مايكروسوفت توقف خدمة توقيع البرمجيات الخبيثة وراء هجمات الفدية

أعلنت شركة مايكروسوفت عن نجاح عملية أمنية واسعة لتعطيل خدمة خبيثة عُرفت باسم Malware-Signing-as-a-Service (MSaaS)، والتي استغلّت نظام توقيع الشيفرات الخاص بالشركة المعروف بـ Artifact Signing لتوزيع برمجيات خبيثة وتنفيذ هجمات فدية على آلاف الأجهزة والشبكات حول العالم. العملية التي حملت الاسم الرمزي OpFauxSign استهدفت مجموعة تهديد تُعرف باسم Fox Tempest، والتي وفّرت هذه الخدمة لمجرمي الإنترنت مقابل مبالغ مالية تراوحت بين 5 آلاف و9 آلاف دولار.

كيف عملت خدمة Fox Tempest؟

اعتمدت المجموعة على آلية توقيع الشيفرات في مايكروسوفت، والتي صُممت أساساً لضمان شرعية التطبيقات وحمايتها من التلاعب. لكن المهاجمين تمكنوا من الحصول على شهادات توقيع رقمية قصيرة الأجل (صالحة لـ72 ساعة فقط) عبر هويات مسروقة من الولايات المتحدة وكندا، ليستخدموها في توقيع برمجيات خبيثة تبدو وكأنها تطبيقات مشروعة مثل AnyDesk وMicrosoft Teams وPuTTY وCisco Webex.
هذا الأسلوب سمح للبرمجيات الخبيثة بالمرور عبر أنظمة الحماية دون إثارة الشكوك، ما جعلها أداة مثالية لنشر برمجيات الفدية مثل Rhysida، إضافة إلى عائلات أخرى مثل Oyster وLumma Stealer وVidar.

البنية التحتية والانتشار العالمي

كجزء من العملية، استولت مايكروسوفت على موقع المجموعة signspace[.]cloud، وأوقفت مئات الأجهزة الافتراضية التي كانت تدير الخدمة، كما منعت الوصول إلى الموقع الذي استضاف الشيفرة الأساسية.
ابتداءً من فبراير 2026، انتقلت Fox Tempest إلى نموذج جديد يقوم على توفير أجهزة افتراضية مُهيأة مسبقاً عبر مزود خدمة يُدعى Cloudzy، بحيث يتمكن العملاء من رفع الملفات مباشرة إلى البنية التحتية التابعة للمجموعة والحصول على نسخ موقعة جاهزة للتوزيع. هذا التطور قلّل من الاحتكاك مع العملاء، ورفع مستوى التخفي، وسهّل نشر البرمجيات الخبيثة على نطاق واسع.

ارتباطات مع مجموعات فدية بارزة

كشفت التحقيقات عن صلات بين Fox Tempest ومجموعات مرتبطة بسلالات فدية شهيرة مثل INC وQilin وBlackByte وAkira، والتي استهدفت قطاعات حيوية في الولايات المتحدة وفرنسا والهند والصين، بما في ذلك الرعاية الصحية والتعليم والقطاع الحكومي والمالي.
كما استخدم بعض المهاجمين إعلانات مدفوعة بشكل مشروع لإعادة توجيه المستخدمين الباحثين عن تطبيقات مثل Microsoft Teams إلى صفحات تنزيل مزيفة، حيث يتم توزيع البرمجيات الموقعة عبر الخدمة، ما يفتح الباب أمام نشر برمجيات الفدية بشكل متقن وخفي.

أهمية العملية في مواجهة الجريمة الإلكترونية

أكدت مايكروسوفت أن تعطيل هذه الخدمة يمثل خطوة حاسمة في رفع تكلفة الجريمة الإلكترونية، إذ أن قدرة المهاجمين على جعل البرمجيات الخبيثة تبدو شرعية تقوّض الثقة في أنظمة التحقق الأمني.
العملية اعتمدت على تعاون وثيق مع مصادر داخلية، حيث قامت الشركة بشراء الخدمة واختبارها بين فبراير ومارس 2026، ما أتاح لها جمع الأدلة اللازمة لإغلاق البنية التحتية المرتبطة بها.
هذا الإنجاز يعكس التحدي المستمر الذي تواجهه شركات التقنية الكبرى في ملاحقة المهاجمين الذين يبتكرون باستمرار طرقاً جديدة للتحايل على أنظمة الحماية، ويؤكد أن الحرب ضد برمجيات الفدية باتت معركة طويلة الأمد تتطلب تنسيقاً دولياً وجهوداً متواصلة.