ترند
اخبار تك
الأمن السيبراني

وكالة الأمن السيبراني الامريكية تطلب تحصين أنظمة “إنتون” بعد اختراق كبير

🗓️ 22 مارس، 2026 ✍️ فريق أخبار تك 6 دقائق للقراءة

تقرير خاص – “أخبار تك” – 22 مارس 2026

عندما تصبح أدوات الإدارة العادية سلاحاً فتاكاً

في تطور صادم يعيد تعريف قواعد اللعبة في الحرب السيبرانية، أصدرت وكالة الأمن السيبراني وأمن البنية التحتية الأميركية (CISA) تحذيراً عاجلاً يوم الخميس الماضي، دعت فيه جميع المؤسسات إلى تعزيز أنظمة إدارة نقاط النهاية (Endpoint Management) لديها، وذلك بعد هجوم إلكتروني مدمر شنته جماعة “حنظلة” (Handala) الموالية لإيران على شركة “سترايكر” (Stryker) العملاقة للمعدات الطبية .

الهجوم، الذي وقع في 11 مارس الجاري، لم يستخدم أي برمجيات خبيثة تقليدية. بدلاً من ذلك، اخترق المهاجمون حساب مسؤول في منصة “إنتون” (Microsoft Intune) السحابية لإدارة الأجهزة، واستخدموا صلاحياته لإصدار أمر “محو” (Wipe) جماعي، مما أدى إلى تدمير ما يقرب من 200 ألف جهاز في 79 دولة حول العالم، دون أن تطلق أنظمة الحماية أي إنذار .

الهجوم الذي غير المعادلة – كيف تم اختراق “سترايكر”؟

تفاصيل العملية

في 11 مارس 2026، استيقظ موظفو شركة “سترايكر” الأميركية العملاقة للمعدات الطبية على مشهد مرعب. أنظمة التشغيل تتوقف، مئات الآلاف من الأجهزة تعرضت لمسح كامل للبيانات، عمليات التصنيع والشحن معلقة . الجهة التي أعلنت مسؤوليتها كانت جماعة “حنظلة” (Handala)، وهي جماعة قرصنة تخريبية مرتبطة بوزارة الاستخبارات والأمن الإيرانية (MOIS) .

آلية الاختراق:

  1. اختراق حساب المسؤول: تمكن المخترقون من الحصول على بيانات اعتماد حساب مسؤول في “مايكروسوفت إنتون” (Microsoft Intune)، وهي خدمة سحابية تستخدمها الشركات لإدارة الأجهزة عن بُعد .
  2. إنشاء مسؤولين جدد: باستخدام الصلاحيات المخترقة، قاموا بإنشاء حسابات مسؤولين جدد داخل النظام .
  3. إصدار أمر المحو: قاموا باستخدام الأداة المدمجة في إنتون نفسها، والمعروفة بـ “المحو عن بُعد” (Remote Wipe)، وهي أداة شرعية صممت لمساعدة فرق تقنية المعلومات في حالة فقدان الأجهزة أو سرقتها. تم إصدار الأمر لمسح 200 ألف جهاز حول العالم دفعة واحدة .
  4. لا أثر للبرمجيات الخبيثة: لم يتم استخدام أي ملف ضار (Malware) أو برامج فدية (Ransomware) في العملية. لم يكن هناك “توقيع” (Signature) يمكن لأي برنامج مضاد للفيروسات اكتشافه. كانت الأداة شرعية، والسلوك طبيعياً، لكن الجهة التي تستخدمها خبيثة .

نائب رئيس الاستخبارات التهديدية في شركة “أركتيك وولف” (Arctic Wolf)، علق قائلاً: “باستغلالهم لمايكروسوفت إنتون، تمكنوا من مسح أكثر من 200 ألف جهاز عبر 79 دولة. الدرس واضح: لا ينبغي لأي تسجيل دخول واحد أن يمتلك القدرة على التسبب في ضرر لا يمكن إصلاحه” .

رد فعل واشنطن – تحذير عاجل وتوصيات ملزمة

رسالة CISA

في 19 مارس، أصدرت وكالة الأمن السيبراني وأمن البنية التحتية (CISA) نشرة طارئة، حثت فيها جميع المؤسسات على اتخاذ ثلاث خطوات فورية لتحصين أنظمة إدارة نقاط النهاية، خاصة تلك التي تعتمد على مايكروسوفت إنتون .

التوصيات الرئيسية :

  1. تطبيق مبدأ الامتيازات الأقل (Least Privilege):
    يجب تصميم الأدوار الإدارية في أنظمة إدارة نقاط النهاية بحيث تمنح المستخدمين الحد الأدنى من الصلاحيات الضرورية فقط لأداء مهامهم اليومية. استخدم أدوات التحكم بالوصول القائمة على الأدوار (RBAC) في إنتون لتقييد الإجراءات التي يمكن أن يتخذها كل حساب، والأجهزة التي يمكنه التأثير عليها .
  2. فرض المصادقة متعددة العوامل المقاومة للتصيد (Phishing-Resistant MFA):
    حذرت الوكالة من أن المصادقة متعددة العوامل (MFA) التقليدية، مثل رموز الرسائل النصية، لا تكفي. يجب استخدام تقنيات أكثر تقدماً مثل تطبيقات المصادقة (Authenticator Apps) التي تتطلب استجابة يدوية، أو مفاتيح الأمان الفيزيائية (Security Keys) التي توفر أعلى مستوى من الحماية . يوهانس أولريش، عميد الأبحاث في معهد “سانز” (SANS)، أكد أن: “هذه المشكلة تتجاوز مسألة إدارة الأجهزة المحمولة المحددة. بينما تحل المصادقة متعددة العوامل العديد من المشكلات، ليست كل تقنيات MFA مقاومة للتصيد. بالنسبة للحلول السحابية، والتي عادة ما تكون في متناول الجميع، فإن المصادقة المقاومة للتصيد أمر لا غنى عنه” .
  3. تفعيل موافقة متعددة المسؤولين (Multi-Admin Approval):
    تمثل هذه الخطوة جوهر التحصين. يجب تكوين سياسات الوصول بحيث تتطلب أي عملية تغيير خطيرة أو مدمرة (مثل مسح الأجهزة، تغيير إعدادات الأمان الأساسية) موافقة من حساب إداري ثانٍ على الأقل، مما يمنع أي حساب منفرد من إحداث كارثة بمفرده .

أمثلة سابقة:
هذه ليست المرة الأولى التي تُستخدم فيها أدوات إدارة موثوقة كسلاح. حيث تمت الإشارة إلى أن هجمات مماثلة حدثت في الماضي، منها:

  • سولار ويندز أورايون (SolarWinds Orion) – 2020
  • كاسيا VSA (Kaseya VSA) – 2021
  • واجهة إدارة مايكروسوفت إكستشينج (Microsoft Exchange) – 2021

هذه الهجمات تثبت أن الجهات الخبيثة تدرك قيمة استهداف أنظمة التحكم المركزية، بدلاً من مهاجمة الأنظمة الفردية، لأن نجاحاً واحداً في هذا المجال يعني السيطرة على كل شيء .

السياق الأوسع – الحرب الإلكترونية تشتعل

أكثر من 1300 هجوم منذ 28 فبراير

هجوم “سترايكر” لم يكن حادثاً منعزلاً، بل جزء من موجة تصعيد إلكتروني غير مسبوقة منذ بدء العملية العسكرية الأميركية الإسرائيلية ضد إيران في 28 فبراير .

بيانات صادمة:

  • منذ بداية الحرب، تم رصد أكثر من 1300 هجوم إلكتروني موجه ضد أهداف أميركية وإسرائيلية .
  • بالمقابل رصد الجانب الإيراني رصد هجوما الكترونيا غير مسبوق على مرافق إيرانية متعددة .
  • بحسب تقرير شركة “سوك رادار” (SOCRadar)، شكلت الهجمات الإلكترونية جبهة موازية للعمليات العسكرية التقليدية، بل تجاوزتها في بعض الأحيان من حيث النطاق والانتشار .
  • قبل 10 مارس، تم تسجيل 368 حادثة سيبرانية عبر 12 دولة .

إجراءات أميركية مضادة

في خطوة موازية، أعلنت وزارة العدل الأميركية عن مصادرة أربعة نطاقات إلكترونية تابعة لشبكة “حنظلة”، كانت تستخدم للدعاية ونشر البيانات المسروقة. أحد المواقع يحمل الآن إشعاراً يفيد بأن المجال تمت مصادرته بأمر من محكمة أميركية .

تفكيك شبكة سيبرانية إيرانية

كارل ديلا غيرا، مستشار الأمن الدولي، حذر: “الوضع متقلب للغاية. سمعنا كتلة هائلة من التهديدات القادمة من إيران ووكلائها خلال الأسابيع الثلاثة الماضية” .

الدروس المستفادة والخطوات القادمة

منع التصعيد

مسؤولوا الشركة شددوا على أن: “العمليات الإدارية التدميرية مثل مسح الأجهزة، أو تغييرات السياسات الجماعية، يجب أن تتطلب موافقات متعددة. لا ينبغي لجلسة واحدة، أو بيانات اعتماد واحدة، أو دور واحد أن يكون قادراً على اتخاذ إجراء مدمر على نطاق واسع دون تفويض مستقل” .

ما يجب فعله الآن

  1. تدقيق الحسابات الإدارية: تحديد جميع الحسابات التي تمتلك صلاحيات إدارية في أنظمة إدارة نقاط النهاية، ومراجعة صلاحياتها بدقة.
  2. تنفيذ سياسة الموافقة المزدوجة: تفعيل ميزة “موافقة المسؤول المتعدد” (Multi-Admin Approval) فوراً.
  3. ترقية طرق المصادقة: الانتقال من كلمات المرور والمصادقة التقليدية إلى طرق مقاومة للتصيد، مثل مفاتيح الأمان الفيزيائية (FIDO2).
  4. مراقبة النشاط الإداري: مراقبة الأنشطة غير المعتادة، مثل عمليات تسجيل الدخول في أوقات غير معتادة أو من مواقع جغرافية غير متوقعة .

مايكل سميث، كبير مسؤولي التقنية الميداني في “ديجيسيرت” (DigiCert)، حذر: “أي اختراق لهذه المنتجات يمكن أن يؤدي إلى اختراق نقاط النهاية التي تديرها” .

خلاصة: نقطة تحول في الحرب السيبرانية

ما حدث في هجوم “حنظلة” على “سترايكر” ليس مجرد اختراق ناجح، بل هو نقطة تحول استراتيجية. أثبت المهاجمون أن الأداة نفسها التي يستخدمها المسؤولون لحماية الشبكة يمكن أن تتحول إلى سلاح فتاك. كما أثبتوا أن امتلاك صلاحية واحدة يمكن أن يمحو وجود شركة بالكامل من على الخريطة الرقمية في دقائق.

الرسالة التي أرسلتها وكالة CISA واضحة: نحن في عصر لا يمكن فيه لأي حساب فردي أن يمتلك القدرة على تدمير كل شيء. الوصاية المشتركة وضوابط الوصول الصارمة لم تعد خيارات، بل ضرورات وجودية.

ويبرز الجانب الإخلاقي هنا في مثل هذه الاختراقات هل أصبحت أي منشأة امريكية عرضة للهجوم السيبراني بغض النظر عن نشاطها او ميدان عملها ؟

#2026 #اختراق #الامن السيبراني

فريق أخبار تك

مواضيع ذات صلة

الإمارات تحذر من “ثغرة العمل عن بُعد”

23 مارس، 2026

اختراق أمني يطال عملاقاً مالياً أميركياً وشركة اتصالات كندية.. تفاصيل صادمة

23 مارس، 2026

عملية “روسيان باي”: كيف اخترق المتسللون الروس آلاف حسابات واتساب وتليغرام

22 مارس، 2026

الأكثر قراءة

آخر الأخبار

نشرة أخبار تك

التصنيفات