أدى تحديث برنامج خاطئ صادر عن شركة الأمن العملاقة CrowdStrike إلى انقطاع كبير بين عشية وضحاها أثر على أجهزة الكمبيوتر التي تعمل بنظام Windows في جميع أنحاء العالم، مما أدى إلى تعطيل الشركات والمطارات ومحطات القطار والبنوك والمذيعين وقطاع الرعاية الصحية.
وقالت CrowdStrike إن انقطاع الخدمة لم يكن بسبب هجوم إلكتروني، ولكنه كان نتيجة “خلل” في تحديث برنامج منتجها الأمني الرائد، Falcon Sensor. تسبب الخلل في تعطل جميع أجهزة الكمبيوتر التي تعمل بنظام التشغيل Windows والتي تم تثبيت Falcon عليها دون التحميل الكامل.
وقال CrowdStrike في بيان يوم الجمعة: “تم تحديد المشكلة وعزلها ونشر الإصلاح”. بدأت بعض الشركات والمؤسسات في التعافي، لكن الكثيرين يتوقعون استمرار انقطاع التيار الكهربائي حتى نهاية الأسبوع أو الأسبوع المقبل نظرًا لتعقيد الإصلاح. صرح جورج كورتز، الرئيس التنفيذي لشركة CrowdStrike، لشبكة NBC News أن الأمر قد يستغرق “بعض الوقت لبعض الأنظمة التي لن تتعافى تلقائيًا”. وفي تغريدة لاحقة، اعتذر كورتز عن التعطيل.
إليك كل ما تحتاج لمعرفته حول الانقطاعات.
ماذا حدث؟
في وقت متأخر من الخميس إلى الجمعة، بدأت التقارير في الظهور عن مشاكل تكنولوجيا المعلومات حيث كانت أجهزة الكمبيوتر التي تعمل بنظام Windows عالقة مع “شاشة الموت الزرقاء” سيئة السمعة – وهي شاشة خطأ زرقاء ساطعة مع رسالة تظهر عندما يواجه Windows فشلًا فادحًا، أو يتعطل أو لا يمكن تحميله.
وتم ملاحظة الانقطاعات لأول مرة في أستراليا في وقت مبكر من يوم الجمعة، وسرعان ما وردت التقارير من بقية آسيا وأوروبا مع بدء المناطق يومها، وكذلك الولايات المتحدة.
في غضون فترة زمنية قصيرة، أكدت CrowdStrike أن تحديث برنامج Falcon قد تعطل وتسبب في تعطل أجهزة الكمبيوتر التي تعمل بنظام Windows والتي تم تثبيت البرنامج عليها. يتيح Falcon لـ CrowdStrike تحليل التهديدات والبرامج الضارة والتحقق منها عن بعد على أجهزة الكمبيوتر المثبتة.
في نفس الوقت تقريبًا، أبلغت Microsoft عن انقطاع كبير في إحدى مناطق سحابة Azure الأكثر استخدامًا والتي تغطي جزءًا كبيرًا من وسط الولايات المتحدة. صرح متحدث باسم Microsoft لـ TechCrunch أن انقطاع الخدمة لا علاقة له بحادثة CrowdStrike.
حوالي ظهر يوم الجمعة (بالتوقيت الشرقي)، نشر الرئيس التنفيذي لشركة Microsoft، ساتيا ناديلا، على موقع X قائلًا إن الشركة على علم بالتحديث الفاشل لـ CrowdStrike و”تعمل بشكل وثيق مع CrowdStrike وعبر الصناعة لتزويد العملاء بالتوجيه الفني والدعم لإعادة أنظمتهم إلى الإنترنت بأمان.” “.
ما هو CrowdStrike وماذا يفعل Falcon Sensor؟
تأسست شركة CrowdStrike في عام 2011، وسرعان ما تطورت لتصبح شركة عملاقة في مجال الأمن السيبراني. توفر الشركة اليوم برامج وخدمات لـ 29 ألف عميل من الشركات، بما في ذلك حوالي نصف شركات فورتشن 500، و43 من أصل 50 ولاية أمريكية وثماني من أكبر 10 شركات تكنولوجيا، وفقًا لموقعها على الإنترنت.
وتستخدم الشركات برنامج الأمن السيبراني الخاص بالشركة، Falcon، لإدارة الأمن على ملايين أجهزة الكمبيوتر حول العالم. وتشمل هذه الشركات الشركات الكبيرة والمستشفيات ومراكز النقل والدوائر الحكومية. معظم الأجهزة الاستهلاكية لا تعمل بنظام Falcon ولا تتأثر بهذا الانقطاع.
واحدة من أكبر ادعاءات الشركة الأخيرة بالشهرة كانت عندما ألقت القبض على مجموعة من قراصنة الحكومة الروسية وهم يقتحمون اللجنة الوطنية الديمقراطية قبل الانتخابات الرئاسية الأمريكية لعام 2016. تشتهر CrowdStrike أيضًا باستخدام أسماء لا تنسى ذات طابع حيواني لمجموعات القرصنة التي تتعقبها بناءً على جنسيتها، مثل: Fancy Bear، التي يُعتقد أنها جزء من مديرية المخابرات الرئيسية لهيئة الأركان العامة الروسية، أو GRU؛ Cozy Bear، يُعتقد أنه جزء من جهاز المخابرات الخارجية الروسي، أو SVR؛ الباندا القوطية، يُعتقد أنها مجموعة حكومية صينية؛ وCharming Kitten، التي يُعتقد أنها جماعة إيرانية مدعومة من الدولة. حتى أن الشركة تصنع شخصيات تمثيلية لتمثيل هذه المجموعات، والتي تبيعها على أنها غنيمة.
إن CrowdStrike كبير جدًا لدرجة أنه أحد رعاة فريق Mercedes F1، وقد قام هذا العام ببث إعلان Super Bowl – وهو الأول من نوعه لشركة أمن إلكتروني.
من هم الذين يؤثر عليهم الانقطاع؟
عمليًا، يتأثر أي شخص يتفاعل خلال حياته اليومية مع نظام كمبيوتر يقوم بتشغيل برنامج من CrowdStrike، حتى لو لم يكن الكمبيوتر ملكًا له.
تشمل هذه الأجهزة سجلات النقد في متاجر البقالة، ولوحات المغادرة في المطارات ومحطات القطار، وأجهزة الكمبيوتر المدرسية، وأجهزة الكمبيوتر المحمولة وأجهزة الكمبيوتر المكتبية الصادرة عن العمل، وأنظمة تسجيل الوصول في المطار، ومنصات التذاكر والجدولة الخاصة بشركات الطيران، وشبكات الرعاية الصحية وغيرها الكثير. نظرًا لأن برنامج CrowdStrike منتشر في كل مكان، فإن انقطاع الخدمة يسبب الفوضى في جميع أنحاء العالم بعدة طرق. قد يكون جهاز كمبيوتر واحد متأثر يعمل بنظام Windows ضمن أسطول من الأنظمة كافياً لتعطيل الشبكة.
ويشهد مراسلو TechCrunch حول العالم انقطاع الخدمة ويعانون منه، بما في ذلك في نقاط السفر ومكاتب الأطباء وعلى الإنترنت. وفي وقت مبكر من يوم الجمعة، قامت إدارة الطيران الفيدرالية بإيقاف الرحلات الأرضية، مما أدى فعليًا إلى إيقاف الرحلات الجوية عبر الولايات المتحدة، بسبب الاضطراب. يبدو حتى الآن أن شبكة السكك الحديدية الوطنية أمتراك تعمل كالمعتاد.
ماذا تفعل الحكومة الأمريكية حتى الآن؟
وبما أن المشكلة تنبع من شركة ما، فليس هناك الكثير الذي تستطيع الحكومة الفيدرالية الأمريكية أن تفعله. وفقًا لتقرير مجمع، تم إطلاع الرئيس بايدن على انقطاع خدمة CrowdStrike، و”فريقه على اتصال مع CrowdStrike والكيانات المتضررة”. ويرجع ذلك إلى حد كبير إلى أن الحكومة الفيدرالية هي أحد عملاء CrowdStrike وقد تأثرت أيضًا.
وتأثرت العديد من الوكالات الفيدرالية بالحادث، بما في ذلك وزارة التعليم وإدارة الضمان الاجتماعي، التي قالت يوم الجمعة إنها أغلقت مكاتبها نتيجة الانقطاع.
وقال تقرير المجمع إن فريق بايدن “منخرط عبر الوكالات المشتركة للحصول على تحديثات قطاعية على مدار اليوم وهو على أهبة الاستعداد لتقديم المساعدة حسب الحاجة”.
وفي تغريدة منفصلة، قالت وزارة الأمن الداخلي إنها تعمل مع وكالة الأمن السيبراني الأمريكية التابعة لها CISA وCrowdStirke وMicrosoft – بالإضافة إلى شركائها في البنية التحتية الفيدرالية والولائية والمحلية والحيوية – “لتقييم ومعالجة انقطاع النظام بشكل كامل”.
مما لا شك فيه أن CrowdStrike (وإلى حد ما مايكروسوفت، التي تسبب انقطاعها غير المرتبط بها في انقطاع الخدمة بين عشية وضحاها لعملائها) سوف يطرح أسئلة من الحكومة ومحققي الكونجرس.
في الوقت الحالي، سيكون التركيز الفوري على استعادة الأنظمة المتضررة.
كيف يقوم العملاء المتأثرون بإصلاح أجهزة الكمبيوتر الخاصة بهم التي تعمل بنظام Windows؟
المشكلة الرئيسية هنا هي أن برنامج CrowdStrike’s Falcon Sensor تعطل، مما تسبب في تعطل أجهزة Windows، ولا توجد طريقة سهلة لإصلاح ذلك.
حتى الآن، أصدرت CrowdStrike تصحيحًا، كما قامت بتفصيل حل بديل يمكن أن يساعد الأنظمة المتأثرة على العمل بشكل طبيعي حتى يكون لديها حل دائم. أحد الخيارات هو أن يقوم المستخدمون “بإعادة تشغيل ملف [affected computer] لإعطائها فرصة لتحميل ملف القناة المعادة”، في إشارة إلى الملف الثابت.
وفي رسالة إلى المستخدمين، قامت CrowdStrike بتفصيل بعض الخطوات التي يمكن للعملاء اتخاذها، والتي تتطلب إحداها الوصول الفعلي إلى النظام المتأثر لإزالة الملف المعيب. يقول CrowdStrike أنه يجب على المستخدمين تشغيل الكمبيوتر في الوضع الآمن أو بيئة استرداد Windows، والانتقال إلى دليل CrowdStrike، وحذف الملف الخاطئ “C-00000291*.sys”.
قد تكون المشكلة الأكبر المتمثلة في الاضطرار إلى إصلاح الملف يدويًا بمثابة صداع كبير للشركات والمؤسسات التي لديها أعداد كبيرة من أجهزة الكمبيوتر، أو الخوادم التي تعمل بنظام Windows في مراكز البيانات أو المواقع التي قد تكون في منطقة أخرى، أو بلد مختلف تمامًا.
تحذر CISA من أن الجهات الفاعلة الخبيثة “تستفيد” من انقطاع الخدمة
وفي بيان صدر يوم الجمعة، أرجعت CISA الانقطاعات إلى تحديث CrowdStrike الخاطئ وأن المشكلة لم تكن بسبب هجوم إلكتروني. وقالت CISA إنها “تعمل بشكل وثيق مع CrowdStrike والشركاء الفيدراليين والولائيين والمحليين والقبليين والإقليميين، بالإضافة إلى البنية التحتية الحيوية والشركاء الدوليين لتقييم التأثيرات ودعم جهود الإصلاح”.
ومع ذلك، أشارت CISA إلى أنها “لاحظت قيام جهات فاعلة بالتهديد باستغلال هذا الحادث للتصيد الاحتيالي والأنشطة الضارة الأخرى”. ولم تقدم وكالة الأمن السيبراني المزيد من التفاصيل، لكنها حذرت المنظمات من توخي الحذر.
يمكن للجهات الفاعلة الخبيثة أن تستغل الارتباك والفوضى لتنفيذ هجمات إلكترونية بنفسها. وقالت راشيل توباك، خبيرة الهندسة الاجتماعية ومؤسسة شركة الأمن السيبراني SocialProof Security، في سلسلة من المنشورات على X: “التحقق من هوية الأشخاص قبل اتخاذ إجراءات حساسة”.
قال توباك: “سيحاول المجرمون استخدام انقطاع تكنولوجيا المعلومات هذا للتظاهر بأنهم يمثلون تكنولوجيا المعلومات لك أو لك ولتكنولوجيا المعلومات لسرقة الوصول وكلمات المرور والرموز وما إلى ذلك”.
ماذا نعرف عن المعلومات الخاطئة حتى الآن؟
من السهل أن نفهم لماذا قد يعتقد البعض أن هذا الانقطاع كان هجومًا إلكترونيًا. انقطاعات مفاجئة، وشاشات زرقاء في المطارات، وأجهزة كمبيوتر مكتبية مليئة برسائل الخطأ، وفوضى وارتباك. كما قد تتوقع، هناك بالفعل قدر لا بأس به من المعلومات الخاطئة، حتى مع قيام مواقع التواصل الاجتماعي بوضع علامة غير صحيحة على موضوعات شائعة مثل “الهجوم السيبراني”.
تذكر أن تتحقق من المصادر الرسمية للأخبار والمعلومات، وإذا كان هناك شيء يبدو جيدًا لدرجة يصعب تصديقه، فقد يكون كذلك.
ستحافظ TechCrunch على تحديث هذا التقرير طوال اليوم.
ساهم رام آير من TechCrunch في إعداد التقارير.