أعلنت شركة مايكروسوفت عن نجاحها في تفكيك عملية دولية واسعة النطاق لتقديم خدمة "تشفير البرمجيات الخبيثة" (MSaaS)، والتي استغلت أنظمة الشركة لتوزيع الأكواد الضارة وشن هجمات الفدية.
كيف تم تعطيل عملية OpFauxSign ومن يقف وراءها؟
أطلقت مايكروسوفت اسم "OpFauxSign" على عملية الملاحقة والتعطيل التي استهدفت جهة تهديد تُدعى Fox Tempest. وكانت هذه المجموعة توفر بنية تحتية تقنية تتيح للمجرمين السيبرانيين إخفاء برمجياتهم الخبيثة في ثوب برمجيات قانونية وموثوقة لتجاوز أنظمة الدفاع.
وحسب ما تابعه موقع تيكبامين، فقد تمكنت وحدة الجرائم الرقمية في الشركة من تنفيذ ضربة استباقية شملت الخطوات التالية:
- السيطرة القانونية والتقنية على الموقع الإلكتروني الخاص بالمجموعة "signspace.cloud".
- إيقاف مئات الأجهزة الافتراضية (Virtual Machines) التي كانت تدير العمليات اللوجستية للشبكة.
- حظر الوصول إلى المواقع التي تستضيف الأكواد البرمجية الأساسية المستخدمة في التشفير.
بدأت نشاطات هذه المجموعة منذ مايو 2025، حيث تخصصت في تقديم خدمات التوقيع الرقمي الاحتيالي للمجرمين الذين لا يمتلكون الخبرة التقنية الكافية لتجاوز أنظمة الحماية بأنفسهم.
ما هي أنواع البرمجيات الخبيثة التي نشرتها Fox Tempest؟
لم تكن Fox Tempest مجرد مجموعة عابرة، بل كانت ركيزة أساسية في نظام الجريمة السيبرانية العالمي. فقد مكنت هذه الخدمة مجموعات أخرى من نشر برمجيات فتاكة أدت إلى إصابة آلاف الأجهزة والشبكات في مختلف القارات.
أهم المجموعات والبرمجيات المرتبطة بالشبكة:
- برمجيات الفدية الخطيرة: مثل Rhysida وINC وQilin وBlackByte وAkira.
- سارقي البيانات (Stealers): مثل Lumma Stealer وVidar وOyster.
- مجموعات التهديد المتقدمة: مثل Vanilla Tempest التي استغلت الخدمة لنشر الفوضى الرقمية.
وقد استهدفت هذه الهجمات قطاعات حيوية وحساسة، شملت مؤسسات الرعاية الصحية، والقطاعات التعليمية، والخدمات الحكومية، والمؤسسات المالية الكبرى. وتركزت أغلب الضحايا في دول مثل الولايات المتحدة، وفرنسا، والهند، والصين، مما يعكس النطاق العالمي لخطورة هذه الشبكة.
كيف استغل القراصنة نظام Artifact Signing من مايكروسوفت؟
اعتمدت المجموعة على ثغرة في كيفية استخدام نظام Artifact Signing (المعروف سابقاً باسم Azure Trusted Signing). هذا النظام مصمم أصلاً لمساعدة المطورين على توثيق تطبيقاتهم لضمان أنها أصلية ولم يتم تعديلها، ولكن Fox Tempest استغلته بشكل عكسي.
آلية التلاعب بالشهادات الرقمية:
- انتحال الهوية: استخدام هويات مسروقة لأشخاص حقيقيين في الولايات المتحدة وكندا لتجاوز عمليات التحقق من الهوية (VC).
- الشهادات قصيرة الأجل: توليد شهادات توقيع أكواد صالحة لمدة 72 ساعة فقط، مما يجعل تتبعها وحظرها صعباً للغاية قبل تنفيذ الهجوم.
- منصة SignSpace: بناء موقع إلكتروني متكامل يتيح للمجرمين رفع ملفاتهم الخبيثة وتوقيعها رقمياً عبر لوحة تحكم سهلة الاستخدام تعتمد على اشتراكات Azure.
وفقاً لتقرير تيكبامين، فإن هذه الاستراتيجية سمحت للمهاجمين بالظهور ككيانات قانونية موثوقة، مما جعل البرمجيات الخبيثة تبدو وكأنها تحديثات برمجية رسمية، وهو ما يخدع المستخدمين وأنظمة الأمان التقليدية على حد سواء.
مستقبل الأمن الرقمي بعد سقوط Fox Tempest
تؤكد مايكروسوفت أن تعطيل هذه الشبكة لا يعني نهاية التهديدات، بل هو جزء من حرب مستمرة ضد الجريمة المنظمة عبر الإنترنت. إن استغلال الأدوات السحابية الموثوقة لتنفيذ هجمات سيبرانية يفرض تحديات جديدة على شركات التقنية والمستخدمين.
في الختام، يظهر هذا التقرير أهمية اليقظة الرقمية، حيث تواصل مايكروسوفت مراقبة أي محاولات لإعادة بناء هذه البنية التحتية، مع التأكيد على ضرورة تحديث بروتوكولات التحقق من الهوية الرقمية لمنع تكرار مثل هذه الانتهاكات الخطيرة في المستقبل.
