اختراق خطير: 7 مجموعات صينية تستغل ثغرة SharePoint لسرقة البيانات الحساسة

اختراق خطير لـ SharePoint: قراصنة صينيون يستغلون ثغرة "يوم الصفر"

اختراق شيربوينت: جوجل ومايكروسوفت تكشفان عن أدلة مقلقة

ما هو Microsoft SharePoint؟ – دليل اختراق شيربوينت

قبل الغوص في تفاصيل الاختراق، من الضروري فهم ما هو Microsoft SharePoint وأهميته. SharePoint هو نظام أساسي لإدارة المستندات والتعاون، يستخدم على نطاق واسع من قبل الشركات والمؤسسات في جميع أنحاء العالم. يتيح SharePoint للمستخدمين تخزين المستندات ومشاركتها والتعاون عليها، بالإضافة إلى إدارة سير العمل وإنشاء مواقع ويب داخلية. بعبارة أخرى، هو بمثابة مركز معلوماتي مركزي للعديد من المؤسسات.

بسبب انتشاره الواسع، يعتبر SharePoint هدفاً جذاباً للقراصنة الذين يسعون للوصول إلى بيانات حساسة أو تعطيل العمليات.

تفاصيل ثغرة "يوم الصفر" (CVE-2025-53770) في اختراق

الثغرة الأمنية التي استغلها القراصنة الصينيون، والمعروفة رسمياً باسم CVE-2025-53770، تسمح للمهاجمين بسرقة مفاتيح خاصة حساسة من إصدارات SharePoint التي يتم استضافتها ذاتياً. هذه المفاتيح هي بمثابة "مفاتيح" للوصول إلى البيانات المخزنة في SharePoint. بمجرد حصول المهاجم على هذه المفاتيح، يمكنهم الوصول إلى المستندات والبيانات الحساسة المخزنة، بما في ذلك المعلومات المالية، بيانات العملاء، خطط العمل، وأي معلومات أخرى تعتبر سرية.

كيف يستغل القراصنة الثغرة؟

عملية الاستغلال معقدة، ولكنها في جوهرها تتضمن الخطوات التالية:

1. الوصول الأولي: يستغل القراصنة الثغرة CVE-2025-53770 للحصول على وصول أولي إلى خوادم SharePoint الضعيفة.
2. سرقة المفاتيح: يستخدم المهاجمون الثغرة لاستخراج المفاتيح الخاصة من الخوادم.
3. نشر البرمجيات الخبيثة: بمجرد حصولهم على المفاتيح، يمكن للقراصنة تثبيت برمجيات خبيثة على الخوادم. يمكن أن تتخذ هذه البرمجيات الخبيثة أشكالاً مختلفة، بما في ذلك برامج الفدية (ransomware) التي تشفر البيانات وتطلب فدية لإعادة الوصول إليها، أو برامج التجسس التي تسرق البيانات الحساسة.
4. الوصول إلى البيانات: باستخدام المفاتيح والبرمجيات الخبيثة، يتمكن القراصنة من الوصول إلى البيانات المخزنة في SharePoint، بالإضافة إلى الوصول إلى أنظمة أخرى على نفس الشبكة.

المجموعات القرصنة الصينية المتورطة

كشفت مايكروسوفت عن تورط ثلاث مجموعات قرصنة مدعومة من الحكومة الصينية في استغلال هذه الثغرة. هذه المجموعات هي:

• Linen Typhoon: تركز هذه المجموعة على سرقة الملكية الفكرية، مما يشير إلى أنهم قد يستهدفون الشركات التي لديها تقنيات أو معلومات قيمة.
• Violet Typhoon: تهدف هذه المجموعة إلى سرقة المعلومات الخاصة، والتي يمكن استخدامها لأغراض التجسس.
• Storm-2603: هذه المجموعة مرتبطة في الماضي بهجمات برامج الفدية، مما يشير إلى أنهم قد يهدفون إلى الحصول على مكاسب مالية من خلال ابتزاز الضحايا.

تأثيرات الاختراق المحتملة

تتجاوز تأثيرات هذا الاختراق مجرد سرقة البيانات. يمكن أن تشمل:

• فقدان البيانات: قد يؤدي الاختراق إلى فقدان البيانات الهامة، سواء بسبب السرقة أو التشفير بواسطة برامج الفدية.
• تعطيل العمليات: يمكن أن يؤدي تعطيل خوادم SharePoint إلى تعطيل العمليات التجارية، مما يؤثر على الإنتاجية والإيرادات.
• الإضرار بالسمعة: يمكن أن يؤدي الاختراق إلى الإضرار بسمعة الشركة، مما يؤدي إلى فقدان الثقة من قبل العملاء والشركاء.
• العواقب القانونية: قد تواجه الشركات عواقب قانونية إذا تم اختراق بياناتها الشخصية أو إذا انتهكت قوانين حماية البيانات.
• التكاليف المالية: بالإضافة إلى الفدية (إذا تم طلبها)، يمكن أن تتكبد الشركات تكاليف كبيرة لإصلاح الأضرار، واستعادة البيانات، وتعزيز الأمن.

الإجراءات التي اتخذتها مايكروسوفت

أصدرت مايكروسوفت بالفعل تصحيحات أمنية لجميع إصدارات SharePoint المتأثرة. ومع ذلك، حذرت الشركة من أن العملاء الذين يستخدمون إصدارات SharePoint المستضافة ذاتياً يجب أن يفترضوا أنهم تعرضوا للاختراق بالفعل. هذا يعني أنه حتى بعد تثبيت التصحيحات، يجب على المؤسسات اتخاذ خطوات إضافية لضمان أمن أنظمتها.

كيف تحمي المؤسسات العربية نفسها؟

بالنظر إلى خطورة هذا الاختراق، من الضروري أن تتخذ المؤسسات العربية خطوات استباقية لحماية أنظمتها. تشمل هذه الخطوات:

1. تثبيت التحديثات الأمنية: يجب على المؤسسات التأكد من تثبيت جميع التحديثات الأمنية التي أصدرتها مايكروسوفت لـ SharePoint. هذا هو الإجراء الأول والأكثر أهمية. 2. فحص الأنظمة بحثاً عن علامات الاختراق: يجب على المؤسسات إجراء عمليات فحص شاملة لأنظمتها بحثاً عن أي علامات على الاختراق، مثل الأنشطة المشبوهة في سجلات النظام أو وجود برامج خبيثة. 3. تغيير كلمات المرور: يجب على المؤسسات تغيير جميع كلمات المرور الخاصة بحسابات المستخدمين، خاصة تلك التي لديها امتيازات وصول عالية. 4. تمكين المصادقة متعددة العوامل (MFA): تساعد المصادقة متعددة العوامل في حماية الحسابات حتى إذا تم اختراق كلمة المرور. 5. مراقبة الشبكة: يجب على المؤسسات مراقبة حركة المرور على الشبكة بحثاً عن أي أنشطة مشبوهة. 6.

تدريب الموظفين: يجب على الموظفين أن يكونوا على دراية بمخاطر التصيد الاحتيالي والهندسة الاجتماعية، وأن يتعلموا كيفية التعرف على رسائل البريد الإلكتروني والروابط المشبوهة. 7. تطبيق مبدأ "الحد الأدنى من الامتيازات": يجب منح المستخدمين فقط الحد الأدنى من الوصول اللازم لأداء مهامهم. 8. إجراء نسخ احتياطية منتظمة: يجب على المؤسسات إجراء نسخ احتياطية منتظمة لبياناتها، والاحتفاظ بها في موقع آمن. 9. الاستعانة بخبراء الأمن السيبراني: إذا لم تكن المؤسسة لديها الخبرة الداخلية اللازمة، فيجب عليها الاستعانة بخبراء الأمن السيبراني لتقييم أمنها وتقديم التوصيات. 10. الاستعداد للاستجابة للحوادث: يجب على المؤسسات وضع خطة للاستجابة للحوادث لتحديد الخطوات التي يجب اتخاذها في حالة حدوث اختراق..

أهمية التعاون وتبادل المعلومات

في مواجهة التهديدات السيبرانية المتزايدة، من الضروري أن تتعاون المؤسسات وتتبادل المعلومات حول التهديدات الجديدة والأساليب المستخدمة من قبل المهاجمين. يمكن أن يساعد تبادل المعلومات في تحسين قدرة المؤسسات على الاستعداد للاختراقات والاستجابة لها.

مستقبل الأمن السيبراني

يشير هذا الاختراق إلى أن الأمن السيبراني يمثل تحدياً مستمراً. مع تطور التقنيات، تتطور أيضاً الأساليب التي يستخدمها القراصنة. يجب على المؤسسات أن تظل يقظة وأن تستثمر في الأمن السيبراني لضمان حماية بياناتها وعملياتها.

الخلاصة

يمثل اختراق SharePoint الذي استغله القراصنة الصينيون تهديداً خطيراً للمؤسسات في جميع أنحاء العالم، بما في ذلك المؤسسات العربية. من خلال فهم تفاصيل هذا الاختراق واتخاذ الإجراءات الأمنية المناسبة، يمكن للمؤسسات تقليل خطر التعرض للاختراق وحماية بياناتها. يجب على المؤسسات أن تظل يقظة وأن تستثمر في الأمن السيبراني كجزء أساسي من استراتيجيتها التجارية.