مايكروسوفت تسقط شبكة Fox Tempest لخدمات توقيع البرمجيات الخبيثة
"نجحت مايكروسوفت في تفكيك شبكة Fox Tempest المتخصصة في تزوير توقيع البرمجيات الخبيثة. كشفت العملية عن استغلال نظام Artifact Signing لتسهيل هجمات الفدية عالمياً."
مقدمة تحليلية
أعلنت وحدة مكافحة الجرائم الرقمية في شركة مايكروسوفت (Microsoft Digital Crimes Unit) عن نجاح عملية دولية منسقة تحت الاسم الرمزي OpFauxSign، استهدفت شل حركة البنية التحتية لشبكة Fox Tempest. وتُعد هذه المجموعة المحرك الأساسي لأكبر منصة لتوفير خدمات "توقيع البرمجيات الخبيثة كخدمة" (Malware-Signing-as-a-Service - MSaaS)، وهي التقنية الإجرامية التي استخدمتها مجموعات الفدية لتجاوز أنظمة الدفاع الرقمي وتدشين هجمات واسعة النطاق أصابت آلاف الشبكات والمؤسسات الحيوية حول العالم.
استهدفت الضربة القانونية والتقنية مصادرة النطاق الإلكتروني الرئيسي للمجموعة signspace[.]cloud، وإغلاق مئات الخوادم الافتراضية، وحظر الوصول إلى الشيفرات البرمجية التشغيلية التي تدير هذه الجريمة المنظمة. وتشير البيانات الرسمية الموثقة إلى أن هذا النشاط الإجرامي بدأ في مايو 2025 واستمر في التوسع حتى تاريخ تفكيكه، حيث فرضت الشبكة مبالغ تتراوح بين 5,000 و 9,000 دولار أمريكي مقابل توقيع الملفات الخبيثة وتمريرها كبرمجيات موثوقة ومطابقة لمعايير الأمان الرقمية.
لم تقتصر أضرار هذه البنية التحتية على قطاع تقني محدد، بل مهدت الطريق لنشر سلالات مدمرة من برمجيات الفدية مثل Rhysida، وذلك عبر تمكين وسطاء ومجموعات فرعية مثل Vanilla Tempest و Oyster و Lumma Stealer و Vidar. وطالت هذه الهجمات قطاعات بالغة الحساسية، شملت الرعاية الصحية، والتعليم، والمؤسسات الحكومية، والخدمات المالية في دول كبرى مثل الولايات المتحدة، وفرنسا، والهند، والصين، مما يعكس الأبعاد الجيوسياسية والاقتصادية الفادحة لهذه المنصة الإجرامية الساقطة.
التحليل التقني
اعتمدت مجموعة Fox Tempest في عملياتها على استغلال آلية Artifact Signing (المعروفة سابقاً باسم Azure Trusted Signing)، وهي خدمة سحابية بالغة الأهمية تقدمها مايكروسوفت لمساعدة المطورين على توقيع تطبيقاتهم رقمياً لضمان سلامتها وصحة مصدرها قبل التوزيع. ولتجاوز ضوابط التحقق الصارمة الخاصة بالهوية (Verifiable Credentials)، اتبع المهاجمون استراتيجية تقنية معقدة تعتمد على الركائز التالية:
- انتحال الهويات الموثقة: استخدمت المجموعة هويات رقمية مسروقة لمواطنين وشركات وهمية مقرها الولايات المتحدة وكندا، مما أتاح لها تخطي بوابات التحقق والحصول على اشتراكات وموارد سحابية شرعية في بيئة Azure.
- توليد شهادات قصيرة الأجل: قامت البنية التحتية للمجموعة بتوليد شهادات توقيع رقمية صالحة لمدة 72 ساعة فقط، وهي فترة كافية لشن الهجمات وصعبة التتبع أو الإلغاء الفوري من قبل أنظمة الأمان التقليدية.
- أتمتة عملية التوقيع الإجرامية: صممت المجموعة موقع signspace[.]cloud ليكون لوحة تحكم متكاملة تتيح للمشترين رفع برمجياتهم الخبيثة والحصول على نسخ موقعة رقمياً خلال دقائق معدودة وبطريقة مؤتمتة بالكامل.
- الانتقال إلى الأنظمة الافتراضية الجاهزة: في فبراير 2026، طورت المجموعة أسلوبها عبر تزويد عملائها بآلات افتراضية (VMs) معدة مسبقاً ومستضافة على منصة Cloudzy السحابية، مما قلل الاحتكاك التقني وحمى خوادم Fox Tempest من الانكشاف المباشر.
وقامت مجموعات تابعة مثل Vanilla Tempest بشراء إعلانات محركات البحث لتوجيه المستخدمين الباحثين عن برمجيات مثل Microsoft Teams و AnyDesk و PuTTY و Cisco Webex إلى صفحات تحميل مزيفة. احتوت هذه الصفحات على برمجيات خبيثة موقعة بالكامل من خلال الخدمة المخترقة، مثل المحمل التمريضي Oyster (المعروف أيضاً باسم Broomstick أو CleanUpLoader)، والذي يقوم لاحقاً بحقن برمجية Rhysida المدمرة داخل الشبكات المستهدفة دون إطلاق أي إنذارات من برامج الحماية من الفيروسات أو حلول EDR السلوكية.
السياق وتأثير السوق
تعد عملية الإطاحة بشبكة Fox Tempest نقطة تحول جوهرية في الحرب ضد اقتصاد الجريمة السيبرانية الآخذ في التحول إلى نموذج الخدمات السحابية المشتركة. تاريخياً، كان المهاجمون يواجهون صعوبة بالغة في الحصول على شهادات توقيع رقمي صالحة، حيث كان الأمر يتطلب اختراق شركات برمجيات كبرى لسرقة مفاتيح التوقيع الخاصة بها، أو شراء شهادات مسربة بأسعار باهظة من الأسواق المظلمة.
ومع ظهور مفهوم "توقيع البرمجيات الخبيثة كخدمة" (MSaaS)، تمكنت مجموعات الجريمة المنظمة من خفض التكلفة التشغيلية الإجمالية وتوسيع نطاق هجماتها بشكل مرن ومخيف. إن ربط شبكة Fox Tempest بكيانات إجرامية عملاقة مثل INC و Qilin و BlackByte و Akira يوضح بجلاء كيف أصبحت البنى التحتية المشتركة للتوقيع الرقمي بمثابة الشريان الحيوي الذي يغذي قطاع برمجيات الفدية بأكمله. إن تعطيل هذه الحلقة الحيوية سيعيد صياغة موازين القوى مؤقتاً، حيث سيجبر المهاجمين على البحث عن بدائل مكلفة ويمنح فرق الدفاع السيبراني وقتاً ثميناً لتعزيز أمن الهويات الرقمية ومراجعة الأنظمة المعززة بالثقة.
رؤية Glitch4Techs
تُثبت واقعة تفكيك Fox Tempest حقيقة مقلقة لطالما حذرنا منها في Glitch4Techs: إن الثقة المطلقة والعمياء في البنية التحتية لتوقيع الكود البرمجي تمثل ثغرة فلسفية وبنيوية في النموذج الأمني المعاصر. عندما تصبح الآليات المصممة لترسيخ الأمان (مثل Artifact Signing) هي السلاح ذاته المستخدم للاختراق وتمرير التهديدات، فإن المبدأ الأساسي للأمان القائم على الثقة المسبقة ينهار تماماً.
إن المشكلة الجوهرية لا تكمن في البنية التحتية السحابية لمايكروسوفت كمنتج تقني، بل في سهولة إساءة استخدام الهويات الرقمية المسروقة لتمرير معايير التحقق (Verifiable Credentials). ونحن نقدر سرعة استجابة مايكروسوفت وتعاونها مع مصادر سرية لشراء الخدمة واختبارها تقنياً بين فبراير ومارس 2026، ولكن هذه الهجمة تشير إلى ثغرة تنظيمية تتطلب مراجعة جذرية لبروتوكولات KYC (اعرف عميلك) في البيئات السحابية لمطوري البرمجيات. نوصي الشركات والمؤسسات التقنية بالتوقف عن اعتبار التوقيع الرقمي دليلاً قاطعاً على سلامة الملف، والاعتماد بشكل أساسي على تقنيات التحليل السلوكي في الوقت الفعلي وفحص الذاكرة لكشف العمليات المشبوهة، بغض النظر عن هوية الجهة الموقعة على الملف.
كن أول من يعرف بمستقبل التقنية
أهم الأخبار والتحليلات التقنية مباشرة في بريدك.