قراصنة إيرانيون يستغلون Microsoft Intune لمسح أجهزة شركة Stryker

يسلط الهجوم السيبراني الأخير على شركة Stryker عبر بيئة Microsoft Intune الضوء على تصعيد خطير في التهديدات الرقمية المدعومة من الدول والتي تستهدف البنية التحتية الأمريكية. أعلنت مجموعة قراصنة مرتبطة بإيران تُعرف باسم Handala Team مسؤوليتها عن شل حركة عملاق التكنولوجيا الطبية ومقره ميشيغان، وذلك عبر تحويل أدوات إدارة المؤسسات المشروعة إلى أسلحة مدمرة. يمثل هذا الحادث أول هجوم سيبراني تخريبي كبير ضد شركة أمريكية منذ بداية الصراع الجيوسياسي الحالي.

بالنسبة لمسؤولي تكنولوجيا المعلومات في المؤسسات ومحترفي الأمن السيبراني، يؤكد هذا الاختراق على نقاط الضعف الحرجة الكامنة في منصات إدارة الأجهزة المركزية. من خلال اختراق بيئة شركة Microsoft الخاصة بشركة Stryker، تجاوز المهاجمون أساليب نشر برمجيات الفدية التقليدية، واختاروا بدلاً من ذلك استخدام الميزات الإدارية المدمجة لمسح أجهزة الموظفين. أدى هذا التكتيك إلى توقف اتصالات الشركة والعمليات اليومية بشكل كامل.

تاريخياً، فضلت الجهات الفاعلة المدعومة من الدولة الإيرانية هجمات "المسح" (Wiper) المدمرة المصممة لمحو بيانات الشبكة بشكل دائم. تشمل قائمة الضحايا البارزين لهذا النهج التدميري شركة النفط الوطنية السعودية، أرامكو السعودية، في عام 2012، وكازينو Sands في عام 2014. أشارت شركات الأمن السيبراني، بما في ذلك شركة Google وشركة أمن البريد الإلكتروني Proofpoint، في وقت سابق إلى أن الأنشطة السيبرانية الإيرانية الأخيرة اقتصرت إلى حد كبير على التجسس وتشويه مواقع الويب بشكل طفيف.

ومع ذلك، يمثل حادث شركة Stryker تحولاً حاداً نحو التكتيكات التخريبية التي توقف العمليات. أكد أحد موظفي شركة Stryker أن الهواتف المخصصة للعمل توقفت فجأة عن العمل، مما أدى إلى قطع الاتصالات الداخلية تماماً.

تكشف آليات الاختراق عن إساءة استخدام معقدة للبنية التحتية القياسية لتكنولوجيا المعلومات. وفقاً لتصريحات راف بيلينغ، مدير استخبارات التهديدات في شركة الأمن السيبراني Sophos، فمن المرجح أن مجموعة Handala Team قد اخترقت وحدة تحكم إدارة Microsoft Intune الخاصة بشركة Stryker. تُعد منصة Intune حلاً سحابياً واسع الانتشار لإدارة نقاط النهاية، وهو مصمم للإشراف على أجهزة المؤسسات.

بمجرد الدخول إلى وحدة التحكم، لم يحتج القراصنة إلى نشر برمجيات خبيثة مخصصة. بدلاً من ذلك، قاموا بتحويل القدرات الأصلية للمنصة إلى سلاح فعال. أشار بيلينغ إلى أن المهاجمين قاموا بتشغيل ميزة المسح عن بُعد للأجهزة المسجلة، مما أجبر أجهزة الموظفين على العودة إلى إعدادات المصنع.

وفقاً للوثائق الرسمية على موقع شركة Microsoft، فإن وظيفة المسح عن بُعد مخصصة بشكل مشروع لإحالة الأجهزة إلى التقاعد، أو إعادة استخدامها، أو مسح البيانات بأمان في حالة فقدان الجهاز أو سرقته. في هذه الحالة، تم تحويل الأداة الإدارية إلى سلاح مدمر، متجاوزة أنظمة اكتشاف نقاط النهاية التقليدية التي تبحث عن الحمولات الخبيثة.

في بيان رسمي صدر يوم الأربعاء، أكدت شركة Stryker أن انقطاع الشبكة العالمي كان نتيجة مباشرة لهجوم سيبراني استهدف بيئة شركة Microsoft الخاصة بها. وشددت الشركة على أن أنظمتها الأساسية الخاصة لم تتعرض للاختراق المباشر. علاوة على ذلك، أوضحت شركة Stryker أنه لا يوجد أي دليل على نشر برمجيات فدية أو برمجيات خبيثة تقليدية أثناء الاختراق.

صرحت شركة التكنولوجيا الطبية أنها تعتقد أن الحادث قد تم احتواؤه الآن، على الرغم من أنها رفضت تقديم المزيد من التفاصيل الفنية الدقيقة حول نقطة الاختراق الأولية. لم ترد شركة Microsoft أيضاً حتى الآن على طلبات التعليق بشأن إساءة استخدام منصة Intune الخاصة بها.

في غضون ذلك، تواصل مجموعة Handala Team، التي يربطها خبراء الأمن السيبراني بوزارة الاستخبارات الإيرانية، إعلان مسؤوليتها من خلال حساباتها على تطبيق Telegram ومنصة X. يأتي هذا على الرغم من عمليات الحذف الأخيرة التي طالت ملفاتهم الشخصية السابقة على وسائل التواصل الاجتماعي.

يُعد اختراق شركة Stryker مثالاً نموذجياً لهجوم "العيش على الأرض" (Living off the Land)، حيث تستخدم الجهات الفاعلة في التهديد أدوات إدارية مشروعة لتنفيذ أهدافها. نظراً لأن مجموعة Handala Team استخدمت ميزة المسح عن بُعد الأصلية في نظام Microsoft Intune، فقد كانت دفاعات مكافحة الفيروسات والبرمجيات الخبيثة التقليدية عمياء تماماً عن الإجراء المدمر. يثبت هذا الحادث أن تأمين المحيط الخارجي لم يعد كافياً؛ يجب على فرق تكنولوجيا المعلومات في المؤسسات تنفيذ بروتوكولات مصادقة متعددة العوامل وصارمة، بالإضافة إلى نموذج انعدام الثقة (Zero Trust) المخصص لوحدات التحكم الإدارية.

للمضي قدماً، أتوقع أن نرى توجهاً كبيراً من شركة Microsoft وموفري الخدمات السحابية الآخرين لتقديم موافقات إلزامية تعتمد على "قاعدة الشخصين" أو عمليات تنفيذ مؤجلة زمنياً لأوامر مسح الأجهزة الجماعية. بدون هذه الضمانات، ستظل أدوات الإدارة المركزية أهدافاً جذابة للغاية لعمليات التخريب المدعومة من الدول.

ما الذي تسبب في انقطاع الشبكة في شركة Stryker؟
اخترقت مجموعة قراصنة مرتبطة بإيران تُدعى Handala Team وحدة تحكم إدارة Microsoft Intune الخاصة بشركة Stryker، واستخدمت ميزة المسح عن بُعد في المنصة لإعادة أجهزة الموظفين إلى إعدادات المصنع.

هل تم استخدام برمجيات فدية في الهجوم السيبراني على شركة Stryker؟
لا. صرحت شركة Stryker رسمياً أنه لا يوجد أي مؤشر على استخدام برمجيات فدية أو برمجيات خبيثة تقليدية؛ بل نتج الانقطاع عن إساءة استخدام أدوات إدارة شركة Microsoft المشروعة.

من هي مجموعة Handala Team؟
مجموعة Handala Team هي مجموعة قراصنة ربطتها شركات الأمن السيبراني، بما في ذلك شركة Sophos، بوزارة الاستخبارات الإيرانية. وقد أعلنت المجموعة مسؤوليتها عن الهجوم عبر قنواتها على وسائل التواصل الاجتماعي.