Netcrook Logo
👤 CRYSTALPROXY
🗓️ 05 Jan 2026   🌍 Asia

كشف شبكة سلايفر الخفية: اختطاف أجهزة FortiWeb القديمة للتجسس السيبراني العالمي

العنوان الفرعي: يكشف المحققون حملةً متخفية تستغل أجهزة FortiWeb المُهمَلة لزرع أبواب خلفية Sliver C2 وإنشاء شبكة بروكسي عالمية.

عندما قاد فحصٌ روتيني لقواعد بيانات مكشوفة على الإنترنت المفتوح إلى كنزٍ من النشاطات المشبوهة، أدرك محققو الأمن السيبراني أنهم عثروا على شيءٍ أكبر بكثير من اختراقٍ اعتيادي. عبر القارات، كانت أجهزة FortiWeb الضعيفة - المصممة لحماية المؤسسات من تهديدات الويب - تُختطف بدلًا من ذلك لتصبح حرّاس بوابة صامتين لعملية سيبرانية متقدمة ومستمرة.

تشريح الاختراق

وفقًا لشركة استخبارات التهديدات Ctrlaltintel، بدأ مسار المهاجمين باستغلال أجهزة FortiWeb قديمة غير مُرقَّعة - أجهزة تأخرت عن التحديثات الحرجة وافتقرت إلى القدرة على اكتشاف التهديدات المتقدمة أو إحباطها. وبينما لا تزال الثغرة الدقيقة قيد التحقيق، تشير الدلائل إلى عيوب مثل React2Shell ‏(CVE-2025-55182)، التي تُمكّن من تنفيذ تعليمات برمجية عن بُعد عبر خدمات ويب مكشوفة.

وبمجرد الدخول، لم يضيع المهاجمون وقتًا. فقد نشروا مجموعة أدوات Sliver C2 - وهي منصة مفتوحة المصدر لما بعد الاستغلال - بعد تمويهها على أنها عملية تحديث للنظام (system-updater). أتاح ذلك للمهاجمين الحفاظ على باب خلفي خفي ودائم، جاهز لتلقي الأوامر من خوادمهم البعيدة.

مراكز قيادة متنكرة

كان عقل العملية خادمين للتحكم، جرى إخفاؤهما بذكاء خلف مواقع مزيفة: أحدهما يدّعي أنه مستودع حزم Ubuntu؛ والآخر بوابة توظيف للقوات الجوية البنغلاديشية. لم تكن هذه الطعوم الرقمية عشوائية. فقد كان عدد من الضحايا في بنغلاديش، ما يشير إلى استراتيجية استهداف متعمدة بدل نهج عشوائي واسع.

الاستمرارية والبروكسي: البقاء مخفيًا والانتشار على نطاق واسع

ضُمِنت الاستمرارية عبر خدمات بدء تشغيل خبيثة تعيد إطلاق مجموعة أدوات Sliver مع كل إعادة تشغيل أو تعطل، بما يتماشى مع كتيبات مجرمي الإنترنت المتقدمين. لكن العملية لم تتوقف عند الحفاظ على الوصول. فمن خلال نشر أدوات مثل Fast Reverse Proxy (FRP) وMicrosocks - بعد تمويهها كعمليات نظام شرعية - حوّل المهاجمون أجهزة FortiWeb المخترقة إلى نقاط ترحيل متخفية، ما أتاح لهم التحرك جانبيًا وتهريب البيانات دون اكتشاف.

الصورة الأكبر

هذه الحملة أكثر من مجرد قصة تحذيرية تقنية - إنها تذكير صارخ بالمخاطر التي تفرضها أجهزة الحافة المُهمَلة. فبدون تحديثات في الوقت المناسب ومراقبة مناسبة، يمكن حتى لأجهزة الأمن أن تصبح شركاء غير مقصودين في التجسس السيبراني العالمي. ومع تبنّي المهاجمين لأطر عمل مفتوحة المصدر وتنكرات مبتكرة، يجب على المدافعين مضاعفة اليقظة وإدارة التصحيحات ورؤية الشبكة لتجنب أن يصبحوا الضحية الصامتة التالية.

WIKICROOK

  • FortiWeb: FortiWeb هو جدار حماية لتطبيقات الويب يؤمّن خوادم الويب والتطبيقات من التهديدات السيبرانية، باستخدام الكشف المتقدم واستخبارات التهديدات.
  • Sliver C2: Sliver C2 هو إطار عمل مفتوح المصدر للتحكم والقيادة لإدارة الأجهزة المخترقة عن بُعد، ويُستخدم من قبل محترفي الأمن السيبراني والمهاجمين على حد سواء.
  • الاستمرارية: تتضمن الاستمرارية تقنيات تستخدمها البرمجيات الخبيثة للبقاء بعد إعادة التشغيل والاختباء على الأنظمة، غالبًا عبر محاكاة عمليات أو تحديثات شرعية.
  • Fast Reverse Proxy (FRP): FRP أداة تنشئ أنفاق شبكة خفية، ما يسمح للمستخدمين بتجاوز جدران الحماية والحفاظ على وصول عن بُعد إلى الأنظمة الداخلية.
  • وكيل SOCKS: يوجّه وكيل SOCKS حركة مرور الإنترنت عبر خادم آخر، مُخفيًا عنوان IP الخاص بك ومساعدًا على تجاوز القيود أو إخفاء النشاط عبر الإنترنت.
Cyber Espionage FortiWeb Sliver C2
CRYSTALPROXY CRYSTALPROXY
Secure Routing Analyst
← Back to news