Microsoft nuk arriti të zbulojë përdorimin e inxhinierëve kinezë në sistemet e Pentagonit
Microsoft ka përmbysur një politikë dhjetëvjeçare të përdorimit të inxhinierëve me bazë në Kinë për sistemet e ndjeshme të cloud-it të Pentagonit, pasi kjo praktikë u zbulua, por raportet e reja tregojnë se kompania nuk arriti t’ua zbulojë zyrtarëve amerikanë fushëveprimin e plotë të këtij marrëveshjeje me rrezik të lartë.
Ndryshimi i politikave të gjigantit të teknologjisë në korrik 2025 ndodhi vetëm pasi një hetim zbuloi një zgjidhje alternative për kursimin e kostove që krijoi një dobësi të madhe të sigurisë kombëtare në zemër të Departamentit të Mbrojtjes të SHBA-së (DoD), sipas një hetimi të ProPublica. Polemika është përshkallëzuar që atëherë, duke e lidhur praktikën me një sulm të madh hakerimi softuerësh.
Polemika u thellua me zbulimin se planet zyrtare të sigurisë të Microsoft i fshehën në mënyrë aktive këto detaje thelbësore nga qeveria. Një “Plan i Sigurisë së Sistemit” i shkurtit 2025 i paraqitur Pentagonit përshkruante një politikë të paqartë “Qasjeje të Shoqëruar” për “personelin e pa kontrolluar”, sipas një kopjeje të planit të siguruar nga ProPublica.
Çështja kryesore është se dokumenti nuk përmendte asnjë fakt që këta personel ishin shtetas të huaj, konkretisht inxhinierë me bazë në Kinë – kundërshtari kryesor kibernetik i Shteteve të Bashkuara. Ky mosveprim i qëllimshëm dhe ky moszbulim i të dhënave ka të ngjarë të ketë kontribuar në pranimin nga qeveria të një praktike që ajo nuk e kuptonte plotësisht, siç tregojnë të dhënat.
Mungesa e transparencës ndihmon në shpjegimin pse zyrtarët e lartë të Pentagonit dukeshin të habitur. Ish-zyrtari kryesor i informacionit i Departamentit të Mbrojtjes, John Sherman, i cili tha se më parë nuk ishte në dijeni të programit, pranoi: “Ndoshta duhet ta kisha ditur për këtë”. Reagimi i tij u pasqyrua nga zyrtarë të tjerë të cilët u tronditën nga dobësia e dukshme.
Më vonë, Sherman arriti në përfundimin se problemi ishte një “rast i mosbërjes së pyetjes së përsosur ndaj shitësit, me çdo kusht të ndaluar të imagjinueshëm të shpjeguar”. Ai shtoi se një pyetje e tillë “do ta kishte zhdukur këtë praktikë të çmendur të ‘eskortave dixhitale’” dhe se “kompania duhet të pranojë se kjo ishte e gabuar dhe të zotohet të mos bëjë gjëra që nuk e kalojnë testin e logjikës së shëndoshë”.
Dështimi i mbikëqyrjes duket se ka qenë sistematik dhe i thellë. Agjencia e Sistemeve të Informacionit të Mbrojtjes (DISA), agjencia e IT-së e Departamentit të Mbrojtjes, shqyrtoi dhe pranoi planin e sigurisë së Microsoft. Një zëdhënës i DISA-s i tha fillimisht ProPublica-s se “fjalë për fjalë askush nuk duket se di asgjë për këtë”, duke theksuar se sa thellë ishte varrosur kjo praktikë.
Kjo situatë nxjerr në pah gjithashtu konfliktet e mundshme të interesit në vetë procesin FedRAMP. Si FedRAMP ashtu edhe Departamenti i Mbrojtjes mbështeten në “organizata vlerësimi të palëve të treta” për të verifikuar shitësit. Megjithatë, këta auditorë të pavarur punësohen dhe paguhen direkt nga kompania që po vlerësohet. Microsoft, për shembull, punësoi një kompani të quajtur Kratos për të menaxhuar vlerësimet e saj.
Kritikët, përfshirë një ish-zyrtar të Administratës së Shërbimeve të Përgjithshme, argumentojnë se kjo marrëveshje paraqet një konflikt të natyrshëm, duke e krahasuar atë me një restorant që paguan për inspektorin e vet shëndetësor. Një ish-punonjës i Microsoft-it i njohur me procesin e përshkroi atë si “udhëheqje të dëshmitarit”, duke deklaruar: “Ju po paguani për rezultatin që dëshironi”. Ky kombinim i zbulimit të paqartë dhe mbikëqyrjes së jashtme lejoi që praktika e rrezikshme të vazhdonte për vite me radhë.
Reagimi publik nga Uashingtoni ishte i menjëhershëm dhe i ashpër pas raportit fillestar të korrikut. Sekretari i Mbrojtjes i SHBA-së, Pete Hegseth, postoi në X se praktika ishte krejtësisht e papranueshme, duke deklaruar në një postim të qarkulluar gjerësisht se “inxhinierët e huaj – nga çdo vend, përfshirë sigurisht Kinën – NUK duhet të lejohen KURRË të mirëmbajnë ose të hyjnë në sistemet e Departamentit të Mbrojtjes”.
Ky qortim i qartë publik nga niveli më i lartë i Pentagonit nuk i la Microsoft-it asnjë hapësirë për të manovruar. Presioni u përforcua nga ligjvënësit, me senatorë si Tom Cotton që kritikuan rreziqet e zinxhirit të furnizimit dhe kërkuan veprime. Në një letër drejtuar Hegseth, Cotton deklaroi se ishte e qartë se Departamenti i Mbrojtjes dhe Kongresi do të duhej të ndërmerrnin veprime të mëtejshme kundër praktikave të tilla “të pamatura – dhe të egra”.
I përballur me një stuhi të zjarrtë politike, Microsoft ndërmori një ndryshim të menjëhershëm të politikës së saj njëdekadëshe. Më 18 korrik, vetëm disa ditë pasi u bë e ditur lajmi, Drejtori i Komunikimit Frank X. Shaw njoftoi ndryshimin. Në një postim në X, Shaw konfirmoi: “Microsoft ka bërë ndryshime në mbështetjen tonë për klientët e Qeverisë Amerikane për t’u siguruar që asnjë ekip inxhinierik me bazë në Kinë nuk po ofron asistencë teknike për cloud-in e Qeverisë së Departamentit të Mbrojtjes dhe shërbimet e lidhura me të.”
Programi i “shoqërimit dixhital” nuk ishte një incident i izoluar për kompaninë. Ai iu shtua një modeli shqetësues të lëshimeve të sigurisë që kanë pllakosur Microsoft-in dhe kanë gërryer besimin në Uashington. Dënimi i shpejtë pasoi një raport të ashpër qeveritar mbi një sulm kibernetik në vitin 2023 nga aktorë të sponsorizuar nga shteti kinez që kompromentoi rreth 60,000 email-e të Departamentit të Shtetit.
Ai raport nga Bordi i Rishikimit të Sigurisë Kibernetike fajësoi një “kaskadë gabimesh të shmangshme” dhe një kulturë korporative që “e zhvlerësoi sigurinë”. Vetëm një muaj para se të dilte historia e shoqërimit, Presidenti i Microsoft, Brad Smith, dëshmoi para Kongresit, duke u përballur me pyetje të ashpra pikërisht për këto dështime. Zbulimi i fundit vetëm sa e amplifikoi presionin politik ekzistues, duke e detyruar kompaninë të vepronte.
Skandali mori një tjetër kthesë alarmante kur një raport i mëvonshëm i ProPublica në gusht zbuloi se përdorimi i inxhinierëve kinezë nuk ishte i kufizuar vetëm në infrastrukturën cloud . Një ekip me bazë në Kinë ishte gjithashtu përgjegjës drejtpërdrejt për mirëmbajtjen dhe rregullimin e defekteve në softuerin SharePoint të Microsoft-it, siç raportohet nga Winbuzzer.
Ky është i njëjti version “OnPrem” i softuerit të shënjestruar në fushatën e fundit të hakerimit “ToolShell” (CVE-2025-53770). Shfrytëzimi kompromentoi mbi 400 organizata, duke përfshirë pjesë të Departamentit të Sigurisë Kombëtare të SHBA-së. Në përgjigje, Microsoft e pranoi praktikën dhe deklaroi: “Puna tashmë është duke u zhvilluar për ta zhvendosur këtë punë në një vendndodhje tjetër”, duke pasqyruar reagimin e saj ndaj polemikave të Pentagonit për cloud-in.
Sulmi “ToolShell” ishte një “analizë e patch-it” e sofistikuar që vodhi çelësat kriptografikë të makinës së një serveri, duke siguruar akses të thellë dhe të vazhdueshëm. Firma e sigurisë kibernetike Eye Security, e cila e zbuloi e para fushatën, paralajmëroi se kjo e bëri të vështirë korrigjimin, duke vënë në dukje se “vetëm patch-i nuk e zgjidh problemin”. CISA e SHBA-së nënvizoi rrezikun, duke deklaruar se shfrytëzimi ofron “akses të paautorizuar në sisteme dhe u mundëson aktorëve keqdashës të qasen plotësisht në përmbajtjen e SharePoint”.
Origjina e shfrytëzimit është shumë e diskutueshme. Ekspertët e sigurisë besojnë se sulmuesit fituan një avantazh nga një rrjedhje informacioni nga brenda, jo vetëm nga një hakim i zgjuar. Provat tregojnë se shfrytëzimi filloi më 7 korrik, një ditë të plotë para se Microsoft të publikonte patch-in e saj zyrtar. Kjo i ka bërë studiuesit të spekulojnë se detajet u zbuluan nga Programi i Mbrojtjes Aktive (MAPP) i Microsoft-it, i cili u jep shitësve të sigurisë informacion mbi patch-in para-lëshues.
Dustin Childs i Iniciativës Zero Day të Trend Micro e quajti vijën kohore prova dënuese, duke argumentuar se “një rrjedhje ndodhi diku këtu. Dhe tani keni një shfrytëzim zero-day në gjendje të egër, dhe më keq se kaq, keni një shfrytëzim zero-day në gjendje të egër që anashkalon patch-in…” Spekulimet morën peshë të konsiderueshme kur Bloomberg raportoi se Microsoft tani po heton brenda kompanisë pikërisht këtë mundësi.
Microsoft dhe Mandiant i Google ia kanë atribuar sulmet fillestare grupeve të sponsorizuara nga shteti kinez , megjithëse fushata u përshkallëzua shpejt në krim financiar me vendosjen e ransomware-it Warlock. Qeveria kineze i ka mohuar me vendosmëri akuzat.
Zbulimi krijon një konflikt të hapur interesi, duke shkaktuar zemërim të mëtejshëm nga ekspertët e sigurisë. David Mihelcic, një ish-drejtor teknologjik në DISA, vlerësoi drejtpërdrejt rrezikun e programit themelor të eskortës: “Këtu keni një person të cilit nuk i besoni vërtet sepse ndoshta është në shërbimin e inteligjencës kineze, dhe personi tjetër nuk është vërtet i aftë.”
Harry Coker, një ish-ekzekutiv i lartë në CIA dhe NSA, e përsëriti shqetësimin, duke paralajmëruar: “Nëse do të isha një operativ, do ta shihja atë si një rrugë për akses jashtëzakonisht të vlefshëm. Duhet të jemi shumë të shqetësuar për këtë.” Episodi është një shembull shqetësues se si masat e kursimit të kostove të aplikuara në sistemet kritike për misionin mund të sjellin rrezik katastrofik.