كشفت هجمة معقدة على سلسلة التوريد استُخدمت فيها عملية استغلال ثغرة أمنية في تحديثات برنامج TrueConf، حيث تم نشر إطار عمل Havoc لأغراض التجسس والتخفي. وقد قامت شركة Check Point للأبحاث الأمنية بتفصيل نتائجها حول العملية التي أطلقت عليها اسم “Operation TrueChaos”، والتي تعتمد على ثغرة أمنية من نوع zero-day في منصة TrueConf، وهو نظام مؤتمرات فيديو وتعاون يُستخدم عادة في المؤسسات الكبرى، سواء عبر السحابة أو على خوادم داخلية خاصة بالشركات.
نطاق الهجوم وأهميته
يُعد TrueConf من الأدوات المفضلة لدى الحكومات والمؤسسات الدفاعية والشركات الكبيرة التي تتطلب مستوى عاليًا من السيطرة على البيانات والخصوصية. ويتميز بنظامه الذاتي المضيف، الذي يضمن بقاء جميع الاتصالات داخل الشبكة الخاصة، مع تقنية فيديو مرنة تتكيف مع كل جهاز ونطاق تردده. لكن، كانت هذه الميزة في الواقع نقطة ضعف استُغلِت في الهجوم الأخير.
كيف تم تنفيذ الهجمة؟
عندما يُشغل المستخدم تطبيق TrueConf، يتصل بالخادم المحلي ويفحص وجود تحديثات جديدة. إذا اكتشف أن إصدار البرنامج على الجهاز يختلف عن الإصدار على الخادم، يبدأ عملية التحديث تلقائيًا. المشكلة تكمن في أن عملية التحديث كانت تجرى بدون فحوصات كافية، مما سمح للمهاجمين بإدخال تعليمات برمجية خبيثة عبر عملية التحديث الشرعية.
تم توثيق هذه الثغرة تحت رقم CVE-2026-3502، وحصلت على تقييم خطورة عالي بمعدل 7.8 من 10. “إذا تم تنفيذ أو تثبيت البرمجية الخبيثة عبر التحديث، فقد يؤدي ذلك إلى تنفيذ تعليمات برمجية عشوائية في سياق عملية التحديث أو المستخدم”، وفقًا لمصدر NVD.
استخدام إطار عمل Havoc
لم يُكشف عن كيفية اختراق الخادم المحلي بالتحديد، حيث لم يتطرق تقرير Check Point لهذه النقطة بشكل دقيق، إلا أن المهاجمين استغلوا الوصول لنشر إطار عمل Havoc، وهو إطار مفتوح المصدر يُستخدم بعد استغلال النظام، ويُتيح قدرات متقدمة للتحكم والتنصت، مع ميزات مثل التنفيذ في الذاكرة، والتواصل المشفر، وتقنيات التملص من الكشف.
شبهة التجسس والتورط الصيني
نظرًا لنوعية البرمجيات المستخدمة وأسلوب الهجمات، خلُصت شركة Check Point إلى أن هذا الهجوم يُعد حملة تجسس، معتمدين على أنشطة المهاجمين التي تركزت بشكل خاص على المؤسسات الحكومية في جنوب آسيا. وأكدت أن جميع الأدلة تشير إلى وجود جهة مرتبطة بالصين، على الرغم من عدم الإعلان عن أسماء محددة.
التصحيح والتحديث
أطلقت شركة TrueConf تحديثًا لمعالجة الثغرة، وأوصت جميع المستخدمين الذين يستخدمون الإصدار 8.5.2 أو الأقدم بالترقية إلى الإصدار 8.5.3، الذي صدر في مارس 2026، لضمان حماية أنظمتهم من هذا الهجوم.
ختام
هذه الحادثة تبرز مدى تعقيد هجمات سلسلة التوريد، والأهمية الكبيرة لتأمين عمليات التحديث والتصدي لمحاولات استغلال الثغرات. ويؤكد الخبراء على ضرورة البقاء على اطلاع دائم بالتحديثات الأمنية وتطبيقها بسرعة لحماية البيانات والبنى التحتية الحيوية.