هجوم Qilin على Sysco: دروس في مخاطر سلاسل الإمداد لبنوك SAMA

أعلنت مجموعة Qilin الروسية مسؤوليتها عن اختراق شركة Sysco، أكبر موزع أغذية في العالم بإيرادات تتجاوز 81 مليار دولار و75 ألف موظف، ونشرت عينات من بيانات مسروقة تشمل فواتير عملاء وقوائم تسعير ووثائق ضريبية، مع تحديد 12 مايو 2026 موعداً نهائياً لتسريب كامل البيانات. هذا الهجوم يكشف ثغرة جوهرية يتجاهلها كثير من مسؤولي الأمن: مخاطر سلاسل الإمداد والأطراف الثالثة.

Qilin: من مجموعة ناشئة إلى أخطر عصابات الفدية في 2026

رُصدت مجموعة Qilin لأول مرة عام 2022 تحت اسم Agenda، لكنها تحولت خلال 2025 إلى أنشط مجموعة فدية عالمياً بأكثر من 1,000 ضحية معلنة. ومع مطلع 2026 أضافت أكثر من 200 ضحية إضافية خلال الشهرين الأولين فقط. تعتمد المجموعة على نموذج Ransomware-as-a-Service (RaaS) وتستهدف قطاعات حيوية تشمل الرعاية الصحية والتعليم والخدمات المالية والبنية التحتية الحرجة. ما يميز Qilin تقنياً هو استخدامها لغتي Rust وGo في بناء حمولاتها الخبيثة، مما يصعّب التحليل العكسي ويمنحها قدرة على استهداف أنظمة Linux وWindows وVMware ESXi في آنٍ واحد.

تفاصيل هجوم Sysco: ماذا حدث؟

في 6 مايو 2026 نشرت Qilin اسم Sysco على موقعها في الشبكة المظلمة مع ثلاث عينات كدليل اختراق: قائمة تسعير منتجات غذائية بالدولار تعود لعامي 2021-2022، وفاتورة عميل لمطعم في مينيسوتا مؤرخة في فبراير 2026، وشهادة إعفاء ضريبي لمورد محلي. رغم أن المجموعة لم تكشف حجم البيانات المسروقة تحديداً، إلا أن طبيعة العينات تشير إلى وصول عميق لأنظمة ERP والفوترة. الجدير بالذكر أن Sysco ليست الضحية الوحيدة هذا الشهر — فقد استهدفت Qilin أيضاً شركة Cushman & Wakefield العقارية العملاقة في هجوم منفصل بالتوازي مع مجموعة ShinyHunters.

لماذا يهم هذا الهجوم المؤسسات المالية السعودية؟

قد يبدو هجوم على موزع أغذية بعيداً عن القطاع المالي، لكن الحقيقة أن البنوك السعودية تعتمد على عشرات الموردين الخارجيين في عملياتها اليومية: مزودو خدمات تقنية المعلومات، شركات الحوسبة السحابية، مقدمو خدمات الطباعة والأرشفة، شركات التوصيل والخدمات اللوجستية، ومزودو أنظمة الدفع. اختراق أي حلقة في هذه السلسلة قد يعرّض بيانات العملاء المصرفيين للخطر. إطار SAMA CSCC يتناول هذا الخطر تحديداً في نطاق Third-Party Cybersecurity (القسم 3.3)، الذي يُلزم المؤسسات المالية بتقييم الوضع الأمني لجميع مورديها وإدراج متطلبات الأمن السيبراني في العقود. كما أن ضوابط NCA ECC في المجال الفرعي 2-12 تشترط إدارة مخاطر سلاسل الإمداد الرقمية بشكل منهجي.

أساليب Qilin التكتيكية: ما يجب أن يعرفه فريق SOC

تتبع Qilin سلسلة هجوم متقدمة تبدأ عادةً بالتصيد الاحتيالي المستهدف (spear-phishing) أو استغلال بيانات اعتماد مسروقة من أسواق الشبكة المظلمة. بعد الوصول الأولي، تستخدم أدوات مشروعة مثل Cobalt Strike وMimikatz للتحرك الأفقي داخل الشبكة وجمع بيانات الاعتماد. قبل تشفير الملفات، تسرق المجموعة كميات كبيرة من البيانات الحساسة لاستخدامها في الابتزاز المزدوج (double extortion). تستهدف بشكل خاص خوادم VMware ESXi لتعطيل البنية الافتراضية بالكامل، وتحذف النسخ الاحتياطية Shadow Copies لمنع الاسترداد. مؤشرات الاختراق (IoCs) تشمل اتصالات C2 عبر بروتوكول HTTPS على منافذ غير معيارية، واستخدام أدوات RMM مثل AnyDesk وScreenConnect للحفاظ على الوصول المستمر.

التوصيات والخطوات العملية

1. تقييم مخاطر الأطراف الثالثة: أجرِ تقييماً شاملاً لجميع الموردين والشركاء الخارجيين وفق متطلبات SAMA CSCC القسم 3.3، مع تصنيفهم حسب مستوى الوصول إلى بياناتك وأنظمتك الحساسة. اشترط حصول الموردين الحرجين على شهادة ISO 27001 أو ما يعادلها.
2. تعزيز الحماية من برامج الفدية: فعّل سياسات Application Whitelisting على الخوادم الحرجة، وتأكد من عزل النسخ الاحتياطية عبر قاعدة 3-2-1 (ثلاث نسخ، وسيطان مختلفان، نسخة واحدة خارج الموقع) مع اختبار الاستعادة شهرياً.
3. مراقبة أدوات الإدارة عن بُعد: راقب استخدام أدوات RMM مثل AnyDesk وScreenConnect وTeamViewer في بيئتك. أي استخدام غير مصرّح به لهذه الأدوات قد يشير إلى اختراق نشط. أنشئ قواعد كشف في SIEM لرصد تثبيت أو تشغيل هذه الأدوات خارج السياسة المعتمدة.
4. تقسيم الشبكة (Network Segmentation): اعزل أنظمة ERP والفوترة وقواعد بيانات العملاء في شرائح شبكية منفصلة مع ضوابط وصول صارمة. هجوم Sysco أظهر كيف يمكن للمهاجمين الوصول إلى بيانات الفوترة والتسعير عبر حركة أفقية غير مقيّدة.
5. خطة استجابة لحوادث الفدية: طوّر خطة استجابة محددة لهجمات الفدية تتضمن سيناريوهات الابتزاز المزدوج، وحدد مسبقاً موقف مؤسستك من دفع الفدية بالتنسيق مع الإدارة القانونية ومتطلبات SAMA للإبلاغ عن الحوادث خلال 72 ساعة.

الخلاصة

هجوم Qilin على Sysco ليس مجرد خبر عابر — إنه تذكير بأن سلاسل الإمداد الرقمية أصبحت الحلقة الأضعف في منظومة الأمن السيبراني. المؤسسات المالية السعودية التي تكتفي بتأمين بنيتها الداخلية دون تقييم مورديها تترك باباً خلفياً مفتوحاً أمام مجموعات مثل Qilin. مع تجاوز هذه المجموعة 1,200 ضحية وتصاعد استهدافها للقطاعات الحيوية، لم يعد تأجيل برنامج إدارة مخاطر الأطراف الثالثة خياراً مقبولاً.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC وبناء برنامج متكامل لإدارة مخاطر الأطراف الثالثة.