن حملة اختراق إلكتروني منسقة استهدفت خوادم SharePoint المُدارة ذاتياً من قبل العملاء، مستغلة ثغرات أمنية خطيرة في البرمجيات.
التحقيقات الأولية تشير إلى أن مجموعات اختراق مرتبطة بالحكومة الصينية تقف وراء هذا الهجوم، والذي طال مئات المؤسسات، بينها وكالات حكومية أميركية، ما أثار مخاوف من تداعيات أمنية وسياسية واسعة المدى.
في تصعيد لافت للهجوم، أكدت مايكروسوفت في منشور رسمي صدر في وقت متأخر من مساء الأربعاء الماضي، أن مجموعة تحمل اسم Storm-2603 بدأت في استغلال الثغرة الأمنية الموجودة في منصةSharePoint لنشر برمجيات الفدية Ransomware، وهي نوع من الهجمات تعتمد على تشفير بيانات الضحية وتعطيل أنظمته الحيوية إلى حين دفع فدية بالعملات الرقمية.
ووفق تحليل موسع أجرته مايكروسوفت، فإن هذا التحول من التجسس الإلكتروني التقليدي إلى هجمات الابتزاز المالي يشير إلى خطورة تصاعد التهديدات، خاصة وأن الهجمات لا تميز بين أهداف مدنية أو حكومية، ما يفتح الباب أمام أضرار تشغيلية ومالية واسعة.
400 مؤسسة أميركية
ونقلت وكالة "رويترز" عن شركة الأمن السيبراني الهولندية Eye Security، أن الهجوم طال أكثر من 400 مؤسسة حتى الآن، وهو رقم يمثل قفزة كبيرة مقارنة بـ 100 جهة تم رصدها خلال عطلة نهاية الأسبوع.
وتشير الشركة الهولندية، إلى أن الرقم الحقيقي قد يكون أعلى بكثير، نظراً لصعوبة اكتشاف جميع مسارات الهجوم.
وأكد فايسا برنارد، كبير قراصنة Eye Security، أن العديد من الهجمات لم تترك "أثراً رقمياً" يمكن تتبعه، ما يصعب من عملية الحصر الدقيق.
وأكدت صحيفة "واشنطن بوست" أن بعض خوادم المعاهد الوطنية للصحة الأميركية NIH، والإدارة الوطنية للأمن النووي، قد تعرضت للاختراق.
كما تعرضت وزارة الأمن الداخلي الأميركية DHS، كانت من بين الجهات المستهدفة، إلى جانب ما بين خمس إلى 12 وكالة حكومية أخرى. بدورها، نقلت مجلة "بوليتيكو" عن مسؤولين أمريكيين قولهم إن عدة وكالات فيدرالية تأثرت بالهجوم.
ما هي خدمة SharePoint؟ وكيف تم اختراقها؟
تُعد SharePoint واحدة من أبرز منصات التعاون المؤسسي التي تقدمها شركة مايكروسوفت، حيث تتيح لموظفي المؤسسات والشركات مشاركة الملفات والوثائق والتواصل الداخلي ضمن بيئة إلكترونية موحدة. وتُستخدم الخدمة بشكل واسع من قبل الجهات الحكومية والخاصة حول العالم، سواء عبر الخوادم المحلية التي يديرها العملاء بأنفسهم، أو من خلال استضافة مايكروسوفت السحابية.
وبحسب تحذير رسمي صادر عن وكالة الأمن السيبراني الأميركية CISA بتاريخ 22 يوليو الجاري، فإن المخترقين استغلوا سلسلة من الثغرات الأمنية الخطيرة المعروفة باسم ToolShell، والتي تتيح للمهاجمين إمكانية الوصول إلى الخوادم دون الحاجة إلى بيانات اعتماد، وذلك عبر تقنيتين. الأولى هي CVE-2025-49706، وهي ثغرة تتعلق بانتحال هوية الشبكة Network Spoofing، والثانية CVE-2025-49704، وهي ثغرة تسمح بتنفيذ التعليمات البرمجية عن بُعد Remote Code Execution.
ويسمح هذا التسلسل من الثغرات للمهاجمين بالوصول إلى الملفات والبيانات الحساسة، وتنفيذ أوامر داخلية على الخوادم، بما في ذلك استعراض محتويات الملفات وتعديل التكوينات وتنفيذ عمليات اختراق متقدمة.
وأشارت CISA إلى أن ثغرتين إضافيتين تم الكشف عنهما لاحقاً تشكلان تجاوزاً للحلول الأمنية المؤقتة التي تم تطبيقها. الثغرة الأولى CVE-2025-53771 تُعد تجاوزاً للرقعة الأمنية الخاصة بـ CVE-2025-49706، بينما CVE-2025-53770 تمثل تجاوزاً للرقعة الخاصة بـ CVE-2025-49704.
وأكدت الوكالة، أن هذا النوع من الهجمات يمكّن المخترقين من السيطرة الكاملة على الأنظمة المصابة، داعية إلى تطبيق تحديثات مايكروسوفت الأخيرة وتفعيل أنظمة الحماية، من بينها واجهة الفحص الأمني AMSI.
أدلة تشير إلى الصين
بحسب ما ورد في بيانها، فإن مايكروسوفت كشفت عن أن ثلاث مجموعات اختراق صينية وهي Linen Typhoon، و Violet Typhoon، و Storm-2603، قد بدأت منذ 7 يوليو الجاري، في استغلال الثغرات المكتشفة في خوادم SharePoint.
وأوضح مسؤولان أميركيان، أن اثنتين على الأقل من الوكالات الفيدرالية تأثرتا، بينما تشير التحقيقات إلى احتمال ارتفاع العدد خلال الأيام المقبلة.
كما أكد تشارلز كارماكال، المدير التقني لشركة Mandiant التابعة لجوجل، أن "عدة جهات تهديد مرتبطة بالصين كانت من بين أول من استغل هذه الثغرات"، محذراً من أن جماعات اختراق أخرى قد تلحق بها قريباً لاستغلال نفس الثغرات، حسب بيان رسمي.
مايكروسوفت في مرمى الانتقتادات
الهجوم الأخير يضاف إلى سلسلة من الاختراقات التي استهدفت شركة مايكروسوفت خلال السنوات الماضية، منها تسريب رسائل البريد الإلكتروني الخاصة بالسفير الأميركي لدى الصين، ووزيرة التجارة الأميركية في عام 2023، ما دفع عدداً من أعضاء الكونجرس إلى تحميل الشركة مسؤولية فشلها المتكرر في تأمين منتجاتها.
وقال السيناتور الديمقراطي، رون وايدن، إن "الوكالات الحكومية أصبحت رهينة لشركة لا تهتم بالأمن، بينما تدر أرباحاً بمليارات الدولارات من بيع خدمات حماية لمواجهة الثغرات التي صنعتها بنفسها".
في السياق ذاته، طلب مشرعون من لجنة الأمن الداخلي في مجلس النواب الأميركي، عقد جلسة استماع مع شركة مايكروسوفت ووكالة CISA، بعد تقارير أفادت بأن بعض الأنظمة الحكومية الحساسة كانت تُدار بدعم فني من مهندسين مقيمين في الصين، وهو ما أعاد إشعال الجدل حول الاعتماد الكبير على الشركة في البنية التحتية الرقمية الأميركية.
