اختراق منشأة أميركية لصناعة الأسلحة النووية، قراصنة يستغلون ثغرات SharePoint

الأربعاء، 22 أكتوبر 2025 10:26 ص

الهجوم الإلكتروني

محمد السيد

كشف تحقيق أمني أن مجموعة قراصنة أجنبية نجحت في تنفيذ هجوم إلكتروني معقّد استهدف منشأة كانساس سيتي التابعة للإدارة الوطنية للأمن النووي الأميركية (NNSA)، عبر استغلال ثغرات في خوادم تطبيق Microsoft SharePoint، ما أثار جدلاً واسعاً حول جاهزية الأنظمة الفيدرالية وحماية البنية التشغيلية الحسّاسة.

المهاجمين استغلّوا ثغرتين أثارتا قلق الباحثين الأمنيين

أوضحت المصادر أن المهاجمين استغلّوا ثغرتين حديثتين أثارتا قلق الباحثين الأمنيين، الأولى المسجلة تحت معرف CVE-2025-53770 والمتعلقة بانتحال الهوية، والثانية CVE-2025-49704 الخاصة بتنفيذ أوامر عن بُعد، رغم أن مايكروسوفت أصدرت تصحيحات أمنية لهما في 19 يوليو، وحسب ما ورد، بدأ استغلال ما يُعرف بـ«ثغرة يوم الصفر» في 18 يوليو، ما دفع فرق الاستجابة الفيدرالية إلى التدخّل لاحقًا.

الحادثة قضيةً وطنية استلزمت تدخل عناصر من وكالة الأمن القومي

قصة الاختراق وصلت إلى ذروتها حينما تبيّن أن المنشأة المتأثرة تعد مركزًا هامًا لتصنيع العديد من المكونات غير النووية للأسلحة النووية الأميركية، وتشغّلها شركة Honeywell Federal Manufacturing & Technologies بعقد من وزارة الطاقة (DOE)، ما جعل الحادثة قضيةً وطنية استلزمت تدخل عناصر من وكالة الأمن القومي (NSA) والفرق الفدرالية الأخرى للتحقيق والاحتواء.

نشر برمجيات فدية من نوع Warlock

تباينت روايات مصادر التحقيق بشأن الجهة المنفّذة، وأصدرت مايكروسوفت تقاريرًا تربط موجة الهجمات على SharePoint بثلاث مجموعات مرتبطة بالصين، بينها مجموعتا Linen Typhoon وViolet Typhoon ومجموعة أخرى تُشير إليها الشركة باسم Storm 2603، مشيرةً إلى أن بعض الهجمات كانت تسبقها تحضيرات لنشر برمجيات فدية من نوع Warlock.

استغلال الثغرات من قبل جهات روسية لأسباب مالية

وأشار مصدر مشارك في الاستجابة لحادث كانساس سيتي إلى احتمال أن يكون الهجوم ذا طابع روسي، بينما خلُصت شركات أمنية أخرى مثل Resecurity إلى دلائل تشير إلى نشاط مجموعات صينية، مع احتمال إعادة استغلال الثغرات من قبل جهات روسية لأسباب مالية بعد تسرب تفاصيل تقنية في يونيو، وهكذا ظلّت خيوط التهم متشابكة بين تقديرات مؤسسية واستخباراتية متباينة.

تسريع إعادة بناء أدوات الاستغلال

وربط المحلّلون ظهور هذا النمط من الاستغلال بعروض سابقة في مسابقات كشف الثغرات، وفي مايو قدّم باحثون من Viettel Cyber Security استعراضًا لهجمات تستهدف ثغرات في SharePoint خلال فعالية Pwn2Own Berlin، وهو ما يرجّح بعض المحلّلين أنه ساهم في تسريع إعادة بناء أدوات الاستغلال من قِبل جهات متعددة، كما رصدت Resecurity مسارات مسح واستغلال انطلقت من بنى تحتية في تايوان وفيتنام وكوريا الجنوبية وهونج كونج، وهو نمط تكتيكي يُستخدم أحيانًا لإخفاء المصدر الحقيقي للهجمات.

تعزيز تحديث البُنى الأمنية ومعالجة الثغرات

تبقى الحصيلة العملية للهجوم محدودة نسبيًا بحسب وزارة الطاقة التي أكدت أن الاعتماد الواسع على خدمات Microsoft M365 وأنظمة الحماية المتقدمة قلّلا من نطاق الأضرار، وأن عددًا ضئيلاً من الأنظمة تضرّر وتمت استعادته، ومع ذلك، تعكس حادثة كانساس سيتي هشاشة بعض نقاط الضعف في شبكات مؤسساتٍ حيوية وتسلّط الضوء على الحاجة الملحّة لتعزيز تحديث البُنى الأمنية ومعالجة الثغرات بسرعة لتفادي مخاطر أكبر على الإمدادات الصناعية والأمن القومي.