هجوم Handala على Stryker: كيف أصبح Microsoft Intune سلاحاً لمسح 200,000 جهاز في 79 دولة

في مارس 2026، كشف هجوم مدمّر على شركة Stryker الأمريكية لتقنية المعدات الطبية عن سيناريو يُقلق كل مسؤول أمن معلومات في القطاع المالي: مجموعة "Handala" المرتبطة بإيران لم تستخدم برمجيات خبيثة تقليدية، بل استغلّت Microsoft Intune — أداة إدارة الأجهزة المحمولة (MDM) المنتشرة على نطاق واسع في الشركات — لإصدار أوامر مسح شامل أدت إلى تعطيل أكثر من 200,000 جهاز في 79 دولة خلال ساعات قليلة، مع ادعاءات بسرقة 50 تيرابايت من البيانات.

تشريح الهجوم: من اختراق حساب واحد إلى كارثة عالمية

وفقاً لتحقيقات شركات Check Point وCrowdStrike وPalo Alto Networks وMicrosoft، نجح المهاجمون في اختراق حساب مسؤول Microsoft Entra ID (المعروف سابقاً بـ Azure AD) يتمتع بصلاحيات مسؤول Intune أو المسؤول العام. بعد ذلك، أصدروا أوامر "Remote Wipe" عبر بوابة Intune الإدارية لمئات الآلاف من الأجهزة دفعةً واحدة — من أجهزة الكمبيوتر المحمولة إلى الهواتف الذكية وأجهزة اللوح — في جميع مكاتب Stryker الـ 79 حول العالم. الجانب الأشد خطورة في هذا الهجوم أن المهاجمين لم يحتاجوا إلى اختراق كل جهاز على حدة؛ اكتفوا باختراق مستوى الإدارة المركزية فأصبح النظام بأكمله في قبضتهم. وقد أصدرت وكالة CISA الأمريكية توجيهات عاجلة لجميع المؤسسات التي تعتمد على Intune لمراجعة ضوابط الوصول المميز فوراً.

Handala: ليست مجموعة هاكتيفيست بل ذراع استخباراتية إيرانية

تُقدّم مجموعة Handala نفسها على أنها "هاكتيفيست" مؤيد لإيران، وادّعت أن الهجوم جاء رداً على ضربة عسكرية أودت بحياة مدنيين إيرانيين. غير أن تحليل التقنيات والبنية التحتية المستخدمة قاد شركات الاستخبارات السيبرانية الكبرى إلى تصنيفها جميعاً تحت مسمى "Void Manticore" — الاسم الذي يُطلقه المحققون على وحدة العمليات التدميرية التابعة مباشرةً لوزارة الاستخبارات والأمن الإيرانية (MOIS). هذا التصنيف يعني أن هجمات Handala ليست عمليات عشوائية، بل تنفيذ لسياسة دولة تستهدف بنية المنافسين والخصوم. وقد صادر مكتب التحقيقات الفيدرالي (FBI) نطاقات إلكترونية مرتبطة بالمجموعة في مارس 2026، فيما وجّهت وزارة العدل الأمريكية اتهامات جنائية مرتبطة بنشاطها.

التأثير المباشر على المؤسسات المالية السعودية

هذا الحادث ليس مجرد خبر أمريكي — إنه تحذير مباشر يجب أن يُراجعه كل مسؤول أمن في المملكة العربية السعودية، وذلك لثلاثة أسباب جوهرية: أولاً، إيران من أبرز مصادر التهديد السيبراني الموجّه نحو المملكة تاريخياً، وقد نفّذت عمليات تدميرية ضد قطاعات حيوية سعودية في الماضي، أبرزها هجوم Shamoon الذي مسح آلاف الأجهزة في أرامكو عام 2012 واستهداف مؤسسات مالية إقليمية لاحقاً. ثانياً، Microsoft 365 وIntune وEntra ID منتشرة على نطاق واسع في البنوك وشركات التأمين والمؤسسات المالية الخاضعة لرقابة SAMA، مما يجعل هذا النمط من الهجوم قابلاً للتطبيق مباشرةً على أي مؤسسة تفتقر إلى ضوابط الوصول المميز الكافية. ثالثاً، متطلبات SAMA CSCC في المجال 3-3 (إدارة الهويات والصلاحيات المميزة) والمجال 3-5 (حماية نقاط النهاية وإدارة الأجهزة) تُلزم بضوابط صارمة بالضبط في النقاط التي استغلها هذا الهجوم.

التوصيات والخطوات العملية

1. فعّل مصادقة متعددة العوامل مقاومة للتصيد على جميع حسابات Entra ID المميزة: استخدم مفاتيح FIDO2 أو Windows Hello for Business لحسابات Global Admin ومسؤولي Intune. المصادقة عبر الرسائل القصيرة أو OTP وحدها لا تكفي لحماية هذا المستوى من الصلاحيات.
2. طبّق Privileged Identity Management (PIM): فعّل Azure AD PIM لمنح امتيازات Intune وEntra ID بشكل مؤقت وبطلب مسبق يتطلب موافقة طرف ثانٍ، بدلاً من الامتيازات الدائمة. هذا الإجراء وحده يُقلّص نافذة الاستغلال بشكل جذري.
3. قيّد صلاحيات إصدار أوامر Remote Wipe وطبّق موافقة مزدوجة: راجع من يملك حق إصدار أوامر المسح عن بُعد في Intune. يجب أن تستلزم هذه الأوامر موافقة مسؤولَين اثنين على الأقل (Dual Authorization) وتسجيلاً تدقيقياً كاملاً.
4. راقب سجلات Entra ID وIntune في الوقت الفعلي: فعّل تنبيهات تلقائية لحالات تسجيل الدخول من مواقع جغرافية غير معتادة، أو تنفيذ عمليات Intune الجماعية، أو تصاعد الامتيازات المفاجئ. أدمج هذه السجلات في منصة SIEM الخاصة بك.
5. اختبر سيناريو الاستعادة الشاملة فعلياً: هل تستطيع استعادة 5,000 جهاز خلال 48 ساعة؟ نفّذ هذا الاختبار ووثّق النتائج وفق متطلبات SAMA CSCC المجال 5-1 (استمرارية الأعمال والتعافي من الكوارث). Stryker استغرقت ثلاثة أسابيع للعودة إلى الاشتغال الكامل.
6. راجع عقود مزودي خدمات MDM السحابية: وفق متطلبات SAMA CSCC المجال 3-11 (إدارة مخاطر الطرف الثالث)، تأكد أن Microsoft أو أي مزود آخر لديه التزامات تعاقدية واضحة بشأن تنبيهات الأمان الفوري عند اكتشاف أنشطة إدارية مشبوهة.

الخلاصة

هجوم Handala على Stryker أثبت أن مستوى الإدارة المركزية (Management Plane) أصبح الهدف الأكثر جاذبية للمهاجمين ذوي الموارد العالية: اختراق بسيط لحساب واحد يتحول إلى كارثة تطال مئات الآلاف من الأجهزة في دقائق. في القطاع المالي السعودي، حيث يُعدّ Microsoft 365 وIntune عمود الفقري لإدارة أسطول الأجهزة في البنوك وشركات التأمين، فإن تأمين مستوى الإدارة قبل مستوى الأجهزة نفسها بات ضرورة عملياتية وليس مجرد توصية نظرية. لا تنتظر أن يكون المسح الشامل هو الحادثة التي تدفعك إلى اتخاذ الإجراء.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC.