تمكن مهاجم أجنبي من التسلل إلى منشأة نووية أميركية حساسة عبر ثغرات في تطبيق SharePoint من Microsoft، ما أثار قلقاً واسعاً بشأن فعالية أنظمة الحماية في المرافق الفدرالية التي تجمع بين تقنية المعلومات والتشغيل الصناعي.
استهدف الهجوم مجمع الأمن القومي في مدينة كانساس سيتي، التابع للإدارة الوطنية للأمن النووي (NNSA)، وهي الجهة المسؤولة عن تصميم وصيانة الترسانة النووية الأميركية. وتشرف شركة Honeywell Federal Manufacturing & Technologies على تشغيل المجمع بموجب عقد مع الإدارة.
وقالت مصادر مطلعة على التحقيق إن المهاجم استغل ثغرات غير معالجة في خوادم SharePoint، أدت إلى اختراق عدد محدود من الأنظمة. ولم يصدر أي تعليق رسمي من وزارة الطاقة أو شركة Honeywell، فيما اكتفت وكالة الأمن القومي بالقول إن ليس لديها ما تضيفه حول الحادثة.
ثغرتان حديثتان في SharePoint مهدتا الطريق للهجوم… وتضارب في تحديد الجهة المنفذة
بدأ الهجوم، وفق المصادر، بعد ثلاثة أيام من إصدار Microsoft تحديثاً أمنياً في التاسع عشر من يوليو لمعالجة ثغرتين في SharePoint، إحداهما في تزوير الهوية والأخرى في تنفيذ التعليمات عن بعد (RCE). وأكدت وزارة الطاقة لاحقاً أن بعض أنظمتها تأثرت، لكنها أوضحت أن الضرر كان محدوداً بفضل الاعتماد الواسع على خدمات M365 السحابية وأنظمة الحماية المتقدمة.
مع بداية أغسطس، شاركت فرق من وكالة الأمن القومي وفرق استجابة فدرالية في الموقع للتحقيق في الهجوم. وتنتج المنشأة أكثر من 80% من المكونات غير النووية للأسلحة النووية الأميركية، ما يجعلها من أكثر المرافق حساسية في مجمع الأسلحة الوطني.
رغم تضارب الروايات حول هوية الجهة المنفذة، نسبت Microsoft الموجة الأوسع من الهجمات إلى ثلاث مجموعات صينية مرتبطة بالدولة، هي Linen Typhoon وViolet Typhoon ومجموعة ثالثة هي Storm-2603. إلا أن مصادر أمنية في كانساس سيتي أكدت أن الجهة المنفذة روسية وليست صينية.
في المقابل، أشارت شركة Resecurity، التي تتابع النشاطات السيبرانية المرتبطة بـSharePoint، إلى أن البيانات الأولية تشير إلى تورط مجموعات صينية ترعاها الدولة، لكنها لم تستبعد مشاركة روسية لاحقة، إذ من المرجح أن جهات إجرامية مالية أعادت استخدام الثغرة بعد انتشار تفاصيلها في يونيو.
كما أوضحت الشركة أن الاستغلال بدأ بعد عرض باحثين من Viettel Cyber Security لهجوم نموذجي في مسابقة Pwn2Own في برلين، ما سرع من تحليل الثغرات واستغلالها من أطراف عدة. ولوحظ نشاط مبكر من بنى تحتية في تايوان وفيتنام وكوريا الجنوبية وهونغ كونغ، وهي أنماط عادة ما تستخدمها مجموعات صينية متقدمة لإخفاء مصدر الهجمات.
مخاوف من انتقال العدوى إلى الأنظمة التشغيلية… والفجوة بين أمن IT وOT تتعمق
رغم أن الهجوم استهدف أنظمة تقنية المعلومات في المجمع، حذر خبراء من احتمال انتقال المهاجمين إلى أنظمة التحكم الصناعي (OT) التي تدير خطوط الإنتاج. ويعتقد مختصون أن أنظمة المصنع معزولة عن الشبكة العامة (air-gapped)، إلا أنهم شددوا على أن هذا العزل لا يضمن الأمان الكامل.
وقالت جين سوفادا، المديرة العامة للقطاع العام في شركة Claroty، إن الهجمات الحديثة تظهر كيف يمكن للمهاجمين استغلال ثغرات في تقنية المعلومات للوصول إلى بيئات التشغيل الصناعي. وأضافت أن منشآت مثل مجمع كانساس سيتي، التي تدير دورة حياة الأسلحة النووية من التصميم إلى التفكيك، تعتمد على منظومات مترابطة يمكن للمهاجمين التنقل عبرها إذا نجحوا في الاختراق الأولي.
كما وحذرت سوفادا من أن مثل هذا الوصول قد يمكن المهاجمين من التأثير على وحدات التحكم المنطقية القابلة للبرمجة (PLC) أو أنظمة الإشراف والتحكم وجمع البيانات (SCADA)، ما يهدد سلامة المعدات وجودة الإنتاج.
وتسلط الحادثة الضوء على التحدي المتنامي في توحيد معايير الأمن بين شبكات تقنية المعلومات وأنظمة التشغيل الصناعي. فبينما تمضي الحكومة الأميركية في تنفيذ إستراتيجية الثقة الصفرية (Zero Trust) لشبكات IT، لا تزال الأطر المقابلة في بيئات التشغيل الصناعي في مراحل التطوير.
بيانات غير مصنفة… لكنها حساسة
حتى في حال كان الاختراق بدافع مالي من مجموعة روسية، فإن البيانات التي تم الوصول إليها قد تحمل قيمة إستراتيجية عالية. وتوضح سوفادا أنه حتى الوثائق الفنية غير المصنفة يمكن أن تكشف مستويات الدقة المطلوبة في تصنيع المكونات، وهو ما قد يساعد خصوم الولايات المتحدة على فهم خصائص منظوماتها الدفاعية وسلاسل الإمداد الخاصة بها.
وترى أن تسرب معلومات من هذا النوع، ولو كانت غير سرية رسمياً، يمكن أن يقدم فهماً عميقاً حول عمليات التصنيع أو معايير الجودة في الأسلحة الأميركية، وهو ما يُعد ذا حساسية كبيرة.
وفي ضوء عدم وجود تأكيد قاطع لهوية المهاجمين، تبرز الحادثة كإشارة واضحة إلى هشاشة الحدود بين أمن المعلومات التقليدي والأمن التشغيلي في المنشآت الحيوية. وكما تقول سوفادا، فإن مفهوم «الثقة الصفرية» لم يعد يقتصر على شبكات تقنية المعلومات، بل يجب أن يمتد ليشمل الأنظمة المادية التي تشكل جوهر الأمن الوطني.
