أظهرت تحقيقات جديدة أن شركة Microsoft استعانت بمهندسين مقيمين في الصين لتقديم خدمات الدعم والصيانة لمنصة SharePoint، وهي منصة التعاون المؤسسي التي تعرضت مؤخراً لهجوم سيبراني شنه قراصنة مدعومون من الدولة الصينية.
وأثار هذا الكشف تساؤلات جدية حول ممارسات الأمن السيبراني لدى Microsoft، لا سيما في ما يتعلق بإدارة فرق العمل الأجنبية التي تتعامل مع برمجيات تستخدم في مؤسسات حكومية وخاصة على نطاق واسع.
وبحسب إفصاح رسمي من Microsoft الشهر الماضي، فإن الهجوم استهدف نسخ SharePoint OnPrem الموجودة على الخوادم المحلية، وبدأت الأنشطة التخريبية منذ 7 يوليو 2025.
وأكدت تقارير أمنية أن القراصنة الصينيين استغلوا ثغرات في النسخة المحلية من SharePoint وتمكنوا من الوصول إلى الأنظمة الداخلية لعدد من الجهات الحساسة، بينها الإدارة الوطنية للأمن النووي ووزارة الأمن الداخلي الأميركية.
وأوضحت وكالة الأمن السيبراني وأمن البنية التحتية الأميركية أن الثغرة مكنت المهاجمين من الوصول الكامل إلى محتوى SharePoint، بما في ذلك أنظمة الملفات والإعدادات الداخلية، وتنفيذ التعليمات البرمجية عن بعد، وهو ما يمنحهم صلاحيات إدارية كاملة.
ووفقاً لتحليل أجرته ProPublica، فإن فرقاً صينية داخلية كانت مسؤولة منذ سنوات عن أعمال الصيانة ومعالجة الأعطال في نظام SharePoint، وهو ما تم إثباته من خلال لقطات شاشة مأخوذة من أنظمة تتبع العمل الداخلية لدى Microsoft.
وتظهر هذه المعلومات بعداً خطيراً في الهجوم السيبراني الأخير، حيث إن الأشخاص المكلفين بصيانة النظام ربما ساهموا، عن غير قصد أو بغير علم، في خلق ثغرات استغلها المهاجمون.
أما من الناحية التقنية، فقد تبين أن أساليب التسلل تضمّنت آليات متقدمة لإدامة الوصول، حتى بعد تطبيق أول تحديث أمني من Microsoft بتاريخ 8 يوليو. فقد تمكن المهاجمون من تعديل أساليبهم سريعاً لتجاوز التصحيحات الأمنية، مما اضطر Microsoft إلى إصدار تحديثات إضافية بآليات حماية أكثر صرامة.
ومن المرجح أن الآلية الرئيسية التي استخدمها القراصنة لحفظ موطئ قدمهم داخل الأنظمة تمثلت في زرع تعليمات خبيثة داخل ملفات إعدادات SharePoint، إضافة إلى تعديل وحدات المصادقة وإنشاء حسابات إدارية مخفية.
وتقول Microsoft إنها تدرك تبعات هذه الثغرة وأعلنت عن نيتها نقل عمليات الدعم الفني من الصين إلى مواقع بديلة. وأكدت أن جميع الأعمال نفذت تحت إشراف أميركي مباشر وبمراجعات أمنية إلزامية. إلا أن خبراء في الأمن السيبراني عبّروا عن شكوكهم في مدى كفاءة هذه المراجعات في الحد من المخاطر الناجمة عن إشراك كوادر أجنبية في إدارة الأنظمة الحساسة.
