نجح هجوم إلكتروني متطور استهدف البيئة المؤسسية لمايكروسوفت في شركة سترايكر، وهي شركة رائدة في مجال التكنولوجيا الطبية، في مسح البيانات من أجهزة الموظفين دون نشر أي برامج ضارة تقليدية. وفقًا لتقرير مفصل من مجموعة تحليل التهديدات (TAG) في جوجل، نظم المتهددون عملية اختراق معقدة استفادت من بيانات الاعتماد المسروقة والأدوات الإدارية المشروعة لتنفيذ إجراءات مدمرة. يؤكد هذا الحادث على اتجاه متزايد حيث يتخلى المهاجمون عن البرامج الضارة لصالح تقنيات "العيش off-the-land"، باستخدام الأنظمة الموثوقة الخاصة بالمؤسسة ضدها لتجنب الاكتشاف.
بدأت سلسلة الهجوم باختراق بيانات اعتماد مستخدم مؤسسي، تم الحصول عليها على الأرجح من خلال التصيد أو شكل آخر من وساطة الوصول الأولي. استخدم الخصوم هذه البيانات للمصادقة على بيئة Microsoft Entra ID (المعروفة سابقًا باسم Azure AD) الخاصة بسترايكر. بمجرد الدخول، قاموا بإجراء استطلاع موسع، تعدادًا لحسابات المستخدمين والمجموعات والأجهزة. ثم رفع المهاجمون امتيازاتهم من خلال إضافة حساب مخترق إلى أدوار إدارية عالية الصلاحية، وتحديدًا أدوار "المسؤول العام" و"مسؤول Intune" داخل Microsoft Intune، وهي خدمة إدارة نقاط النهاية المستندة إلى السحابة.
مع التحكم الإداري الكامل على Microsoft Intune، نفذ المهاجمون المرحلة المدمرة من العملية. أساءوا استخدام ميزة "المساعدة عن بُعد" المشروعة ووظائف Intune الأخرى لدفع سلسلة من التكوينات الضارة إلى أجهزة الشركة المسجلة، primarily أجهزة الكمبيوتر المحمولة التي تعمل بنظام Windows. تضمنت هذه التكوينات سياسة "تقييد الجهاز" التي تعطل ميزات الأمان الحرجة مثل Microsoft Defender، ونصًا برمجيًا أجبر على إعادة ضبط المصنع، مما يؤدي إلى مسح محرك الأجهزة الرئيسي بشكل لا يمكن استرداده. لأن هذه الإجراءات تم تنفيذها من خلال قنوات وأدوات إدارية رسمية وموثوقة، فقد تجاوزت حلول مكافحة الفيروسات التقليدية واكتشاف نقاط النهاية التي تبحث عن البرامج الضارة القائمة على التوقيع.
يسلط الهجوم الضوء على فجوات أمنية حرجة في بيئات تكنولوجيا المعلومات الحديثة المركزة على السحابة. أدى الإفراط في توفير الامتيازات الإدارية، وعدم وجود فرض قوي للمصادقة متعددة العوامل (MFA)، والمراقبة غير الكافية لاستخدام الأدوات الإدارية إلى خلق عاصفة مثالية. يجب على فرق الأمن تحويل تركيزها من مجرد البحث عن البرامج الضارة إلى مراقبة الاستخدام غير الطبيعي للوظائف الإدارية المشروعة. تشمل التخفيفات الرئيسية فرض مصادقة متعددة العوامل مقاومة للتصيد لجميع الحسابات المميزة، وتنفيذ سياسات وصول مشروطة صارمة، ومراجعة تعيينات الأدوار بانتظام، واستخدام الكشف المتقدم للنشاط الإداري غير المعتاد في أدوات مثل Intune و Entra ID.
يخدم هذا الحادث كتحذير صارخ للمنظمات في جميع أنحاء العالم. يشكل تقارب الهويات المخترقة والقوة الهائلة لوحدات تحكم الإدارة السحابية خطرًا شديدًا. يجب على المدافعين افتراض أن المهاجمين موجودون بالفعل داخل محيطهم والتركيز على تعزيز أنظمة الهوية، وتقسيم الوصول الإداري، وضمان أن القدرة على تنفيذ إجراءات مدمرة مثل المسح عن بُعد يتم التحكم فيها ومراقبتها بدقة. لقد أصبح الخط الفاصل بين الأداة المشروعة والسلاح غير واضح، مما يتطلب إعادة التفكير بشكل أساسي في أوضاع الأمن السيبراني في عصر الهجمات المركزة على السحابة والهوية.
