تعتبر شركة DigiCert واحدة من أبرز الجهات الفاعلة في مجال أمن البنية التحتية الرقمية، وقد كشفت الشركة مؤخراً عن تعرضها لهجوم سيبراني معقد استهدف قناة الدعم الفني الخاصة بها.
تمكن المهاجم في هذه الحادثة من اختراق نظامين داخليين واستغلال أدوات تشغيلية مخصصة للعمل الداخلي، بهدف إصدار شهادات EV Code Signing بشكل غير مصرح به؛ وهي شهادات توقيع برمجي عالية الموثوقية تمنح البرامج هوية رقمية موثوقة أمام أنظمة التشغيل. وتكمن خطورة هذه الشهادات في قدرتها على منح البرمجيات صفة “الموثوقية”، وتجاوز آليات الحماية التقليدية التي تثق في التوقيعات الرقمية الصادرة عن جهات معتمدة.
ثغرة الدعم الفني وتقنيات الاختراق
بدأت خيوط الحادثة عندما تلقى موظف في فريق الدعم ملفاً مضغوطاً يُفترض أنه لقطة شاشة مرسلة من أحد العملاء، غير أن الملف تضمن امتداداً تنفيذياً بصيغة scr؛ وهو نوع من الملفات يستخدمه نظام Windows لتشغيل شاشات التوقف أو البرامج، ويمكن استغلاله لتنفيذ برمجيات ضارة.
أدى فتح هذا الملف إلى زرع حمولة خبيثة على جهاز الموظف، في عملية تندرج تحت مسمى الهندسة الاجتماعية التي تعتمد على التلاعب البشري للوصول إلى الأنظمة. استغل المهاجم لاحقاً وظيفة محددة داخل بوابة الدعم تتيح للمحللين عرض حسابات العملاء بوضعية المشاهدة فقط. ورغم أن هذه الخاصية تمنع تعديل البيانات أو إدارة المفاتيح، إلا أنها وفرت وصولاً إلى رموز تهيئة مرتبطة بطلبات شهادات معتمدة كانت قيد التسليم، وبدمج هذه الرموز مع الطلبات المعتمدة، نجح المهاجم في استخراج شهادات صالحة للاستخدام.
الاستجابة للحادثة وتقييم الأضرار
أكد الإفصاح الرسمي الصادر عن DigiCert في تاريخ 4 مايو 2026 إلغاء 60 شهادة توقيع برمجي، حيث ثبت ارتباط 27 شهادة منها بنشاط المهاجم مباشرة، بينما اتخذ قرار إلغاء الشهادات المتبقية كخطوة احترازية نظراً لتعذر التحقق من سلامة سيطرة العملاء عليها.
تمت عملية الإبطال الكاملة خلال 24 ساعة من تاريخ الاكتشاف، مع تجميد كافة الطلبات المعلقة لقطع الطريق أمام أي محاولات استغلال إضافية.
وقد كشفت التحقيقات أن احتواء النظام الأول تم في غضون يوم واحد، في حين استمر اختراق النظام الثاني لمدة ناهزت الأسبوعين دون رصد. وأرجعت الشركة ذلك إلى ضعف في إعدادات الحماية على الجهاز الأول، وتعطل مستشعر CrowdStrike على الجهاز الثاني، وهو نظام أمني متقدم لمراقبة التهديدات في الوقت الفعلي، ما منع الفريق الأمني من تلقي التنبيهات اللازمة في وقت مبكر.
تداعيات أمنية وتقاطعات تقنية
ربط خبراء الأمن السيبراني بعض الشهادات المستغلة ببرمجية Zhong Stealer، وهي برمجية خبيثة متخصصة في سرقة البيانات الحساسة والأصول الرقمية والعملات المشفرة، وتستفيد هذه البرمجية من التوقيع الرقمي الشرعي للظهور كتطبيق آمن أمام أنظمة الحماية.
تزامن هذا الاختراق مع مشكلة تقنية أخرى تمثلت في رصد خاطئ من برنامج Microsoft Defender لشهادات DigiCert الجذرية، وهي الشهادات الأساسية التي تُبنى عليها سلسلة الثقة الرقمية، وقد عالجت Microsoft هذا الخلل عبر تحديثات أمنية لاحقة.
