تتجه الأنظار في عالم الأمن السيبراني نحو تهديد جديد يقوده فاعل يرتبط بالصين، المعروف سابقًا باسم “Hafnium”، والذي يدعى الآن “Silk Typhoon”. هذا الفاعل الذي استغل سابقًا ثغرات يوم الصفر في خوادم مايكروسوفت إكستشينج في يناير 2021، قد غير استراتيجياته ليهاجم سلسلة توريد تقنية المعلومات بهدف الوصول الأولي إلى الشبكات المؤسسية.

تحليل معمق وسياق تاريخي

وفقًا لفريق استخبارات التهديدات في مايكروسوفت، يستخدم “Silk Typhoon” الآن حلول تقنية المعلومات مثل أدوات الإدارة عن بُعد والتطبيقات السحابية للوصول الأولي إلى الشبكات. بعد اختراق الضحية بنجاح، يقوم باستخدام المفاتيح والبيانات المسروقة لاختراق شبكات العملاء حيث يمكنهم استغلال مجموعة متنوعة من التطبيقات المنتشرة، بما في ذلك خدمات مايكروسوفت، لتحقيق أهدافهم التجسسية.

يُعتبر هذا الفريق التهديدي “مُمَوَّل جيدًا وذو كفاءة تقنية عالية”، حيث يستغل ثغرات يوم الصفر في الأجهزة الطرفية لشن هجمات استغلالية واسعة النطاق عبر قطاعات ومناطق متعددة. تشمل القطاعات المستهدفة خدمات تقنية المعلومات والبنية التحتية، والشركات المزودة للخدمات المدارة (MSPs)، والرعاية الصحية، والخدمات القانونية، والتعليم العالي، والدفاع، والحكومة، والمنظمات غير الحكومية، وقطاع الطاقة، وغيرها في الولايات المتحدة وحول العالم.

الآثار والتداعيات الأمنية

أظهر الفاعل “Silk Typhoon” قدرة كبيرة على فهم البنية التحتية السحابية، مما يسمح له بالتحرك بشكل جانبي وجمع البيانات الهامة. منذ أواخر 2024، ارتبطت هذه الهجمات بمجموعة جديدة من الأساليب، من بينها استغلال مفاتيح (API) المسروقة وبيانات الاعتماد المرتبطة بإدارة الوصول المتميز (PAM)، ومزودي التطبيقات السحابية، وشركات إدارة البيانات السحابية لتنفيذ هجمات سلسلة التوريد ضد العملاء.

تشمل الطرق الأخرى للوصول الأولي التي تبناها “Silk Typhoon” استغلال ثغرة يوم الصفر في Ivanti Pulse Connect VPN (CVE-2025-0282)، وشن هجمات رش كلمات المرور باستخدام بيانات الاعتماد المؤسسية المسربة من مستودعات عامة على GitHub وغيرها.

رؤى الخبراء والتوسعات المستقبلية

تستغل المجموعة التهديدية أيضًا ثغرات يوم الصفر الأخرى مثل:

• CVE-2024-3400: ثغرة حقن أوامر في جدران حماية Palo Alto Networks.
• CVE-2023-3519: ثغرة تنفيذ الشفرة عن بُعد دون مصادقة تؤثر على Citrix NetScaler.
• مجموعة من الثغرات المؤثرة على Microsoft Exchange Server مثل CVE-2021-26855، المعروفة باسم ProxyLogon.

بعد الوصول الأولي الناجح، يتخذ الفاعل خطوات للتحرك بشكل جانبي من البيئات المحلية إلى البيئات السحابية، ويستغل تطبيقات (OAuth) بصلاحيات إدارية لتنفيذ استخراج بيانات البريد الإلكتروني وOneDrive وSharePoint عبر MSGraph API.

في محاولة لإخفاء أصل أنشطتهم الخبيثة، يعتمد “Silk Typhoon” على شبكة سرية تضم أجهزة Cyberoam المخترقة، وموجهات Zyxel، وأجهزة QNAP، وهو ما يعتبر سمة مميزة لعدة فاعلين مدعومين من الدولة الصينية.

دعوة للتفاعل والنقاش

تشكل هذه التهديدات المتطورة تحديات جديدة لمجال الأمن السيبراني، مما يستدعي تعزيز الجهود والدفاعات الإلكترونية. كيف يمكن للمؤسسات تحسين استراتيجياتها الأمنية والوقائية لمواجهة مثل هذه التهديدات المتقدمة؟

للاطلاع على المزيد من المحتوى الحصري، تابعونا على X (Twitter) وFacebook.