داخل انهيار نقاط النهاية الإيطالي: كيف محا حساب مُخترَق واحد 12 بيتابايت
العنوان الفرعي: هجوم سيبراني على عملاق الرعاية الصحية «سترايكر» يكشف المخاطر الخفية لسلطة المسؤول غير المُقيَّدة في Microsoft Intune-ولماذا يطالب فريق الاستجابة لطوارئ الحاسوب الإيطالي (CSIRT) بإصلاحات عاجلة.
بدأ الأمر بتسجيل دخول واحد، بدا بريئًا للوهلة الأولى. خلال ساعات، مُسحت إلكترونيًا عشرات الآلاف من الأجهزة-حواسيب محمولة، خوادم، وهواتف ذكية-في أرجاء شركة رعاية صحية كبرى، فتلاشت بياناتها وشُلّت عملياتها. الجاني؟ ليس برمجيات خبيثة، بل إساءة استخدام صامتة لصلاحيات إدارية مشروعة داخل Microsoft Intune. الهجوم، الذي حلّله بعمق فريق الاستجابة لطوارئ الحاسوب الإيطالي (CSIRT)، أطلق صفارات الإنذار في أنحاء أوروبا والولايات المتحدة، وأجبر المؤسسات على مواجهة التهديدات غير المرئية الكامنة في مكاتب تكنولوجيا المعلومات الخلفية لديها.
تشريح اختراق غير مرئي
يبدو اختراق مارس 2026 في «سترايكر» كأنه فيلم إثارة سيبراني. فقد خلص المحققون إلى أن المهاجمين لم يستغلوا أي ثغرات برمجية جديدة. بدلًا من ذلك، اعتمدوا على التصيّد الموجّه والهندسة الاجتماعية لاختراق حساب مسؤول-باستخدام تقنيات مثل «إرهاق MFA» (إغراق المسؤولين بإشعارات الدفع حتى تتم الموافقة على أحدها بالخطأ) واختطاف الجلسة (سرقة رموز المصادقة لتجاوز المصادقة متعددة العوامل). وما إن دخلوا، تحرك المهاجمون أفقيًا، ورفعوا الامتيازات حتى سيطروا على وحدة تحكم Microsoft Intune.
ما تلا ذلك كان بسيطًا على نحو مدمّر: باستخدام أدوات إدارة الأجهزة المحمولة (MDM) المشروعة، أصدروا أمر «المسح عن بُعد» عبر كامل أسطول أجهزة الشركة. ولأن الهجوم استخدم وظائف المسؤول القياسية، أخفقت أدوات الأمن التقليدية-التي تعتمد على توقيعات البرمجيات الخبيثة أو الاستدلالات السلوكية-في إطلاق الإنذار. خلال دقائق، توقفت عمليات الإنتاج وخدمات الرعاية الصحية الحرجة، مع محو 12 بيتابايت من البيانات بما يتجاوز إمكانية الاستعادة.
التخفيف: تفويض CSIRT بالموافقة متعددة المسؤولين
ردّ CSIRT إيطاليا لا لبس فيه: يجب على المؤسسات تطبيق «الموافقة متعددة المسؤولين» (MAA) على Microsoft Intune. وهذا يعني أن أي إجراء عالي التأثير-مثل مسح الأجهزة أو تغيير الإعدادات الحرجة-يتطلب تحققًا يدويًا من قِبل مسؤولين منفصلين على الأقل، مع تسجيل جميع الإجراءات لضمان قابلية التدقيق. المبدأ بسيط: لا ينبغي لحساب مُخترَق واحد أن يُسقط مؤسسة بأكملها.
وتشمل التوصيات العاجلة الأخرى التحول إلى أساليب مصادقة مقاومة للتصيّد (مثل مفاتيح FIDO2)، واعتماد إسناد الامتيازات في الوقت المناسب، وفرض الوصول المشروط بناءً على امتثال الجهاز والموقع، والمراقبة الاستباقية للسجلات لرصد الارتفاعات غير المعتادة في النشاط-وخاصة أوامر المسح الجماعي.
الوكالات الدولية تتابع عن كثب. إذ تنسّق وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) ومكتب التحقيقات الفيدرالي (FBI) الآن مع الشركاء الأوروبيين لكشف تهديدات إضافية وصقل استراتيجيات التخفيف. الرسالة واضحة: في عصر إدارة السحابة، قد لا تأتي أخطر الهجمات من شيفرة مارقة، بل من إساءة استخدام أدوات موثوقة.
الخلاصة: ثق، لكن تحقّق-دائمًا
حادثة «سترايكر» تذكير صارخ بأن الراحة والتحكم المركزي، حين يُتركان بلا ضوابط، قد يتحولان إلى التزامات وجودية. ومع اندفاع المؤسسات حول العالم نحو السحابة، فإن السؤال الحقيقي ليس فقط كيف نُبقي القراصنة خارجًا-بل كيف نمنع الداخلين، أو من يتنكرون كأنهم من الداخل، من تحويل الامتيازات المشروعة إلى أسلحة تعطيل جماعي. لقد انتهى عصر «مسؤول واحد يحكمهم جميعًا»-على الأقل، لمن يصغي إلى التحذير.
WIKICROOK
- إدارة نقاط النهاية: تتيح إدارة نقاط النهاية للمؤسسات مراقبة جميع الأجهزة المتصلة بالشبكة-مثل الحواسيب والهواتف الذكية-وتأمينها والتحكم بها من منصة مركزية واحدة.
- متعدد: يشير «متعدد» إلى استخدام مزيج من تقنيات أو أنظمة مختلفة-مثل أقمار LEO وGEO-لتحسين الاعتمادية والتغطية والأمان.
- إرهاق MFA: «إرهاق MFA» هو عندما يُغرق المهاجمون المستخدمين بطلبات مصادقة متكررة، على أمل أن يوافق المستخدم على أحدها بدافع الإحباط أو الارتباك.
- المسح عن بُعد: يتيح المسح عن بُعد للمسؤولين محو البيانات من الأجهزة عن بُعد، لحماية المعلومات الحساسة إذا فُقد جهاز أو سُرق أو تعرّض للاختراق.
- إدارة الهوية ذات الامتيازات (PIM): تؤمّن «إدارة الهوية ذات الامتيازات» (PIM) الحسابات عالية المستوى وتراقبها، فتحدّ من الوصول وتقلّل مخاطر الإجراءات غير المصرح بها أو اختراقات البيانات.




