«مايكروسوفت» تتصدى لـ«أوكتو تيمبست»… من كشف التهديد الإلكتروني إلى إيقافه

مع ازدياد وتيرة المخاطر الإلكترونية متطورة، يبرز تهديد جديد أُطلِق عليه اسم «أوكْتو تيمبست» (Octo Tempest)، المعروف كذلك بأسماء مثل «سكاترد سبايدر» (Scattered Spider) و«UNC3944». هذه المجموعة الإجرامية الإلكترونية لا تكتفي باختراق الشركات، بل تختار صناعات بعينها لفترات زمنية طويلة، تكشف خلالها عن قدرات متقدمة وخطيرة.

رحلة الهجوم المتقن

تبدأ الحكاية غالباً بحيلة اجتماعية هدفها إسقاط إحدى الضحايا في شركتين مهمتين، أولاً موظّفي الدعم أو مَن لديهم صلاحيات داخلية. تُصوّر المجموعة نفسَها كمستخدمين شرعيين يطلبون إعادة ضبط كلمة المرور أو تعطيل وسائل التحقق المتعددة، بمزجٍ متقن بين التزييف الصوتي وأبرز بيانات الضحايا.

بمجرد الحصول على الوصول، يدخل «أوكْتو تيمبست» إلى أنظمة هجين تجمع بين المنصات السحابية والبنى التقليدية، مثل «VMware ESXi» حيث تُسرّب البيانات الحساسة وتُفعّل هجمات برمجية خبيثة كـ«دراغون فورس» (ـDragonForce) مستخدمين أدوات مثل «نغورك» (ngrok) و«شيزل» (Chisel) للتواصل مع شبكتهم وتحكمهم بأنظمة الضحية.

«مايكروسوفت» في المرصاد

ولمواجهة هذا التهديد الفريد، قدمت شركة «مايكروسوفت» دفاعات متدرجة عبر منتجات «ديفندر» (Defender) و«سنتينل» (Sentinel). تعتمد هذه المنصة الذكية على قدرات كشف متقدمة تكشف السلوكيات الأمنية غير المعتادة كإعادة ضبط كلمات المرور، والتنقيب عن بيانات «أكتيف دايروكتوري» (Active Directory) واستخدام أدوات مختصة بالاختراق. والأهم أن «ديفندر» يمتلك آلية «الهجوم المضاد» التي تطلق فوراً إجراءات احتواء تلقائية، مثل تعطيل الحسابات المخترَقة وإلغاء الجلسات لتقليص أثر الهجوم.

كما توفر «Sentinel» و«Defender XDR» أدوات رصد واستقصاء فعالة للتهديدات. يمكن لخبراء الأمن البحث في مصادر البيانات المختلفة ورصد نشاطات مشبوهة، كما يُستخدم «رسم الخرائط الهجومي» (Attack Path Analysis) لتحديد طرق العبْور المحتملة، خاصة الحسابات التي تهدفها «أوكْتو تيمبست» مثل موظفي الدعم الفني.

التحرك الاستراتيجي الوقائي

تقدّم «مايكروسوفت» أداة فريدة باسم «Security Exposure Management» تُحوِّل التركيز من الصّيانة إلى وقاية حقيقية. تشمل الأدوات تقييم الأصول الحيوية، ووضع إجراءات محددة، وفرض سياسات تقليل المخاطر مثل تقليل صلاحيات الحسابات، وإيقاف طرق الالتفاف على التحقق المتعدد العوامل.

كما توجّه «مايكروسوفت» الإصدارات إلى تثبيت «Defender Antivirus» على أنظمة «لينكس» (Linux) وتفعيل الحماية في الوقت الحقيقي، وتعطيل القدرة على تغيير إعدادات الحماية، واستخدام «Credential Guard» لمنع سرقة المعلومات الحساسة، وحماية بنية «أزور» (Azure) باستخدام مفاتيح تشفير يملكها المستخدمون.

حماية مصالح عدة قطاعات

منذ أبريل (نيسان) حتى يوليو (تموز) 2025، تنوّعت أهداف الهجمات لتشمل قطاعات مثل التجارة بالتجزئة وخدمات الطهي والفندقة والتأمين وصولاً إلى شركات الطيران مؤخراً. هذا يؤكد أن «أوكْتو تيمبست» لا تختار هدفاً عارضة، بل تبحث عن الصناعات التي تُشكل بيئة خصبة لهجمات إلكترونية متقدمة.

قصة دفاع ذكية

في أحد الحالات، استخدمت «أوكْتو تيمبست» بيانات شخصية لاستدراج موظف الدعم، الذي بدوره ألغى تفعيل «المصادقة متعددة العوامل» (MFA) وساعدهم على الوصول لأول مرة إلى الحسابات الحساسة. لكن بفضل التدخل الفوري لفريق «مايكروسوفت» للرد السريع، جرى تصحيح الوضع وإلغاء إعدادات الدخول وإزالة الثغرات وتسليط الضوء على الحاجة لحماية الفصائل الحسابية الحرجة، كما جرى الاحتفاظ بحسابات الطوارئ لضمان عدم فقدان السيطرة.

الذكاء يحمي الذكاء

تكشف هذه الحكاية أن الاضطراب الهجومي لم يعد مجرد اختراق، بل لعبة استراتيجية تتطلب دفاعات ذكية ومترابطة. ويبدو أن أدوات «مايكروسوفت» لا تتوقّف عند الكشف؛ بل تعمل استعداداً مسبقاً، وتستجيب بسرعة لتوقيف الهجوم والتصدي له عبر أنظمة متقدمة تعتمد الذكاء الاصطناعي والتعلم الآلي.