اختراق Trellix: مجموعة RansomHouse تسرق الكود المصدري لشركة أمن سيبراني عملاقة

في مايو 2026، أكدت شركة Trellix — إحدى أكبر شركات الأمن السيبراني عالمياً والمولودة من اندماج McAfee Enterprise وFireEye — تعرّض مستودع الكود المصدري الخاص بها لاختراق غير مصرّح به. مجموعة RansomHouse تبنّت العملية ونشرت لقطات شاشة تُظهر وصولاً كاملاً لنظام إدارة الأجهزة. حين يُخترق من يحميك، فإن قواعد اللعبة تتغيّر بالكامل.

تفاصيل اختراق Trellix: ماذا حدث بالضبط؟

كشفت Trellix في بيان رسمي بتاريخ 1 مايو 2026 أنها اكتشفت وصولاً غير مصرّح به إلى "جزء" من مستودع الكود المصدري الخاص بها. الشركة استعانت فوراً بخبراء تحقيقات جنائية رقمية وأبلغت الجهات القانونية المختصة. بعد أسبوع واحد، في 7 مايو، أعلنت مجموعة RansomHouse مسؤوليتها عن الاختراق عبر موقعها لتسريب البيانات، مرفقةً لقطات شاشة تُثبت وصولها إلى أنظمة إدارة أجهزة الحماية الخاصة بالشركة. Trellix لم تكشف عن المدة التي قضاها المهاجمون داخل أنظمتها، ولم تحدد النطاق الكامل للبيانات المسروقة، لكنها أكدت أنه لا توجد مؤشرات على استغلال الكود المصدري حتى الآن.

لماذا يُعدّ اختراق الكود المصدري لمنتج حماية كارثياً؟

الكود المصدري لمنتج أمن سيبراني ليس مجرد سطور برمجية — إنه خارطة كاملة لآليات الكشف والاستجابة. المهاجم الذي يمتلك هذا الكود يستطيع تحديد مواقع أدوات الرقابة الأمنية بدقة، وفهم كيف تعمل محركات الكشف عن التهديدات، واكتشاف ثغرات لم تُكتشف بعد في المنتج نفسه. هذا يعني أن كل مؤسسة تعتمد على منتجات Trellix قد تكون عرضة لهجمات مصمّمة خصيصاً لتجاوز دفاعاتها. سيناريو مشابه حدث مع اختراق SolarWinds في 2020 واختراق Codecov في 2021، حيث تحوّل المورد الأمني من درع حماية إلى نقطة دخول.

مجموعة RansomHouse: من يقف وراء الهجوم؟

RansomHouse ليست مجموعة فدية تقليدية. ظهرت في 2022 وتصف نفسها بأنها "وسيط اختبار اختراق احترافي" — تخترق الأنظمة وتبتز الضحايا بنشر بياناتهم، لكنها لا تشفّر الملفات كمجموعات الفدية المعتادة. استهدفت سابقاً مؤسسات كبرى مثل AMD وKeralty الكولومبية للرعاية الصحية. استهدافها لشركة أمن سيبراني بحجم Trellix يُشير إلى تصعيد واضح في طموحات المجموعة وقدراتها التقنية، ويُرسل رسالة مقلقة مفادها أن لا أحد — حتى شركات الحماية ذاتها — بمنأى عن الاختراق.

التأثير على المؤسسات المالية السعودية

تنتشر منتجات Trellix (المعروفة سابقاً بـ McAfee Enterprise) في كثير من البنوك وشركات التأمين وشركات التقنية المالية في المملكة العربية السعودية. إطار SAMA CSCC يُلزم المؤسسات المالية بتطبيق ضوابط صارمة لإدارة مخاطر الأطراف الثالثة (Third-Party Risk Management)، وتحديداً في المجال 3.3.3 المتعلق بأمن سلسلة التوريد التقنية. كذلك يشترط إطار NCA ECC في الضابط 2-6-1 تقييم المخاطر الأمنية للموردين بشكل دوري. هذا الاختراق يطرح أسئلة جوهرية: هل تملك مؤسستك خطة استجابة لحالة اختراق مورّد أمني أساسي؟ هل لديك رؤية واضحة لجميع المكونات البرمجية في بيئتك التقنية؟ هل تراقب تحديثات الموردين بحثاً عن مؤشرات اختراق محتملة؟

التوصيات والخطوات العملية

1. تقييم فوري للتعرّض: حدد جميع منتجات Trellix المنشورة في بيئتك — بما في ذلك Trellix ePO وEndpoint Security وNetwork Security Manager — وتأكد من تطبيق أحدث التحديثات الأمنية فور صدورها.
2. تفعيل مراقبة سلوكية مستقلة: لا تعتمد على طبقة حماية واحدة. شغّل أدوات EDR/XDR من مورّد مختلف بالتوازي لكشف أي سلوك مشبوه قد يتجاوز دفاعات Trellix المحتمل تسوّيتها.
3. مراجعة SBOM لسلسلة التوريد: أنشئ قائمة مواد برمجية (Software Bill of Materials) شاملة لكل مكوّنات Trellix في بنيتك التحتية، وقارنها بمؤشرات الاختراق IOCs عند نشرها.
4. تحديث خطة الاستجابة للحوادث: أضف سيناريو "اختراق المورد الأمني" إلى خطة الاستجابة للحوادث الخاصة بمؤسستك، مع تحديد إجراءات العزل والتبديل السريع.
5. تعزيز ضوابط الوصول المميز: راجع صلاحيات حسابات الخدمة المرتبطة بمنتجات Trellix وطبّق مبدأ الحد الأدنى من الصلاحيات (Least Privilege) وفق متطلبات SAMA CSCC 3.3.7.
6. إبلاغ الجهات التنظيمية: إذا كانت مؤسستك تعتمد بشكل جوهري على منتجات Trellix، فأبلغ فريق حوكمة المخاطر وقدّم تقرير تقييم أثر للجنة المخاطر وفق متطلبات الإفصاح في SAMA CSCC.

الخلاصة

اختراق Trellix ليس مجرد خبر أمني عابر — إنه تذكير صارخ بأن الاعتماد الأعمى على مورّد واحد للحماية السيبرانية يمثّل خطراً استراتيجياً. المؤسسات المالية السعودية التي تتبع نهج "الدفاع العميق" (Defense in Depth) وتطبّق ضوابط SAMA CSCC لإدارة مخاطر الأطراف الثالثة هي الأقدر على امتصاص صدمات كهذه. الدرس الأهم: حارسك الأمني قد يُخترق، فتأكد أن لديك أكثر من حارس.

هل مؤسستك مستعدة لسيناريو اختراق مورّد أمني؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وإدارة مخاطر سلسلة التوريد وفق SAMA CSCC.