في وقت مبكر من هذا العام ، ارتبطت مجموعة من المتسللين بالحكومة الصينية والمعروفة باسم Hafnium استغلال ثغرة أمنية في خادم Microsoft Exchange Server . سمح لهم الهجوم بالوصول إلى أكثر من 60 ألف خادم ، بما في ذلك خوادم الشركات والمصارف الكبرى.
كيفية إرضاء رجل الحوت
هذا الهجوم منفصل عن اختراق SolarWinds الذي أثر على آلاف العملاء العام الماضي من خلال ثغرة أمنية في الباب الخلفي في برنامج الشركة. في هذه الحالة ، تمكنت مجموعة روسية من استخدام برنامج SolarWinds ، والذي - عند تثبيته عبر تحديث على شبكات العملاء - سمح للقراصنة بنشر تعليمات برمجية ضارة. في هذه الحالة ، عملت Microsoft مع شركة الأمن السيبراني FireEye لوقف الهجوم عن طريق ثقب المجال المستخدم لتلقي مزيد من التعليمات.
كان هجوم Exchange Server مختلفًا ، حيث استفاد من ثغرة أمنية معروفة أثرت على خوادم التبادل المحلية. كان المتسللون ، المعروفين باسم هجوم يوم الصفر ، قادرين على استغلال الثغرة الأمنية دون أي تفاعل من المستخدم ، ودون أن يعرفوا أنه قد تم وضع تعليمات برمجية ضارة على الخادم. كان الخرق واسع الانتشار لدرجة أن إدارة بايدن دعت إلى 'استجابة حكومية كاملة'.
يبدو أن مايكروسوفت كانت أخطرت لأول مرة بالمشكلة في يناير لكنها لم تصدر رقعة حتى مارس. كانت هذه أيضًا المرة الأولى التي يتم فيها الاعتراف بالمشكلة علنًا. خلال ذلك الوقت ، تمكن المتسللون من الوصول إلى معلومات حساسة في آلاف الشركات والوكالات الحكومية والمنظمات الأخرى.
منذ ذلك الحين ، تمكن الكثيرون من تصحيح الخلل وإزالة التعليمات البرمجية الضارة ، المعروفة باسم قذائف الويب. ومع ذلك ، لم يخفف بعض المستخدمين من الهجوم. حتى لو قاموا بتثبيت التصحيح ، قالت الحكومة إن بضع مئات من المنظمات لم تقم بإزالة قذائف الويب من الخوادم المصابة.
وقد تركهم ذلك عرضة ليس فقط للمتسللين الأصليين ، ولكن بمجرد أن أصبح الباب الخلفي عامًا ، لمجموعات أخرى استغلت نفس الاستغلال.
في بيان قالت وزارة العدل:
خلال شهر مارس ، أصدرت Microsoft وشركاء آخرين في الصناعة أدوات كشف وتصحيحات ومعلومات أخرى لمساعدة الكيانات الضحايا في تحديد وتخفيف هذا الحادث الإلكتروني. بالإضافة إلى ذلك ، أصدر مكتب التحقيقات الفيدرالي ووكالة الأمن السيبراني وأمن البنية التحتية تقريرًا استشاريًا مشتركًا بشأن تسوية خادم Microsoft Exchange Server في 10 مارس. وعلى الرغم من هذه الجهود ، وبحلول نهاية شهر مارس ، ظلت المئات من قذائف الويب على أجهزة كمبيوتر معينة في الولايات المتحدة تعمل بنظام Microsoft Exchange برنامج الخادم.
علامة البروج ليوم 15 أكتوبر
الآن ، بمباركة محكمة فيدرالية في هيوستن ، يستخدم مكتب التحقيقات الفيدرالي نفس مجموعة الأدوات التي استخدمها المتسللون ، ويقوم بالوصول إلى الخوادم لإزالة التعليمات البرمجية الضارة. في معظم الحالات ، يحدث هذا دون علم أو علم مالك الخادم.
أعتقد أنه من العدل أن نقول إن هذا غير مسبوق. لا يُسمح عادةً للحكومة الفيدرالية باختراق وإزالة المحتوى من شبكة الكمبيوتر. أنا لا أقترح أن ما فعلوه كان غير قانوني - من الواضح أنه لم يكن كذلك ، ومن هنا أمر القاضي. ومع ذلك ، فإنه يكشف عن أن الحكومة الفيدرالية لديها قدرات غير عادية عندما يتعلق الأمر بالأمن السيبراني.
فقط البارحة واشنطن بوست ذكرت كيف تمكن مكتب التحقيقات الفيدرالي من فتح iPhone الخاص بمطلق النار في San Bernardino. استخدمت الوكالة شركة أسترالية ، Azimuth ، لتطوير طريقة للوصول إلى الجهاز وسط معركة ضخمة بين Apple وسلطات إنفاذ القانون الفيدرالية.
في حالة Exchange Server ، شعرت الحكومة أن خطر المزيد من التنازلات للشركات المعنية يستدعي اتخاذ إجراء صارم. وقالت المدعية الأمريكية بالإنابة جينيفر ب.لوري من المنطقة الجنوبية لتكساس: 'تُظهر هذه العملية المرخصة من المحكمة لنسخ وإزالة قذائف الويب الضارة من مئات أجهزة الكمبيوتر المعرضة للخطر التزامنا باستخدام أي مورد قابل للتطبيق لمحاربة مجرمي الإنترنت'.
بشكل أساسي ، تقترح الحكومة أنه إذا لم تتخذ الشركات خطوات لحماية شبكتها والقضاء على التهديدات السيبرانية ، فإنها على استعداد للتدخل واستعراض عضلاتها الإلكترونية. هذا يعني أنك إذا كنت ترغب في إبقاء مكتب التحقيقات الفيدرالي خارج نطاق عملك في المستقبل ، فابق الباب الخلفي مغلقًا.
