هجوم البوتنت الخاطف: كيف حوّل القراصنة أجهزة TBK DVR إلى جيش DDoS عالمي

في ساعة متأخرة من الليل، رمشت آلاف العيون الرقمية وفتحت جفونها - ليس في غرفة مراقبة، بل داخل شبكات بوتنت يسيطر عليها القراصنة حول العالم. الجاني: استغلال جديد مدمّر يستهدف مسجلات الفيديو الرقمية (DVR) من TBK، محوّلًا أجهزة الأمن اليومية إلى جنود مشاة غير مدركين في هجمات سيبرانية هائلة. مرحبًا بك في خطوط المواجهة الأمامية لحملة بوتنت Nexcorium، حيث قد تصبح كاميرا الأمان لديك السلاح التالي في حرب غير مرئية.

حقائق سريعة

• CVE-2024-3721 ثغرة حرجة لحقن أوامر نظام التشغيل في أجهزة TBK DVR، ويجري استغلالها بنشاط الآن.
• ينشر المهاجمون Nexcorium - وهو متحوّر من Mirai قادر على استهداف عدة معماريات للأجهزة (ARM وMIPS وx86-64).
• تربط ترويسات مميّزة “X-Hacked-By: Nexus Team – Exploited By Erratic” الحملة بمجموعة تهديد جديدة.
• يستفيد Nexcorium من ثغرات جديدة وقديمة، إضافة إلى أساليب القوة الغاشمة، لتعظيم معدلات الإصابة.
• يمكّن البرمجية الخبيثة من تنفيذ طيف واسع من هجمات DDoS، جميعها تُدار عن بُعد بواسطة مجرمين سيبرانيين.

داخل هجوم Nexcorium

يمثل استغلال CVE-2024-3721 مثالًا نموذجيًا على كيف يمكن لأجهزة إنترنت الأشياء (IoT) ضعيفة التأمين أن تتحول إلى قنوات لاعتداءات رقمية واسعة النطاق. عبر العبث بالمعلمتين “mdb” و“mdc” في أجهزة TBK DVR، يحصل المهاجمون على تنفيذ أوامر عن بُعد، ما يفتح الباب أمام سلالة جديدة من برمجيات Mirai الخبيثة أُطلق عليها اسم Nexcorium.

يكشف تحقيق FortiGuard Labs عن نهج متعدد المعماريات: يقوم سكربت الصدفة الأولي “dvr” بتنزيل حمولات Nexcorium المصممة خصيصًا لمجموعة متنوعة من الأجهزة - من موجّهات المستهلكين إلى أنظمة الأمن التجارية. وبمجرد الدخول، تعلن البرمجية الخبيثة: “nexuscorp has taken control”، وهي رسالة مرعبة لأي شخص يراقب سجلات جهازه.

تصميم Nexcorium متين ولا يلين. إذ تُخفى إعداداته خلف تشفير XOR، ما يحجب خوادم القيادة والتحكم (C2) الخاصة بالبوتنت، وتعليمات الهجوم، والاستغلالات المضمنة. ولا تتوقف البرمجية عند الثغرات الجديدة؛ فهي تحمل أيضًا استغلالًا للثغرة الأقدم CVE-2017-17215 التي تستهدف موجّهات Huawei، وتعتمد على قوائم مدمجة لتنفيذ هجمات القوة الغاشمة على بيانات اعتماد Telnet الضعيفة - نهج مزدوج السبطانة لنشر العدوى.

الاستمرارية هي المفتاح: يعدّل Nexcorium ملفات النظام، وينشئ خدمات جديدة، ويجدول مهام cron لضمان بقائه بعد إعادة التشغيل ومحاولات الإزالة. بل يستخدم التجزئة لاكتشاف العبث، ويعيد نسخ نفسه تحت أسماء جديدة إذا شعر بالتهديد - سلوك أقرب إلى طفيلي رقمي منه إلى مجرد برمجية خبيثة.

وبمجرد ترسخه، تتحول البوتنت إلى مدفع DDoS يُدار عن بُعد. يمكن للمشغلين إطلاق سيول من UDP وTCP (SYN وACK وPSH وURG) وSMTP وغيرها، أو تضخيم الهجمات بتقنيات متخصصة. وتتيح أوامر بنية C2 لهم التكيّف أو الإيقاف أو حتى تدمير الأجهزة المصابة ذاتيًا متى شاؤوا.

وربما الأكثر إثارة للقلق هو حجم الحملة وثقتها. فالترويسة المخصصة في HTTP المستخدمة أثناء الهجمات تعمل كبطاقة تعريف لما يُسمى “Nexus Team”، في إشارة إلى أن جهات التهديد اليوم جريئة بقدر ما هي قادرة. ومع بقاء ملايين أجهزة إنترنت الأشياء دون ترقيع ومكشوفة، يتزايد الخطر - خصوصًا حيث تكون بيانات الاعتماد الافتراضية والبرامج الثابتة القديمة هي القاعدة.

الخلاصة

حملة Nexcorium تذكير صارخ: كل جهاز غير مؤمّن هو بيدق محتمل في أيدي المجرمين السيبرانيين. ومع ازدياد البوتنتات قابلية للتكيف وشراسة، يجب على المؤسسات والأفراد مواكبة ذلك - بترقيع الثغرات، وتعطيل الخدمات عالية المخاطر، ومراقبة مؤشرات الاختراق. في سباق التسلح المتصاعد لأمن إنترنت الأشياء، لم تعد اليقظة خيارًا؛ إنها ضرورة.

WIKICROOK

• بوتنت: البوتنت هي شبكة من الأجهزة المصابة تُدار عن بُعد بواسطة مجرمين سيبرانيين، وغالبًا ما تُستخدم لإطلاق هجمات واسعة النطاق أو سرقة بيانات حساسة.
• CVE (الثغرات والتعرّضات الشائعة): الـCVE هو مُعرّف عام فريد لثغرة أمنية محددة، يتيح تتبعها ومناقشتها بشكل متسق عبر صناعة الأمن السيبراني.
• حقن الأوامر: حقن الأوامر هو ثغرة يخدع فيها المهاجمون الأنظمة لتشغيل أوامر غير مصرح بها عبر إدخال مُدخلات خبيثة في حقول المستخدم أو الواجهات.
• آلية الاستمرارية: آلية الاستمرارية هي طريقة تستخدمها البرمجيات الخبيثة للبقاء نشطة على النظام، والنجاة من إعادة التشغيل ومحاولات الإزالة من قبل المستخدمين أو أدوات الحماية.
• DDoS (حجب الخدمة الموزع: هجوم DDoS يُغرق خدمة عبر الإنترنت بحركة مرور من مصادر عديدة، ما يجعلها بطيئة أو غير متاحة للمستخدمين الحقيقيين.