هل أدى تنبيه من مايكروسوفت لتسريب معلومات إلى قراصنة صينيين؟

تحقق شركة "مايكروسوفت" في ما إذا كان تسريب من نظام الإنذار المبكر المخصص لشركات الأمن السيبراني قد مكّن قراصنة صينيين من استغلال ثغرات في خدمة "شيربوينت" (SharePoint) قبل أن تُعالج، وفقاً لأشخاص مطّلعين على الأمر.

تنظر الشركة فيما إذا كان هذا البرنامج، المصمّم لإتاحة الوقت لخبراء الأمن لإصلاح الأنظمة قبل الإعلان عن الثغرات، قد أدى عن غير قصد إلى استغلال واسع لهذه الثغرات في برنامجها "شيربوينت" حول العالم حديثاً، وفقاً لما ذكره الأشخاص الذين طلبوا عدم كشف هوياتهم نظراً لسرية المسألة.

قال متحدث باسم "مايكروسوفت" في بيان: "سنراجع هذا الحادث في إطار إجراءاتنا المتبعة، ونحدد النقاط التي تحتاج إلى تحسين، ونعمل على معالجتها على نطاق واسع"، مؤكداً أن البرامج الشريكة تمثل عنصراً أساسياً في منظومة الشركة للتصدي للتهديدات الأمنية.

الصين تنفي الاتهامات

أحالت السفارة الصينية في واشنطن الاستيضاحات إلى تصريحات للمتحدث باسم وزارة الخارجية قوه جياكون، عبّر فيها عن رفض بلاده لأنشطة القرصنة الإلكترونية. قال: "الأمن السيبراني تحدٍّ مشترك تواجهه جميع الدول، ويجب التعامل معه من خلال الحوار والتعاون... الصين تعارض وتكافح أعمال القرصنة بموجب القانون، لكننا في الوقت نفسه نرفض حملات التشويه والاتهامات التي تُوجّه إلى الصين بذريعة الأمن السيبراني".

كانت "مايكروسوفت" قد نسبت اختراقات خدمة "شيربوينت" إلى قراصنة ترعاهم الدولة الصينية. وجاء في موقع الشركة الإلكتروني، أنه ما لايقل عن 12 شركة صينية تشارك في برنامجها المعروف باسم "برنامج مايكروسوفت للحماية النشطة" (Microsoft Active Protections Program – MAPP).

يُشترط على أعضاء البرنامج، الذي أُطلق قبل 17 عاماً، أن يثبتوا أنهم جهات متخصصة في الأمن السيبراني وألّا يطوروا أدوات قرصنة مثل برامج اختبار الاختراق. وبعد توقيع اتفاقية عدم إفشاء، يحصلون على معلومات حول التحديثات الأمنية الجديدة قبل 24 ساعة من أن تصدرها "مايكروسوفت" علناً.

أما الشركاء الذين يخضعون لمراجعة أعمق، فيُزوَّدون بإشعارات بشأن التحديثات قبل خمسة أيام من طرحها للعامة، وفقاً لموقع "مايكروسوفت" الرسمي للبرنامج.

اقرأ أيضاً: أميركا تفرض عقوبات على شركة أمن سيبراني صينية بعد هجوم إلكتروني

قال داستن تشايلدز، رئيس قسم التوعية حيال التهديدات في مبادرة "زيرو داي" التابعة لشركة الأمن السيبراني "تريند مايكرو"، (Trend Micro) إن "مايكروسوفت" نبّهت أعضاء البرنامج إلى الثغرات التي استُغلت في هجمات "شيربوينت".

شركة تشايلدز من أعضاء البرنامج، وقال: "هاتان الثغرتان كانتا ضمن التحديثات التي تم تزويد أعضاء (MAPP) بها... بالطبع فكرنا باحتمال حدوث تسريب "، ما سيشكل تهديداً خطيراً للبرنامج، "رغم قناعتي بأنه ما يزال ذا قيمة كبيرة".

تجاوز عدد الجهات المتضررة من الهجمات 400 مؤسسة حكومية وشركة حول العالم، من بينها "الإدارة الوطنية للأمن النووي" في الولايات المتحدة، وهي الجهة المسؤولة عن تصميم وصيانة الأسلحة النووية الأميركية.

حمّلت "مايكروسوفت" مسؤولية بعض هذه الهجمات لمجموعات ترعاها الحكومة الصينية، من بينها "لينن تايفون" (Linen Typhoon) و"فايلويت تايفون" (Violet Typhoon)، إضافة إلى مجموعة صينية أخرى تُعرف باسم "ستورم-2603" (Storm-2603). ورداً على الاتهامات، أكدت السفارة الصينية رفضها القاطع لجميع أشكال الهجمات الإلكترونية، واعتراضها على "تشويه سمعة الآخرين دون أدلة موثوقة".

تسريب المعلومات للمقرصنين

كشف دينه هو آن كوا، الباحث في شركة "فيتيل" (Viettel) الفيتنامية للأمن السيبراني، عن ثغرات غير معروفة تعتري "شيربوينت" خلال مشاركته في مؤتمر (Pwn2Own) في برلين الذي نظمته شركة تشايلدز. في هذا الحدث، يجلس القراصنة الالكترونيون على المنصة أمام جمهور مباشر، لكشف ثغرات أمنية حرجة.

وبعد العرض والتكريم، رافق كوا  تشايلدز وممثل عن "مايكروسوفت" إلى غرفة خاصة، حيث شرح بالتفصيل كيفية استغلال الثغرات وسلّم تقريراً تقنياً شاملًا، بحسب تشايلدز. وقد تحققت "مايكروسوفت" من صحة النتائج وبدأت فوراً العمل على إصلاحها. ونال كوا جائزة مالية قدرها 100 ألف دولار مقابل اكتشافه.

استغرقت "مايكروسوفت" نحو 60 يوماً لإعداد التحديث الأمني، لكن في 7 يوليو، أي قبل يوم واحد من طرح التصحيح علناً، تعرّضت خوادم "شيربوينت" لهجمات إلكترونية، بحسب ما أفاد به باحثون في مجال الأمن السيبراني.

قال تشايلدز ممكن أن يكون القراصنة قد اكتشفوا الثغرات بشكل مستقل وبدأوا استغلالها بالتزامن مع مشاركة "مايكروسوفت" للمعلومات مع أعضاء برنامج (MAPP)، لكنه يصف هذا السيناريو بأنه "مصادفة مذهلة"، فيما أن الاحتمال الواضح الآخر هو أن جهة ما سرّبت المعلومات إلى المهاجمين.

قال جيم والتر، الباحث الرئيسي في شركة "سينتينيل ون" (SentinelOne)  للأمن السيبراني، إن تسريب معلومات حول تحديث أمني وشيك يشكل فشلاً ذريعاً في منظومة الحماية، لكنه "أمر حصل فيما مضى".

تضارب مع القوانين الصينية 

سبق أن تسبب برنامج (MAPP) بتسريبات أمنية في السابق، يعود أولها إلى عام 2012، حين اتهمت "مايكروسوفت" شركة "هانغتشو دي بي تيك تكنولوجيز" (Hangzhou DPtech Technologies) الصينية، المتخصصة في أمن الشبكات، بتسريب معلومات كشفت عن ثغرة خطيرة في نظام "ويندوز". على إثر ذلك، استُبعدت الشركة من البرنامج، وقال متحدث باسم "مايكروسوفت" آنذاك إن الشركة "عزّزت الضوابط القائمة واتخذت إجراءات إضافية لحماية معلوماتها بشكل أفضل".

في عام 2021، اشتبهت "مايكروسوفت" في أن شركتين صينيتين من الشركاء في برنامج (MAPP) سرّبتا معلومات عن ثغرات في خوادم "إكستشينج" (Exchange)، ما أدى إلى حملة قرصنة عالمية نسبتها الشركة إلى مجموعة تجسس صينية تُعرف باسم "هافنيوم" (Hafnium). واعتُبرت تلك الواقعة من أسوأ الخروقات التي شهدتها الشركة، إذ تعرّضت عشرات الآلاف من خوادم "إكستشينج" للاختراق، ومنها خوادم "الهيئة المصرفية الأوروبية" والبرلمان النرويجي.

في تلك أعقاب الحادثة، نقلت بلومبرغ أن "مايكروسوفت" درست إمكانية تعديل برنامج (MAPP)، لكنها لم تفصح لاحقاً عمّا إذا كانت قد نفّذت أي تغييرات فعلية أو اكتشفت تسريبات جديدة.

يفرض قانون صيني صدر في 2021 على أي شركة أو باحث أمني يكتشف ثغرة سيبرانية أن يبلغ عنها وزارة الصناعة وتقنية المعلومات خلال 48 ساعة، وفقاً لتقرير من "المجلس الأطلسي". تشير مواقع حكومية صينية إلى أن بعض الشركات التي ما تزال مشاركة في برنامج (MAPP)، مثل "بيجينغ سايبر كونلون تكنولوجي" (Beijing CyberKunlun Technology)، تشارك أيضاً في برنامج الثغرات الأمنية التابع للحكومة الصينية، المعروف باسم "قاعدة البيانات الوطنية للثغرات"، والذي تشرف عليه وزارة أمن الدولة.

قال يوجينيو بينينكاسا، الباحث في مركز الدراسات الأمنية بجامعة "إي تي إتش زيورخ"، إن ثمة نقص في الشفافية بشأن كيفية توازن الشركات الصينية بين التزاماتها بالحفاظ على سرية الثغرات التي تتلقاها من "مايكروسوفت"، ومتطلبات الإبلاغ الإلزامي للحكومة.

أضاف "معروف أن بعض هذه الشركات تتعاون مع أجهزة الأمن الحكومية، وأن نظام إدارة الثغرات في الصين شديد المركزية"، مشدداً على أن "هذا المجال يحتاج إلى مراقبة أكثر دقة".