اختراق منشأة أميركية لإنتاج مكونات الأسلحة النووية عبر «مايكروسوفت»
القراصنة اخترقوا منشأة كانساس سيتي التابعة للأمن النووي الأميركي
كشفت مصادر مطلعة أن قراصنة أجانب نفّذوا هجوماً إلكترونياً معقداً ضد منشأة كانساس سيتي الأمن القومي التابعة لـ”الإدارة الوطنية للأمن النووي الأميركية” (NNSA)، من خلال استغلال ثغرات في تطبيق Microsoft SharePoint، ما أثار مخاوف بشأن الحاجة إلى تعزيز حماية أنظمة تكنولوجيا المعلومات والبنية التشغيلية في المؤسسات الفيدرالية.
ووفقاً لمصدر شارك في عملية الاستجابة للحادث في أغسطس الماضي، استغل المهاجمون ثغرات لم تُعالج بعد في خوادم SharePoint، وتمكنوا من اختراق منشأة تُعد مركزاً رئيسياً لتصنيع معظم المكونات غير النووية للأسلحة النووية الأميركية، وتشرف عليها شركة Honeywell Federal Manufacturing & Technologies بموجب عقد مع الإدارة الوطنية للأمن النووي التابعة لوزارة الطاقة الأميركية (DOE)، بحسب تصريحات لموقع CSOOnline.
استغل المهاجمون ثغرتين حديثتين في SharePoint -الأولى CVE-2025-53770 (ثغرة انتحال هوية)، والثانية CVE-2025-49704 (ثغرة تنفيذ أوامر عن بُعد)- واللتين تؤثران على الخوادم المحلية. وكانت مايكروسوفت قد أصدرت تحديثات أمنية لهما في 19 يوليو.
وفي 22 يوليو، أكدت وزارة الطاقة أن بعض منشآتها كانت من بين الجهات المستهدفة. وقال متحدث باسم الوزارة إن استغلال ثغرة “يوم صفر” (Zero-days) في SharePoint بدأ في 18 يوليو، لكنه شدد على أن “تأثير الهجوم كان محدوداً للغاية نظراً لاعتماد الوزارة على خدمات Microsoft M365 وأنظمتها الأمنية المتقدمة”، مضيفاً أن “عدداً قليلاً جداً من الأنظمة تأثر، وجميعها قيد الاستعادة”، وفق “بلومبرغ”.
بحلول أوائل أغسطس، وصلت فرق الاستجابة الفيدرالية، بما في ذلك عناصر من وكالة الأمن القومي الأميركية (NSA)، إلى منشأة كانساس سيتي للتحقيق في الحادث.
اختلفت التقديرات بشأن الجهة المسؤولة عن الاختراق، نسبت مايكروسوفت الهجمات الأوسع نطاقاً عبر SharePoint إلى ثلاث مجموعات مرتبطة بالصين وهي: Linen Typhoon، وViolet Typhoon، ومجموعة ثالثة تُعرف باسم Storm-2603، مشيرة إلى أن القراصنة كانوا يستعدون لنشر برنامج الفدية Warlock.
غير أن المصدر المطلع على حادث كانساس سيتي قال لموقع CSO إن جهة روسية كانت وراء الاختراق. في المقابل، قالت شركة الأمن السيبراني Resecurity، التي تتابع الهجمات، إن بياناتها تشير إلى تورط مجموعات صينية، دون استبعاد احتمال وجود دور روسي.
ورجّح باحثو الشركة أن مجموعات صينية طورت الثغرة في البداية، لكن قراصنة روساً مدفوعين بدوافع مالية ربما أعادوا استغلالها بعد تسرب التفاصيل التقنية في يونيو.
وفي مايو، عرض باحثون من شركة Viettel Cyber Security في مسابقة Pwn2Own Berlin هجوماً استغل ثغرتين من SharePoint هما CVE-2025-49706 وCVE-2025-49704، ويعتقد محللون أن تلك العروض ساهمت في تسريع إعادة بناء الثغرات من قبل جهات متعددة.
كما رصدت Resecurity نشاطاً مبكراً لمسح واستغلال الثغرات انطلق من بنية تحتية في تايوان وفيتنام وكوريا الجنوبية وهونج كونج، وهو نمط يتوافق مع تكتيكات جماعات التهديد الصينية لإخفاء مصدر الهجمات.