قراصنة صينيون يخترقون أنظمة الخزانة الأميركية في حادثة أمنية إلكترونية مثيرة للقلق

أكدت وزارة الخزانة الأميركية أن قراصنة صينيين تمكنوا عن بعد من الوصول إلى محطات عمل تابعة للوزارة ووثائق غير سرية في ما وصفه المسؤولون بأنه "حادثة أمن سيبراني كبرى". ووقع الاختراق بعد أن اخترق قراصنة خدمة تعتمد على السحابة تديرها شركة بيوند تراست، وهي شركة متخصصة في إدارة الوصول المتميز.

ورغم إقرار مسؤولي وزارة الخزانة بخطورة الحادث، فإن التفاصيل المهمة لا تزال غير واضحة. ولم تكشف الوزارة عن عدد محطات العمل المتأثرة أو طبيعة الوثائق التي تم الوصول إليها.

الاختراق مرتبط بتهديد متقدم مستمر مرتبط بالصين

وقع الهجوم، الذي نُسب إلى مجموعة تهديدات متقدمة مستمرة (APT) برعاية الدولة من الصين، بعد أن استغل المتسللون مفتاح API مسروقًا يستخدمه BeyondTrust. ووفقًا لأديتي هارديكار، مساعدة وزير الخزانة للشؤون الإدارية، أخطرت BeyondTrust وزارة الخزانة في 8 ديسمبر/كانون الأول بنشاط مشبوه مرتبط بخدمة الدعم الفني المستندة إلى السحابة.

وأوضح هارديكار في رسالة إلى المشرعين: "بفضل الوصول إلى المفتاح المسروق، تمكن الفاعل من تجاوز أمان الخدمة، والوصول عن بعد إلى محطات عمل مستخدمي مكاتب وزارة الخزانة (DO)، واسترداد المستندات غير السرية التي يحتفظ بها هؤلاء المستخدمون".

ورغم أن الأنظمة غير المصنفة أقل حساسية بشكل عام من الشبكات المصنفة، فإن اختراقها لا يزال يشكل خطرا كبيرا، مما قد يعرض العمليات الحكومية للخطر أو يتيح شن المزيد من الهجمات.

الاستجابة المنسقة جارية

وقد استعانت وزارة الخزانة بوكالة الأمن السيبراني وأمن البنية التحتية، ومكتب التحقيقات الفيدرالي، ومجتمع الاستخبارات، ومحققي الطب الشرعي الخاصين لتحليل الاختراق وتقييم تأثيره. ووفقًا لهارديكار، تتعاون هذه الوكالات لضمان احتواء الحادث وتعزيز الدفاعات ضد التهديدات المستقبلية.

ولم تكشف الاستجابة السريعة من جانب وكالة الأمن السيبراني والبنية التحتية، إلى جانب قرار وزارة الخزانة بإيقاف الخدمة المخترقة على الفور، عن أي دلائل حتى الآن على أن القراصنة ما زالوا قادرين على الوصول إلى أنظمة الوزارة.

استغلال ثغرة BeyondTrust

أصدرت شركة BeyondTrust، وهي الشركة التي كانت في قلب الحادث، مؤخرًا تصحيحات لثغرة أمنية حرجة (CVE-2024-12356) في منتجات Privileged Remote Access (PRA) وRemote Support (RS). في الخامس من ديسمبر، اكتشفت الشركة أن مفتاح API الخاص بخدمة الدعم عن بعد قد تعرض للاختراق، مما أدى إلى إيقاف تشغيل فوري للنسخ المتأثرة وإخطار العملاء المتأثرين.

السياق: موجة أوسع من التجسس السيبراني الصيني

يأتي هذا الهجوم على الخزانة وسط مخاوف متزايدة بشأن حملة تجسس سيبراني صينية أكبر، أطلق عليها اسم " إعصار الملح ". ويقال إن هذه الحملة منحت بكين إمكانية الوصول إلى اتصالات حساسة، بما في ذلك الرسائل النصية والمحادثات الهاتفية، التي تشمل مواطنين أمريكيين.

وبحلول أواخر ديسمبر/كانون الأول، أكد مسؤولون أميركيون أن تسع شركات اتصالات تعرضت للاختراق من قِبَل شركة Salt Typhoon. ورغم أن اختراق وزارة الخزانة لا يبدو ذا صلة، فإنه يسلط الضوء على نطاق وتعقيد العمليات السيبرانية التي ترعاها الدولة الصينية والتي تستهدف البنية الأساسية والأنظمة الحكومية الأميركية.

النقاط الرئيسية

إن هذه الحادثة تذكّرنا بشكل صارخ بالثغرات الخطيرة التي تشكلها الاعتماديات على برامج الطرف الثالث. فالخدمات المستندة إلى السحابة، والتي غالبًا ما يُنظر إليها على أنها مريحة وآمنة، قد تصبح بوابة للمهاجمين إذا تم استغلالها.

يتعين على المنظمات ــ الحكومية والخاصة على حد سواء ــ أن تظل متيقظة، وأن تضمن بروتوكولات أمنية قوية، وعمليات تصحيح منتظمة، وخطط شاملة للاستجابة للحوادث. ويؤكد انخراط الحكومة الأميركية السريع مع وكالات الأمن السيبراني على أهمية الاستجابة المنسقة للتهديدات السيبرانية.

ومع تقدم التحقيقات، أصبح هناك أمر واحد واضح: إن مخاطر الأمن السيبراني أصبحت أعلى من أي وقت مضى في عصر التوترات الجيوسياسية المتصاعدة والهجمات السيبرانية المتطورة بشكل متزايد.