كشفت مصادر مطلعة أن قراصنة أجانب نفّذوا هجوماً إلكترونياً معقداً ضد منشأة كانساس سيتي الأمن القومي التابعة لـ”الإدارة الوطنية للأمن النووي الأميركية” (NNSA)، من خلال استغلال ثغرات في تطبيق Microsoft SharePoint، ما أثار مخاوف بشأن الحاجة إلى تعزيز حماية أنظمة تكنولوجيا المعلومات والبنية التشغيلية في المؤسسات الفيدرالية.
ووفقاً لمصدر شارك في عملية الاستجابة للحادث في أغسطس الماضي، استغل المهاجمون ثغرات لم تُعالج بعد في خوادم SharePoint، وتمكنوا من اختراق منشأة تُعد مركزاً رئيسياً لتصنيع معظم المكونات غير النووية للأسلحة النووية الأميركية، وتشرف عليها شركة Honeywell Federal Manufacturing & Technologies بموجب عقد مع الإدارة الوطنية للأمن النووي التابعة لوزارة الطاقة الأميركية (DOE)، بحسب تصريحات لموقع CSOOnline.
تفاصيل الاختراق
استغل المهاجمون ثغرتين حديثتين في SharePoint -الأولى CVE-2025-53770 (ثغرة انتحال هوية)، والثانية CVE-2025-49704 (ثغرة تنفيذ أوامر عن بُعد)- واللتين تؤثران على الخوادم المحلية. وكانت مايكروسوفت قد أصدرت تحديثات أمنية لهما في 19 يوليو.
وفي 22 يوليو، أكدت وزارة الطاقة أن بعض منشآتها كانت من بين الجهات المستهدفة. وقال متحدث باسم الوزارة إن استغلال ثغرة “يوم صفر” (Zero-days) في SharePoint بدأ في 18 يوليو، لكنه شدد على أن “تأثير الهجوم كان محدوداً للغاية نظراً لاعتماد الوزارة على خدمات Microsoft M365 وأنظمتها الأمنية المتقدمة”، مضيفاً أن “عدداً قليلاً جداً من الأنظمة تأثر، وجميعها قيد الاستعادة”، وفق “بلومبرغ”.
بحلول أوائل أغسطس، وصلت فرق الاستجابة الفيدرالية، بما في ذلك عناصر من وكالة الأمن القومي الأميركية (NSA)، إلى منشأة كانساس سيتي للتحقيق في الحادث.
من يقف وراء الهجوم؟
اختلفت التقديرات بشأن الجهة المسؤولة عن الاختراق، نسبت مايكروسوفت الهجمات الأوسع نطاقاً عبر SharePoint إلى ثلاث مجموعات مرتبطة بالصين وهي: Linen Typhoon، وViolet Typhoon، ومجموعة ثالثة تُعرف باسم Storm-2603، مشيرة إلى أن القراصنة كانوا يستعدون لنشر برنامج الفدية Warlock.
غير أن المصدر المطلع على حادث كانساس سيتي قال لموقع CSO إن جهة روسية كانت وراء الاختراق. في المقابل، قالت شركة الأمن السيبراني Resecurity، التي تتابع الهجمات، إن بياناتها تشير إلى تورط مجموعات صينية، دون استبعاد احتمال وجود دور روسي.
ورجّح باحثو الشركة أن مجموعات صينية طورت الثغرة في البداية، لكن قراصنة روساً مدفوعين بدوافع مالية ربما أعادوا استغلالها بعد تسرب التفاصيل التقنية في يونيو.
وفي مايو، عرض باحثون من شركة Viettel Cyber Security في مسابقة Pwn2Own Berlin هجوماً استغل ثغرتين من SharePoint هما CVE-2025-49706 وCVE-2025-49704، ويعتقد محللون أن تلك العروض ساهمت في تسريع إعادة بناء الثغرات من قبل جهات متعددة.
كما رصدت Resecurity نشاطاً مبكراً لمسح واستغلال الثغرات انطلق من بنية تحتية في تايوان وفيتنام وكوريا الجنوبية وهونج كونج، وهو نمط يتوافق مع تكتيكات جماعات التهديد الصينية لإخفاء مصدر الهجمات.
اتساع نطاق الهجوم
وبينما أكدت المصادر أن الهجوم استهدف الجانب الإداري من شبكة المنشأة، فإن خبراء حذّروا من احتمال التحرك الجانبي نحو الأنظمة التشغيلية، التي تتحكم في خطوط إنتاج المكونات العسكرية.
وقالت جين سوفادا، المديرة العامة للعمليات الحكومية في شركة Claroty والمتخصصة في أمن الأنظمة الصناعية: “علينا أن نأخذ بجدية احتمال استغلال الثغرات التقنية للوصول إلى أنظمة التحكم الصناعي، فمثل هذه المنشآت تدير دورة حياة كاملة للأسلحة النووية من التصميم حتى التفكيك، وأي اختراق في هذه الشبكات قد يتيح التلاعب بأنظمة دقيقة مثل وحدات التحكم المنطقية القابلة للبرمجة أو معدات التجميع الآلي”.
وأضافت سوفادا أن التهديد لا يقتصر على الأنظمة الإنتاجية، بل يمتد إلى أنظمة الإشراف على الجودة والطاقة والتحكم البيئي (SCADA) التي تدير المرافق الحيوية للمنشأة.
وأشارت إلى أن وزارة الدفاع الأميركية (البنتاجون) تعمل حالياً على تطوير إطار جديد للثقة الصفرية في أنظمة التشغيل الصناعي، ليُدمج لاحقاً مع الإطار الخاص بشبكات IT بهدف تحقيق حماية شاملة تغطي كل مستويات البنية التحتية الرقمية.
وحتى الآن، لا يوجد دليل على تسريب معلومات مصنفة، لكن الخبراء يحذّرون من أن البيانات التقنية غير المصنفة قد تحمل قيمة استخباراتية عالية، إذ يمكن أن تكشف عن دقة التصنيع، أو مواصفات المكونات، أو سلاسل التوريد الخاصة بالأسلحة.
ورأى محللون أن هذه الحادثة تمثّل جرس إنذار للولايات المتحدة بشأن هشاشة الفصل بين الأنظمة الإدارية وأنظمة التصنيع الدفاعي، فمع تزايد الترابط بين البنى الرقمية والصناعية، تصبح المنشآت الدفاعية عُرضة لهجمات يمكن أن تبدأ بثغرة في نظام مكتبي بسيط، وتنتهي بتهديد الأمن القومي.