أشباح في الموجّه: كيف تعيد شبكة بوتنت «ميراي» الحياة إلى أجهزة D-Link الميتة

متى لا يكون الجهاز الميت ميتًا حقًا؟ بالنسبة لمجرمي الإنترنت، الموجّهات المهجورة ليست سوى عمالقة نائمين - ينتظرون من يعيد إحياءهم ليصبحوا جيشًا من الزومبي الرقمي. وفي منعطف جديد يبعث على القشعريرة، وجّهت شبكة بوتنت «ميراي» سيئة الصيت أنظارها إلى موجّهات D-Link المتوقّف إنتاجها، مستغلةً ثغرة عمرها عام لتجنيد عتاد منسي ضمن صفوفها. والنتيجة؟ تهديد صامت واسع الانتشار قد يتربّص في غرف المعيشة والمكاتب الصغيرة في كل مكان.

حقائق سريعة

• تستغل شبكة بوتنت «ميراي» الثغرة CVE-2025-29635، وهي ثغرة حقن أوامر في موجّهات سلسلة D-Link DIR-823X.
• تم إيقاف هذه الموجّهات في عام 2023 ولم تعد تتلقى تحديثات أمنية.
• يستخدم المهاجمون طلبات POST مُصاغة بعناية لحقن شيفرة خبيثة، ما يتيح التحكم عن بُعد بالجهاز.
• نُشر نفس كود الاستغلال سابقًا كإثبات مفهوم على GitHub.
• تحث D-Link جميع المستخدمين على إحالة الموجّهات المتأثرة إلى التقاعد فورًا بسبب المخاطر المستمرة.

تشريح تهديد منسي

وفقًا لأبحاث من Akamai، تستهدف أحدث حملات شبكة بوتنت «ميراي» ثغرة محددة في موجّهات سلسلة D-Link DIR-823X - وهي طرازات أُحيلت رسميًا إلى التقاعد العام الماضي. الثغرة، المُسجّلة تحت CVE-2025-29635، تتيح للمهاجمين حقن أوامر عبر إرسال طلبات POST مُعدّة خصيصًا. وبعبارة أخرى، يفشل البرنامج الثابت للموجّه في التحقق من بعض المدخلات، ما يسمح بمرور أي شيء دون اكتشافه إلى مخزن الأوامر. وبمجرد الدخول، يمكن لشيفرة المهاجم الاستيلاء على التحكم بالجهاز.

ما يجعل هذه الحملة مقلقة على نحو خاص هو اعتمادها على أجهزة لم تعد مدعومة. ومع توقف تحديثات البرنامج الثابت من D-Link، لا يملك مالكو هذه الموجّهات أي وسيلة رسمية لترقيع الثغرة - ما يترك شبكاتهم مكشوفة. والأسوأ أن استغلال إثبات المفهوم كان متاحًا سابقًا على GitHub، مانحًا المهاجمين المحتملين مخططًا جاهزًا (حتى وإن كانت المشاركة الأصلية قد أزيلت لاحقًا).

حمولة «ميراي» الخبيثة كلاسيكية في نهجها: سكربت صدفة يقوم بتنزيل وتشغيل برمجية خبيثة تحمل سمات «ميراي» المعروفة - حمولات مُشفّرة بـ XOR، وأوامر تنفيذ مُضمّنة بشكل ثابت، وعناوين IP ثابتة لبرنامج التنزيل. وهذه ليست المرة الأولى التي يتربص فيها «ميراي» بفرائس إنترنت الأشياء؛ إذ تشير Akamai إلى أن جهات التهديد استهدفت أيضًا ثغرات في موجّهات TP-Link وZTE، ما يبرهن على شهية مستمرة للأجهزة غير المُرقّعة والمتصلة بالإنترنت.

إن انخفاض عتبة الدخول لعمليات شبكات البوتنت - بفضل إعادة تدوير الشيفرة المصدرية الأصلية لـ «ميراي» باستمرار - يعني أن حتى القراصنة الهواة يمكنهم المشاركة. والحوافز المالية واضحة: فمع عدد كافٍ من الأجهزة المخترقة، يستطيع المهاجمون شن هجمات DDoS واسعة النطاق أو تأجير «جيوش البوت» الخاصة بهم لأعلى مزايد.

دروس من المقبرة الرقمية

رسالة D-Link صريحة: إذا كنت لا تزال تستخدم هذه الموجّهات، فأنت تلعب بالنار. ومع تحوّل الثغرات القديمة إلى فرص جديدة لمجرمي الإنترنت، باتت مخاطر التمسك بالعتاد غير المدعوم أوضح من أي وقت مضى. في عالم الأمن السيبراني، ما هو متقادم لا يختفي حقًا - إنه فقط ينتظر سيدًا جديدًا ليوقظه.

WIKICROOK

• شبكة بوتنت: شبكة البوتنت هي شبكة من الأجهزة المصابة التي يتحكم بها مجرمو الإنترنت عن بُعد، وغالبًا ما تُستخدم لشن هجمات واسعة النطاق أو سرقة بيانات حساسة.
• حقن الأوامر: حقن الأوامر هو ثغرة يخدع فيها المهاجمون الأنظمة لتشغيل أوامر غير مصرح بها عبر إدخال مدخلات خبيثة في حقول المستخدم أو الواجهات.
• البرنامج الثابت: البرنامج الثابت هو برمجية متخصصة مخزنة داخل الأجهزة، تدير عملياتها الأساسية وأمنها، وتمكّنها من العمل بشكل صحيح.
• إثبات: إثبات المفهوم (PoC) هو عرض يبيّن أن ثغرة أمن سيبراني يمكن استغلالها، ما يساعد على التحقق من المخاطر الحقيقية وتقييمها.
• ترميز XOR: ترميز XOR هو أسلوب بسيط لتمويه البيانات باستخدام عملية XOR، وغالبًا ما تستخدمه البرمجيات الخبيثة لإخفاء الشيفرة وتفادي أدوات كشف الأمن السيبراني.