في شهر مارس، أكدت شركة مايكروسوفت أن قراصنة تابعين للحكومة الروسية، والمعروفين باسم Midnight Blizzard (أو APT29)، قد اخترقوا أنظمتها بهدف سرقة أنواع مختلفة من المعلومات، بما في ذلك البيانات الخاصة بعملاء مايكروسوفت.
وبعد مرور أشهر لا تزال مايكروسوفت في عملية إخطار عملائها المتأثرين، ويبدو أن العملية لا تسير على ما يرام، مع انتقاد الخبراء لشركة مايكروسوفت لإرسالها رسائل بريد إلكتروني تبدو وكأنها رسائل غير مرغوب فيها، أو حتى محاولات تصيد.
وقد حذر كيفن بومونت، وهو موظف سابق في مايكروسوفت وباحث في مجال الأمن السيبراني يتابع الشركة عن كثب، الشركات من مراقبة رسائل البريد الإلكتروني الخاصة بمايكروسوفت.
البريد العشوائي
يقول بومونت: «تعرضت مايكروسوفت لاختراق من قبل روسيا أثر على بيانات العملاء ولم تتبع عملية اختراق بيانات عملاء Microsoft 365. الإشعارات ليست في البوابة، بل أرسلوا رسائل بريد إلكتروني إلى مسؤولي المستأجرين بدلاً من ذلك. ويمكن أن تذهب رسائل البريد الإلكتروني إلى البريد العشوائي - ومن المفترض أن تكون حسابات مسؤولي المستأجرين حسابات Breakglass آمنة بدون بريد إلكتروني. كما أنهم لم يبلغوا المؤسسات عبر مديري الحسابات. تريد التحقق من جميع رسائل البريد الإلكتروني التي تعود إلى يونيو. إنه منتشر على نطاق واسع».
تتمثل إحدى المشكلات الرئيسية في رسالة البريد الإلكتروني الإشعارية التي ترسلها شركة Microsoft في أنها تتضمن «رابطًا آمنًا» إلى نطاق لا يرتبط بشركة Microsoft بشكل واضح. وبدلاً من ذلك، تتضمن رسالة البريد الإلكتروني رابطًا إلى: «purviewcustomer.powerappsportals.com».
كتب أحد الأشخاص على موقع X: «في الأساس، يبدو التنبيه الحرج وكأنه هجوم تصيد».
تم إرسال هذا الرابط إلى موقع urlscan.io، وهو موقع يمكنه المساعدة في اكتشاف الروابط الضارة، أكثر من مائة مرة. وهذا يشير إلى أن هناك العديد من المؤسسات التي شاهدت رسالة البريد الإلكتروني الرسمية المشروعة من Microsoft واعتقدت أنها ضارة.
وتشير عمليات إرسال urlscan.io أيضًا إلى وجود ما لا يقل عن مائة شركة تأثرت باختراق الحكومة الروسية لشركة Microsoft. وقالت وكالة الأمن السيبراني الأمريكية CISA في وقت سابق إن القراصنة الروس سرقوا أيضًا رسائل البريد الإلكتروني للعديد من الوكالات الفيدرالية.
علامات حمراء
وأوضح تقرير TechCrunch أنه بعيدًا عن تحذيرات بومونت، هناك بعض الأدلة التي تشير إلى أن عملاء مايكروسوفت يشعرون بالارتباك بشكل مشروع. ففي إحدى بوابات دعم مايكروسوفت، شارك أحد العملاء رسالة البريد الإلكتروني التي تلقتها مؤسسته في محاولة لتوضيح ما إذا كانت رسالة البريد الإلكتروني أصلية من مايكروسوفت.
«يحتوي هذا البريد الإلكتروني على العديد من العلامات الحمراء بالنسبة لي، حيث طلب معرف المستأجر وعناوين البريد الإلكتروني الخاصة بالمسؤولين أو المسؤولين رفيعي المستوى، وصفحة PowerApps التي لا تحتوي على أي معلومات أساسية، وبعد البحث السريع على Google لم يتم العثور على أي شيء يتعلق بعنوان هذا البريد الإلكتروني أو محتوياته»، كتب الشخص. «هل يمكن لأي شخص أن يؤكد أن هذا طلب بريد إلكتروني شرعي من Microsoft؟»
وفي تعليقه على منشور بومونت على موقع لينكدإن، قال أحد مستشاري الأمن السيبراني إن العديد من «عملائه تلقوا البريد الإلكتروني وكانوا جميعًا قلقين من أنه كان تصيدًا».
كما كتب المستشار: «للوهلة الأولى، لم يبعث هذا الثقة لدى المتلقين، الذين بدأوا يسألون في المنتديات أو يتواصلون مع مديري حسابات Microsoft للتأكد في النهاية من شرعية البريد الإلكتروني... طريقة غريبة لمزود مثل هذا للتواصل بشأن قضية مهمة للعملاء المحتملين المتأثرين».
ولم يستجب المتحدثون باسم مايكروسوفت عندما سأل موقع TechCrunch عن عدد المنظمات التي تم إخطارها، أو ما إذا كانت الشركة تخطط لتغيير الطريقة التي تخطر بها العملاء المتأثرين.
وبعد مرور أشهر لا تزال مايكروسوفت في عملية إخطار عملائها المتأثرين، ويبدو أن العملية لا تسير على ما يرام، مع انتقاد الخبراء لشركة مايكروسوفت لإرسالها رسائل بريد إلكتروني تبدو وكأنها رسائل غير مرغوب فيها، أو حتى محاولات تصيد.
وقد حذر كيفن بومونت، وهو موظف سابق في مايكروسوفت وباحث في مجال الأمن السيبراني يتابع الشركة عن كثب، الشركات من مراقبة رسائل البريد الإلكتروني الخاصة بمايكروسوفت.
البريد العشوائي
يقول بومونت: «تعرضت مايكروسوفت لاختراق من قبل روسيا أثر على بيانات العملاء ولم تتبع عملية اختراق بيانات عملاء Microsoft 365. الإشعارات ليست في البوابة، بل أرسلوا رسائل بريد إلكتروني إلى مسؤولي المستأجرين بدلاً من ذلك. ويمكن أن تذهب رسائل البريد الإلكتروني إلى البريد العشوائي - ومن المفترض أن تكون حسابات مسؤولي المستأجرين حسابات Breakglass آمنة بدون بريد إلكتروني. كما أنهم لم يبلغوا المؤسسات عبر مديري الحسابات. تريد التحقق من جميع رسائل البريد الإلكتروني التي تعود إلى يونيو. إنه منتشر على نطاق واسع».
تتمثل إحدى المشكلات الرئيسية في رسالة البريد الإلكتروني الإشعارية التي ترسلها شركة Microsoft في أنها تتضمن «رابطًا آمنًا» إلى نطاق لا يرتبط بشركة Microsoft بشكل واضح. وبدلاً من ذلك، تتضمن رسالة البريد الإلكتروني رابطًا إلى: «purviewcustomer.powerappsportals.com».
كتب أحد الأشخاص على موقع X: «في الأساس، يبدو التنبيه الحرج وكأنه هجوم تصيد».
تم إرسال هذا الرابط إلى موقع urlscan.io، وهو موقع يمكنه المساعدة في اكتشاف الروابط الضارة، أكثر من مائة مرة. وهذا يشير إلى أن هناك العديد من المؤسسات التي شاهدت رسالة البريد الإلكتروني الرسمية المشروعة من Microsoft واعتقدت أنها ضارة.
وتشير عمليات إرسال urlscan.io أيضًا إلى وجود ما لا يقل عن مائة شركة تأثرت باختراق الحكومة الروسية لشركة Microsoft. وقالت وكالة الأمن السيبراني الأمريكية CISA في وقت سابق إن القراصنة الروس سرقوا أيضًا رسائل البريد الإلكتروني للعديد من الوكالات الفيدرالية.
علامات حمراء
وأوضح تقرير TechCrunch أنه بعيدًا عن تحذيرات بومونت، هناك بعض الأدلة التي تشير إلى أن عملاء مايكروسوفت يشعرون بالارتباك بشكل مشروع. ففي إحدى بوابات دعم مايكروسوفت، شارك أحد العملاء رسالة البريد الإلكتروني التي تلقتها مؤسسته في محاولة لتوضيح ما إذا كانت رسالة البريد الإلكتروني أصلية من مايكروسوفت.
«يحتوي هذا البريد الإلكتروني على العديد من العلامات الحمراء بالنسبة لي، حيث طلب معرف المستأجر وعناوين البريد الإلكتروني الخاصة بالمسؤولين أو المسؤولين رفيعي المستوى، وصفحة PowerApps التي لا تحتوي على أي معلومات أساسية، وبعد البحث السريع على Google لم يتم العثور على أي شيء يتعلق بعنوان هذا البريد الإلكتروني أو محتوياته»، كتب الشخص. «هل يمكن لأي شخص أن يؤكد أن هذا طلب بريد إلكتروني شرعي من Microsoft؟»
وفي تعليقه على منشور بومونت على موقع لينكدإن، قال أحد مستشاري الأمن السيبراني إن العديد من «عملائه تلقوا البريد الإلكتروني وكانوا جميعًا قلقين من أنه كان تصيدًا».
كما كتب المستشار: «للوهلة الأولى، لم يبعث هذا الثقة لدى المتلقين، الذين بدأوا يسألون في المنتديات أو يتواصلون مع مديري حسابات Microsoft للتأكد في النهاية من شرعية البريد الإلكتروني... طريقة غريبة لمزود مثل هذا للتواصل بشأن قضية مهمة للعملاء المحتملين المتأثرين».
ولم يستجب المتحدثون باسم مايكروسوفت عندما سأل موقع TechCrunch عن عدد المنظمات التي تم إخطارها، أو ما إذا كانت الشركة تخطط لتغيير الطريقة التي تخطر بها العملاء المتأثرين.
