مايكروسوفت تُسقط خدمة Fox Tempest لتوقيع البرمجيات الخبيثة التي غذّت هجمات الفدية عالمياً

أعلنت مايكروسوفت في 19 مايو 2026 عن تفكيك عملية إجرامية سيبرانية متطورة تُعرف بـ Fox Tempest، استغلت نظام توقيع البرمجيات الخاص بالشركة لإصدار أكثر من 1,000 شهادة توقيع رقمي مزورة استُخدمت في توزيع برمجيات الفدية وسرقة البيانات على نطاق عالمي. هذه العملية تكشف عن تحوّل خطير في تكتيكات المهاجمين نحو استهداف سلسلة الثقة الرقمية ذاتها.

ما هي خدمة توقيع البرمجيات الخبيثة (MSaaS)؟

خدمة Malware-Signing-as-a-Service هي نموذج إجرامي حيث يقدّم المشغّلون شهادات توقيع رقمي مسروقة أو مزورة لمجموعات القرصنة مقابل رسوم. عندما تحمل البرمجية الخبيثة توقيعاً رقمياً صالحاً، يتعامل معها نظام Windows وأدوات الحماية على أنها برنامج شرعي موثوق بدلاً من تصنيفها كتهديد. قامت Fox Tempest بإنشاء أكثر من 1,000 شهادة توقيع مزورة عبر استغلال نظام Microsoft Artifact Signing، ثم باعت هذه الشهادات لعشرات مجموعات الفدية والجريمة السيبرانية عبر منصة signspace[.]cloud.

مجموعات الفدية المستفيدة من الخدمة

كشف تحقيق وحدة الجرائم الرقمية في مايكروسوفت أن خدمة Fox Tempest دعمت حملات متعددة لمجموعات فدية بارزة تشمل: Rhysida وAkira وINC Ransom وQilin وBlackByte. كما استُخدمت الشهادات المزورة لتوقيع برمجيات سرقة المعلومات مثل Lumma Stealer وVidar، إضافة إلى أدوات تحميل البرمجيات الخبيثة مثل Oyster loader. هذا التنوع في العملاء يوضح حجم التأثير: خدمة واحدة تغذّي عشرات الحملات التي أصابت آلاف الأجهزة والشبكات حول العالم.

إجراءات التفكيك والملاحقة القانونية

اتخذت مايكروسوفت مجموعة إجراءات حاسمة لإيقاف العملية. أولاً، إلغاء أكثر من 1,000 شهادة توقيع رقمي مرتبطة بالمخطط. ثانياً، رفع دعوى قضائية في المحكمة الفيدرالية بالمنطقة الجنوبية من نيويورك ضد المشغّلين. ثالثاً، مصادرة نطاق signspace[.]cloud الذي كان يدعم الخدمة الإجرامية. رابعاً، إيقاف مئات الأجهزة الافتراضية التي استخدمها المهاجمون في عملياتهم. هذا التفكيك يُعدّ من أكبر عمليات مكافحة البنية التحتية الإجرامية في 2026.

التأثير على المؤسسات المالية السعودية

يحمل هذا الحدث دلالات مباشرة للقطاع المالي السعودي. إطار عمل SAMA CSCC في نطاق 3.3 (Malware Protection) يُلزم المؤسسات المالية بتطبيق ضوابط صارمة للحماية من البرمجيات الخبيثة، لكن البرمجيات الموقّعة رقمياً تتجاوز كثيراً من هذه الضوابط التقليدية. كذلك يتطلب إطار NCA ECC في نطاقات إدارة التغيير والتطبيقات (AC-2) التحقق من سلامة البرمجيات قبل نشرها، وهو ما يستلزم آليات تتجاوز مجرد التحقق من التوقيع الرقمي. البنوك وشركات التأمين والتقنية المالية في المملكة تعتمد بشكل كبير على بيئة Windows ومنتجات مايكروسوفت، مما يجعلها عرضة مباشرة لهذا النوع من الهجمات التي تستغل الثقة في الشهادات الرقمية.

التوصيات والخطوات العملية

1. تفعيل سياسات Windows Defender Application Control (WDAC): قم بتكوين سياسات WDAC لتقييد تشغيل البرمجيات بناءً على قوائم بيضاء محددة وليس فقط على صحة التوقيع الرقمي، فالتوقيع وحده لم يعد كافياً.
2. مراجعة قائمة الشهادات الموثوقة: راجع Certificate Trust List في بيئتك وتأكد من تحديث قائمة الشهادات الملغاة (CRL) من مايكروسوفت فوراً لضمان حظر الشهادات المرتبطة بـ Fox Tempest.
3. تطبيق مبدأ Zero Trust على البرمجيات: لا تثق بأي برمجية لمجرد أنها موقّعة رقمياً. طبّق فحصاً سلوكياً متعدد الطبقات يشمل EDR وsandboxing وتحليل الشبكة.
4. مراقبة مؤشرات الاختراق (IoCs): أضف نطاق signspace[.]cloud وعناوين IP المرتبطة بـ Fox Tempest إلى قوائم الحظر في جدران الحماية وأنظمة SIEM فوراً.
5. تحديث إجراءات إدارة التغيير: وفقاً لمتطلبات SAMA CSCC، تأكد من أن عمليات نشر البرمجيات تتضمن فحصاً يتجاوز التوقيع الرقمي ليشمل التحقق من سمعة الناشر وسلوك البرمجية في بيئة معزولة.
6. تدريب فرق SOC: درّب محللي مركز العمليات الأمنية على اكتشاف البرمجيات الموقّعة رقمياً ذات السلوك المشبوه، لأن الاعتماد على التوقيع كمؤشر ثقة أصبح تكتيكاً يستغله المهاجمون بشكل متزايد.

الخلاصة

تفكيك Fox Tempest يكشف أن المهاجمين تجاوزوا مرحلة استهداف الأنظمة إلى استهداف البنية التحتية للثقة الرقمية ذاتها. التوقيع الرقمي الذي كان يُعتبر ضمانة أمنية أصبح سلاحاً بيد المجرمين. المؤسسات المالية السعودية التي تعتمد على بيئات مايكروسوفت بحاجة لإعادة تقييم استراتيجية الثقة في البرمجيات والانتقال من نموذج الثقة القائم على التوقيع إلى نموذج Zero Trust شامل يتوافق مع متطلبات SAMA CSCC وNCA ECC.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC ومراجعة سياسات الثقة في البرمجيات لديكم.