بقلم: المهندس مصطفى كامل الشريف
مستشار في أمن المعلومات و الشبكات
المقدمة
حين تحمل الضربة السيبرانية توقيعًا استراتيجيًا، وتتجاوز أضرارها حدود التقنية إلى عمق الأمن القومي، فإننا لا نتحدث عن هجوم عابر، بل عن تحوّل في قواعد الاشتباك الرقمي قبل أيام في مطلع تموز 2025، وجدت شركة مايكروسوفت نفسها في قلب عاصفة سيبرانية غير مسبوقة، بعدما تعرّضت خوادمها الداخلية، المرتبطة بمنصة SharePoint، لهجوم منسّق أدى إلى اختراق مؤسسات أمريكية حساسة، من بينها وزارة العدل، والبيت الأبيض، ووكالة الأمن القومي (NSA).
هذا الحادث لم يكن فقط إخفاقًا في الحماية التقنية، بل جرس إنذار عالمي يسلّط الضوء على هشاشة أكبر أنظمة العالم أمام تهديدات سيبرانية معقّدة تتزايد شراسة وتطورًا. وللدول النامية – كالعراق – دروس عميقة هنا، تتعلّق بضرورة بناء مناعة سيبرانية وطنية تتجاوز الاستجابة التقليدية نحو تبنّي استراتيجيات دفاع سيادي رقمي متكامل.
أولًا: خلفية الهجوم – ما الذي حدث فعلًا؟
وفقًا لما أعلنته مايكروسوفت وشركات الأمن السيبراني المتعاونة معها في التحقيق، فإن الهجوم استهدف أنظمة SharePoint Server، عبر استغلال ثغرة أمنية تم تصنيفها لاحقًا كـ Zero-Day، لم تكن مكتشفة سابقًا حتى لحظة الاستهداف.وقد استخدم المهاجمون أدوات متقدمة (Advanced Persistent Threats – APTs) وتكتيكات تخفٍّ دقيقة، مما سمح لهم بالتسلل إلى الخوادم الداخلية الخاصة بمايكروسوفت، ومنها إلى شبكات حكومية أمريكية حساسة.
ما المقصود بثغرة مصنفة “Zero-Day”؟
في عالم الأمن السيبراني، لا تقتصر خطورة الثغرات الأمنية على تلك المعروفة فحسب، بل تكمن الخطورة الحقيقية في تلك التي تُستغل قبل أن تدرك الأطراف المعنية بوجودها. يُطلق على هذا النوع اسم “ثغرة Zero-Day”، أي تلك التي لا يمتلك المطورون أو مزودو الحلول الأمنية وقتًا للتصدي لها قبل استغلالها.
لكن في بعض الحالات، يتم اكتشاف ثغرة أمنية بعد وقوع اختراق أو سلسلة هجمات، ليظهر لاحقًا أنها كانت تُستغل سرًا منذ فترة دون علم الشركة المنتجة أو فرق الحماية. في هذه الحالة، تُعرف الثغرة بأنها:”ثغرة أمنية تم تصنيفها كثغرةـ Zero-Day”أي أنها لم تكن معروفة عند بداية استغلالها، ولكن وبعد تحليل الأدلة الرقمية تبين أن استغلالها كان جارياً بالفعل قبل أي إعلان أو تحديث أمني، مما يجعلها من أخطر أنواع التهديدات الرقمية.
هذا التصنيف لا يعكس فقط طبيعة الثغرة، بل يشير إلى فشل خطير في الرصد المبكر والتحديث الوقائي، وهو ما يجعلها محط تركيز في التحقيقات الجنائية الرقمية والتقارير الاستخباراتية.
ما هو SharePoint Server (On-Premise) ولماذا كان بوابة الاختراق؟
لفهم خطورة الاختراقات السيبرانية التي طالت بعض المؤسسات الحكومية الأمريكية مؤخرًا، لا بد من توضيح وظيفة أحد أهم الأنظمة التي كانت بوابة للهجوم، وهو نظام مايكروسوفت SharePoint المخزن داخليًا، والمعروف باسم On-Premise SharePoint Server.
ما هو SharePoint؟
نظام SharePoint هو منصة تطوير وتخزين ملفات رقمية داخلية طورتها مايكروسوفت، ويُستخدم على نطاق واسع في المؤسسات الحكومية والخاصة حول العالم. يتيح هذا النظام للموظفين مشاركة الملفات والمعلومات، إدارة المهام والمستندات، والتعاون في المشاريع ضمن بيئة مؤسسية مغلقة. يمكن اعتباره “مكتبًا رقميًا مركزيًا” يُستخدم لتخزين وتنظيم المعلومات الحساسة، وغالبًا ما يحتوي على تقارير سرية، وثائق حكومية، سجلات داخلية، وقواعد بيانات خاصة بالمؤسسة.
الفرق بين النسخة السحابية والمخزنة داخليًا (On-Premise)
تُشغَّل بعض نُسَخ SharePoint عبر خدمات مايكروسوفت السحابية (مايكروسوفت 365 Cloud)، لكن كثيرًا من الحكومات والجهات الأمنية تُفضّل تشغيل النظام داخليًا (on-premise) لأسباب تتعلق بالسيادة على البيانات. أي أن السيرفرات التي تحتوي النظام تكون داخل مباني المؤسسة وتحت إدارتها المباشرة، ما يمنح شعورًا – أحيانًا خاطئًا – بالأمان الكامل.
لماذا يُعد استهداف SharePoint أمرًا خطيرًا؟
عندما ينجح المهاجم في اختراق خادم SharePoint داخلي، فهو فعليًا يدخل إلى القلب الرقمي للمؤسسة. هذا يُمكّنه من الوصول إلى:
- الملفات الداخلية الحساسة غير المنشورة للعامة،
- هويات المستخدمين وكلمات السر،
- بوابات الإدارات المختلفة،
- تقارير الاستخبارات أو الأمن الداخلي،
- بيانات خطط الطوارئ والتنسيق الحكومي.
باختصار، اختراق SharePoint لا يعني مجرد تسريب ملفات، بل يعني اختراق العقل المؤسسي الداخلي للدولة.
كيف يتم استغلال SharePoint؟
في حالات متعددة، استُغلّت ثغرات في نسخ SharePoint القديمة أو غير المحدثة (خصوصًا الإصدارات 2013 و2016 و2019) لتنفيذ هجمات الحقن البرمجي أو رفع ملفات خبيثة، أو سرقة بيانات الدخول. وهذا ما مكّن مجموعات سيبرانية، يعتقد ارتباطها بدول معينة، من التسلل إلى بيانات حساسة لدى حكومات أوروبية.
إن ما نشهده اليوم من تطور مذهل في أدوات الاختراق لم يعد يقتصر على استهداف البنى التحتية التقنية السطحية، بل أصبح يطال الأنظمة العميقة التي تحتفظ بأدق تفاصيل الدول والمؤسسات. ولم تعد السيادة الرقمية مجرد شعار، بل صارت دفاعًا سياديًا حقيقيًا، وأي ثغرة صغيرة في نظام داخلي كـ SharePoint قد تفتح أبوابًا واسعة للتجسس أو الابتزاز أو حتى التلاعب بالقرار السياسي.
ثانياً:تفاصيل الاختراق و تسلسل زمني معقّد وهويات هجومية متعددة
في شهر تموز 2025، كشفت مايكروسوفت أن جهات قرصنة مدعومة من دولة – يُعتقد أنها الصين – قد استغلت ثغرة حرجة في خدمة Exchange Online، ما أدى إلى سلسلة اختراقات امتدت لتشمل أيضًا خوادم SharePoint المستضافة داخليًا (On‑Premise) لدى جهات حكومية أمريكية. كانت نقطة الضعف الرئيسة في آلية التحقق من الرموز الأمنية (Access Tokens)، حيث نجح المهاجمون في الحصول على مفاتيح توقيع غير مفعّلة (Inactive Signing Keys)، واستخدموها لتوليد رموز مصادقة صالحة، مما منحهم قدرة الدخول إلى حسابات بريد إلكتروني، مستندات، وخوادم تخزين داخلية، بعضها يحتوي على معلومات حساسة.
بدأ استغلال الثغرة في 7 تموز 2025، لكن التصعيد الحقيقي للهجوم وقع بين 18 و19 تموز، حين تم تسجيل نشاط كثيف داخل البنى التحتية الحكومية المخترقة. ومع حلول 23 تموز، انتقل الهجوم إلى مرحلة أكثر عدوانية، من خلال نشر برمجيات فدية متقدمة مثل Warlock، ما حول الهجوم من عملية تجسس إلى عملية تخريب رقمي مستهدف. لاحقًا، أصدرت Microsoft ووكالة CISA تصحيحات وتنبيهات أمنية عاجلة بين 20 و24 تموز لمعالجة سلسلة الثغرات التي سُميت لاحقًا بـ”ToolShell”.
لكن من يقف فعليًا خلف هذا الهجوم المركّب؟
تُشير نتائج التحقيقات الأولية إلى تورّط عدة مجموعات قرصنة سيبرانية صينية، تُعرف بعلاقتها بالاستخبارات العسكرية والمدنية، وتتميز بتنوع أدوارها ما بين التجسس الإلكتروني، الاختراقات الصامتة، والتخريب باستخدام الفدية. وتُعتبر مجموعة Storm-0558 فعليًا المسؤولة الرئيسية لهجوم يوليو 2025 السيبراني، حسب ما ورد في التقارير الرسمية من Microsoft ووكالات الأمن السيبراني الأمريكية، وعلى رأسها:
- تقرير Microsoft Threat Intelligence – يوليو 2025
- تنبيه رسمي من CISA وNSA
- تحليل استخباراتي في تقارير Wired وNew York Times
في الجدول التالي توضيح لأبرز هذه المجموعات وأدوارها المحتملة:
| اسم المجموعة | التوصيف الأمني | النشاط الأساسي | العلاقة بالهجوم الحالي |
|---|---|---|---|
| Storm‑0558 | مجموعة متقدمة مدعومة من دولة (APT) | اختراق البريد وسرقة رموز التوثيق | قادت اختراق Microsoft Exchange Online |
| Violet Typhoon | مجموعة تجسس إلكتروني | استهداف الشبكات الحكومية الحساسة | شاركت بعمليات تجسس طويلة الأمد |
| Linen Typhoon | وحدة هجومية تابعة للجيش الصيني (PLA) | استطلاع وجمع معلومات (Recon) | ركّزت على الاختراق الصامت وتحليل البنية الرقمية |
| Storm‑2603 | تشكيلات هجينة (تجسس + فدية) | تنفيذ هجمات مزدوجة وتخريبية | ساهمت في استهداف SharePoint، لكنها ليست قائدة للهجوم الرئيسي |
تنوّع التكتيكات والجهات المهاجمة يعكس أن العملية لم تكن صدفة، بل حملة منسّقة بأدوات استخباراتية متقدّمة، استهدفت البنية الرقمية الأمريكية في لحظة ضعف هيكلي، مستغلّةً ثغرات لم تُكتشف إلا بعد وقوع الضرر.صدفة، بل حملة منسقة بأدوات استخباراتية، استهدفت البنية الرقمية الأمريكية في لحظة ضعف هيكلي، مستغلةً ثغرات لم تُكتشف إلا بعد وقوع الضرر.
من تضرر فعليًا؟ خريطة أولية للضحايا داخل المؤسسات الأمريكية
لم يكن الهجوم على خوادم Microsoft SharePoint حدثًا عابرًا، بل كشف عن سلسلة اختراقات مركّبة طالت عدة مؤسسات أمريكية حساسة، بدرجات متفاوتة من التأثر. وتشير التحقيقات الأولية إلى أن بعض الجهات الحكومية تأثرت بشكل مباشر من خلال استغلال البنية التحتية الداخلية، بينما كانت جهات أخرى عرضة للخطر أو تأثرت بشكل غير مباشر عبر سلاسل التوريد البرمجية.
في مقدمة الجهات المتضررة، تأكد اختراق خوادم تابعة لوزارة الأمن الداخلي الأمريكية (DHS)، بما في ذلك:
- وكالة CISA، المسؤولة عن أمن البنية التحتية السيبرانية.
- إدارة FEMA، المكلفة بإدارة الطوارئ.
- وكالة أمن النقل TSA.
- إدارة الجمارك وحماية الحدود CBP.
ورغم تأكيد وصول غير مصرح به، لم تُعلن أي تسريبات تتعلق ببيانات سرية حتى الآن.
أما وزارة الصحة والخدمات الإنسانية (HHS)، فقد أقدمت على فصل 8 خوادم عن الإنترنت كإجراء احترازي، بعد رصد محاولات وصول لمعلومات شبكية غير سرّية داخل معاهد الصحة الوطنية (NIH).
وفي إدارة الأمان النووي الوطني (NNSA)، سُجلت “إصابات رقمية محدودة”، لكنها لم تشمل البيانات الحساسة، نتيجة اعتماد هذه الإدارة على بنية سحابية مؤمّنة عبر Microsoft 365.
إلى جانب هذه الجهات، ذكرت تقارير استخباراتية وإعلامية متقاطعة تأثرًا محتملاً أو غير مباشر لدى:
- وزارة الخارجية الأمريكية
- وزارة العدل
- وزارة التجارة
- وكالة الأمن القومي (NSA)
- البيت الأبيض – عبر روابط غير مباشرة بسلاسل التوريد المتأثرة.
هذه الخريطة الأولية توضح أن الهجوم لم يستهدف مؤسسة بعينها، بل اخترق صلب الثقة الحكومية بالبنية الرقمية، وكشف عن هشاشة آليات العزل والحماية في قلب أكثر الأنظمة حساسية.
- سرقة مستندات داخلية
- الوصول إلى بريد دبلوماسي حساس
- التجسس على اجتماعات أمنية داخلية
- خطر استخدام البيانات لاحقًا في عمليات ضغط أو ابتزاز سياسي أو اقتصادي
ثالثاً: كيف تم اكتشاف الاختراق؟
رُصد النشاط غير الطبيعي من قبل وكالة الأمن القومي الأمريكية (NSA) بعد أن لاحظت عمليات دخول مشبوهة إلى حسابات بريد إلكتروني حساسة. تم التبليغ عن النشاط إلى مايكروسوفت، التي بدأت تحقيقًا داخليًا واسعًا، وأقرت لاحقًا بوجود خلل خطير في وحدة توثيق الرموز الأمنية.
كيف ردّت مايكروسوفت والحكومة الأمريكية تم سد الثغرة؟
- أطلقت تحديثًا طارئًا Patch رقم KB5039218.
- دعت المؤسسات لفصل الخوادم مؤقتًا إذا تعذّر التحديث الفوري.
- أكدت أن خدماتها السحابية مايكروسوفت 365/Defender لم تتأثر بالهجوم.
- تم إلغاء صلاحيات المفاتيح المسروقة
- أُصدرت تحديثات أمنية عاجلة لكل من Exchange Online وSharePoint Server
- تم تحذير المؤسسات من استخدام مفاتيح مصادقة قديمة أو غير مفعّلة
- CISA أصدرت تنبيهات وتنظيمات فورية.
- FBI وCyber Command بدأوا تحقيقات داخل المؤسسات المتضررة.
- تعزيز المراقبة والفلترة للشبكات الحكومية.
لكن اللافت أن هذا الهجوم كشف وجود ضعف كبير في إدارة المفاتيح الأمنية داخل مايكروسوفت، ما جعل البعض يشبّه ما حدث بـ”بيرل هاربر السيبرانية”.
رابعاً: بيرل هاربر السيبرانية: عندما تنكشف الثغرات في قلب القلعة الرقمية
اللافت في هذا الهجوم لم يكن فقط التوقيت أو نطاق الأضرار، بل ما كشفه من ضعف عميق في إدارة المفاتيح الأمنية داخل بنية مايكروسوفت نفسها. حيث أظهرت الأدلة أن بعض آليات التوثيق والتشفير لم تكن محمية بما يكفي أمام استراتيجيات متقدمة للتسلل والانتقال الجانبي داخل الشبكات.
هذا الضعف الهيكلي دفع بعض الخبراء إلى تشبيه الهجوم بما يُعرف بـ”بيرل هاربر السيبرانية” – في إشارة إلى الهجوم المفاجئ الذي شنّته اليابان على القاعدة البحرية الأمريكية بيرل هاربر عام 1941، والذي أدى إلى دخول الولايات المتحدة الحرب العالمية الثانية.
تمامًا كما شكّل هجوم بيرل هاربر صدمة استراتيجية أجبرت أمريكا على إعادة هيكلة عقيدتها العسكرية، يُنذر هذا الهجوم السيبراني بأننا أمام لحظة فارقة تستوجب إعادة صياغة فهمنا للدفاع الرقمي، حتى داخل أكثر الشركات تطورًا.
إن اختراق مفاتيح التوثيق والبنى التحتية الموثوقة لشركة بحجم مايكروسوفت، لا يعكس خللًا تقنيًا فحسب، بل قصورًا مؤسساتيًا في فهم ديناميكيات التهديد السيبراني الحديث، وهو ما قد يُعيد رسم خارطة الأولويات في الأمن القومي الرقمي الأمريكي والعالمي على حد سواء.
لا، حتى لحظة كتابة هذا المقال التحليلي فجر 25/7/2025،حسب توقيت كوبنهاغن ما زالت التحقيقات مستمرة. التقديرات الأولية تشير إلى أن أكثر من 25 جهة حكومية تأثرت، وقد يمتد التأثير إلى شركات خاصة متعاونة معها. كما أن هناك خشية من وجود برمجيات خبيثة زرعت داخل الأنظمة ولم تُكتشف بعد.
التداعيات السياسية والاستراتيجية: ضربة في عمق الثقة الرقمية الأمريكية
الهجوم لم يكن مجرد خرق تقني لثغرة في خوادم SharePoint، بل ضربة مركّبة أصابت بُنية الثقة الرقمية للحكومة الأمريكية. فأن تتأثر جهات بحجم وزارة الأمن الداخلي ووكالة CISA – الجهة المنوط بها حماية البنية التحتية السيبرانية – فهذا يعني أن الهجوم استهدف أكثر من بيانات، واستعرض فجوة استراتيجية في التنسيق والوقاية المؤسسية.
سياسيًا، يُعيد هذا الاختراق فتح النقاش داخل الأوساط الأمريكية حول:
- مركزية الاعتماد على Microsoft في بيئة العمل الحكومي.
- الحاجة إلى استقلالية أكبر في إدارة المفاتيح والتوثيق الداخلي.
- وتوسيع دور الاستباق السيبراني بدلًا من الاكتفاء برد الفعل.
كما أن سرعة نشر برمجيات فدية مثل Warlock في المراحل اللاحقة للهجوم، أظهرت أن القراصنة لم يكونوا يسعون فقط للولوج، بل كانوا يملكون نية تخريبية وتكتيكًا تصاعديًا يهدد استمرارية الخدمات الحكومية.
في ضوء ذلك، يمكن النظر إلى ما جرى ليس كحادث منعزل، بل كاختبار فعلي لبنية الأمن الرقمي الفيدرالي، يُحتّم إعادة صياغة العقيدة الدفاعية السيبرانية على مستوى الحكومة الأمريكية كاملة.
كيف يُمكن لدولة كالعراق التعامل مع هذا النوع من التهديدات؟
إن ما حدث في الولايات المتحدة – رغم تفوقها التقني – يجب أن يكون جرس إنذار حقيقي لدولة كالعراق التي تعاني من هشاشة رقمية عميقة. إذًا، ماذا يجب فعله؟
- الانتقال التدريجي نحو الحوسبة السيادية: لا بد من تقليل الاعتماد على الخدمات السحابية الأجنبية، خاصة لخدمات البريد الإلكتروني وتخزين الوثائق.
- بناء مركز وطني لإدارة المفاتيح (National Key Management Center) لحماية التوثيق الرقمي بين المؤسسات.
- إلزام المؤسسات باستخدام أنظمة تحقق متعددة العوامل (MFA) ووقف العمل بالأنظمة القديمة التي لا تدعمها.
- مراجعة جميع أنظمة مايكروسوفت المستضافة داخليًا (On-Premise) في الوزارات العراقية، وخاصة SharePoint، وفحصها دوريًا.
- إنشاء وحدة مراقبة سيبرانية مرتبطة بمكتب رئيس الوزراء تكون مسؤولة عن رصد أي نشاط غير طبيعي على مستوى الدولة.
الخاتمة
في زمن الحروب الرقمية، لم تعد المعارك تُخاض بالدبابات والطائرات، بل بأوامر خفية في الشيفرات والبروتوكولات. ما جرى في الولايات المتحدة ليس إلا مقدمة لما هو قادم. وإن لم تسارع الدول الضعيفة لتعزيز قدراتها، فلن تكون فقط خارج السباق، بل ستكون ساحة هذا السباق نفسه. العراق بحاجة إلى رؤية سيبرانية استراتيجية تبدأ من مركز سيادي للأمن الرقمي، وتستثمر في العقول قبل المعدات.
فأمن المعلومات لم يعد رفاهية تقنية، بل هو عنوان البقاء والكرامة السيادية.
المصادر:
- The New York Times: “Chinese Hackers Breach U.S. Government Email”
- CISA Report: Cybersecurity Advisory on Storm-0558 Campaign
- Wired Magazine: “The Microsoft Cloud Hack Is a Warning for the Future”
- NSA Technical Brief: Deconstructing Exchange & SharePoint Attacks
