مجموعات قرصنة حكومية تخترق خوادم Microsoft Exchange

تستغل مجموعات اختراق متعددة تدعمها الحكومة ثغرة أمنية صححتها شركة مايكروسوفت في الشهر الماضي في خوادم بريد (Microsoft Exchange)، وجرى رصد محاولات الاستغلال لأول مرة بواسطة شركة الأمن السيبراني البريطانية (Volexity)، وأكدها مصدر في وزارة الدفاع لموقع (ZDNet).

ورفضت شركة (Volexity) ذكر أسماء مجموعات القرصنة التي تستغل الثغرة الأمنية (CVE-2020-0688) في (Microsoft Exchange)، بينما وصف المصدر في وزارة الدفاع مجموعات القرصنة بأنها تتضمن جميع اللاعبين الكبار، رافضًا تسمية المجموعات أو البلدان.

وأصدرت مايكروسوفت تصحيحًا للخطأ في 11 فبراير، وحذرت مسؤولي النظام منه، وطالبت بتثبيت التصحيح في أقرب وقت ممكن، وذلك في ظل توقعها حدوث هجمات في المستقبل، وتصاعدت الأمور مع نهاية الشهر عندما نشرت مبادرة (Zero Day)، التي أبلغت مايكروسوفت عن الخطأ، تقريرًا تقنيًا يشرح بالتفصيل الخطأ وكيفية عمله.

وكان التقرير بمثابة خارطة طريق للباحثين في مجال الأمن، الذين استخدموا المعلومات الواردة ضمن التقرير حتى يتمكنوا من اختبار خوادمهم، وكما هو الحال في العديد من الحالات الأخرى من قَبل، إذ بمجرد أن أصبحت التفاصيل التقنية عامة، بدأ المتسللون أيضًا بالاهتمام.

وبدأت مجموعات المتسللين بعد يوم من نشر تقرير مبادرة (Zero Day)، أي في 26 فبراير، بتفحص الإنترنت بحثًا عن خوادم (Microsoft Exchange)، وذلك في سبيل تجميع قوائمَ بالخوادم غيرِ المصححة التي يمكن استهدافها في وقت لاحق.

ووفقًا لشركة (Volexity)، فقد تحولت عمليات تفحص الإنترنت بحثًا عن خوادم (Microsoft Exchange) إلى هجمات فعلية من قِبل (APT) أو التهديدات المستمرة المتقدمة، وهو مصطلح يستخدم غالبًا لوصف مجموعات القرصنة التي ترعاها الدولة، ومن المتوقع أيضًا أن تحذو حذوها مجموعات أخرى.

يُذكر أن استغلال الثغرة الأمنية (CVE-2020-0688) في (Microsoft Exchange) ليس بالأمر السهل، إذ يحتاج المتسللون إلى بيانات اعتماد حساب بريد إلكتروني على الخادم، كما أنهم بحاجة أولًا لتسجيل الدخول ومن ثم تشغيل البرامج الخبيثة التي تخطف خادم البريد الإلكتروني للضحية.