ثغرات نظام كاميرات "Dahua" تسهل استهداف حزب الله

شركة Zhejiang Dahua Technology Co., Ltd، المعروفة اختصارًا بـ Dahua، هي شركة صينية متخصصة في إنتاج أنظمة المراقبة بالفيديو والحلول الأمنية الذكية. تأسست في عام 2001 ويقع مقرها الرئيسي في هانغتشو، الصين.

تُعد Dahua واحدة من أكبر الشركات عالميًا في هذا القطاع، حيث تحتل المرتبة الثانية بعد Hikvision من حيث الإيرادات في سوق أنظمة المراقبة.

تقدم الشركة مجموعة واسعة من المنتجات، تشمل:

كاميرات مراقبة IP وHDCVI

مسجلات فيديو رقمية (DVR/NVR)

أنظمة إنذار وتحكم بالدخول

حلول المدن الذكية والمراقبة الذكية

أنظمة مؤتمرات مرئية وتقنيات الذكاء الاصطناعي

تمتلك Dahua شبكة توزيع واسعة تشمل أكثر من 180 دولة، وتشارك في مشاريع ضخمة على مستوى العالم، مثل تأمين دورات الألعاب الأولمبية والآسيوية، والمطارات، والمؤسسات الحكومية والخاصة.

رغم شهرتها وانتشارها الواسع، واجهت Dahua عدة ثغرات أمنية خطيرة أثارت قلقًا عالميًا حول سلامة بيانات المستخدمين وأمن الشبكات التي تُستخدم فيها. من أبرز هذه الثغرات:

هجوم Mirai – 2016: استُخدمت العديد من كاميرات Dahua في شبكة botnet تُعرف باسم Mirai لتنفيذ هجمات تعطيل الخدمة (DDoS) واسعة النطاق. كان السبب ضعفًا في الحماية، مثل استخدام كلمات مرور افتراضية ونقص التحديثات الأمنية.

باب خلفي (Backdoor) – 2017: اكتشف باحثون وجود ثغرة برمجية تتيح الدخول إلى أجهزة Dahua دون الحاجة إلى كلمة مرور.

سمحت هذه الثغرة لجهات غير مصرح بها بالتحكم في الكاميرات ومراقبة المحتوى أو تعديله.

ثغرات تنفيذ الأوامر عن بُعد (RCE) – 2021: تم تسجيل ثغرات أمنية، مثل CVE-2021-33044، تتيح تنفيذ أوامر عن بُعد دون مصادقة، مما يعرض الأجهزة والشبكات للخطر الكامل.

كشفت هذه الثغرات عن ضعف في التشفير وإدارة الجلسات في بعض واجهات إدارة الكاميرات.

نقص التشفير في أنظمة HDCVI: تعتمد هذه الأنظمة على إرسال الفيديو عالي الدقة عبر كابلات تقليدية (coaxial)، لكنها تعاني من ضعف التشفير، مما يُسهّل التنصت على البث أو التلاعب به.

نتيجة لهذه الثغرات، بالإضافة إلى اتهامات بمشاركة الشركة في أنشطة مراقبة جماعية وانتهاكات لحقوق الإنسان، قامت عدة دول بحظر أو تقييد استخدام منتجات Dahua، خصوصًا في المؤسسات الحكومية والحساسة، من بين هذه الدول:

الولايات المتحدة: في تشرين الأول 2019، أدرجت وزارة التجارة الأميركية Dahua ضمن "قائمة الكيانات المحظورة" بسبب مشاركتها في برامج المراقبة في إقليم شينجيانغ، المرتبطة بانتهاكات لحقوق أقلية الأويغور، كما وحظرت الحكومة الأميركية استخدام منتجاتها في المؤسسات الفيدرالية بموجب قانون الدفاع الوطني (NDAA).

المملكة المتحدة: حظرت الحكومة البريطانية في تشرين الثاني 2022 تركيب كاميرات Dahua في أي مؤسسة حكومية بسبب مخاوف تتعلق بالأمن القومي وحماية البيانات.

أستراليا: أزالت الحكومة الأسترالية أجهزة Dahua من المباني الحكومية بسبب مخاوف مشابهة.

كندا: أوصت الحكومة الكندية بعدم استخدام منتجات Dahua في المؤسسات الحكومية والأمنية، خاصة بعد مراجعات أمنية مستقلة.

في الحرب الأخيرة على لبنان، شهد حزب الله عدة خروقات أمنية غير مألوفة، بما في ذلك استهداف تحركات عناصره وتحديد أماكن صواريخه، وهو أمر لا يتماشى مع صورته كحزب يتمتع بالسرية والتكتم الأمني. هذه الخروقات التي استهدفت الحزب تُعزى إلى استغلال تقنيات متطورة قد تكون ساعدت العدو في جمع معلومات حساسة.

شركة Dahua، التي تُعدّ من أبرز الشركات في مجال أنظمة المراقبة، كانت قد زودت السوق اللبناني بنظام كاميرات مراقبة متطورة.

في الوقت الذي كان من المفترض أن تكون هذه الكاميرات أدوات للحماية، إلا أنها حملت في طياتها ثغرات أمنية كبيرة.

هذه الثغرات قد يكون استغلها العدو الإسرائيلي في جمع معلومات استخباراتية حيوية حول تحركات حزب الله، ما ساعد في استهداف عناصره وقيادييه وتحديد مواقع أسلحته.