عندما تتحول الأدوات الجيدة إلى سيئة: كيف حوّل القراصنة Nezha إلى أقوى باب خلفي خفي

العنوان الفرعي: مجرمو الإنترنت يستغلون تطبيق مراقبة الخوادم الموثوق للسيطرة بصمت على أجهزة الكمبيوتر حول العالم.

في ليلة هادئة داخل قسم تكنولوجيا المعلومات في شركة، يظهر وميض غير ملحوظ في سجلات الخادم - يبدو أنه لا يدعو للقلق. لكن خلف هذا النبض الرقمي، يكمن متسلل صامت. في جميع أنحاء العالم، اكتشف القراصنة سلاحًا جديدًا يختبئ أمام الأعين: Nezha، أداة مراقبة الخوادم الشهيرة، التي تم تحويلها الآن إلى جاسوس رقمي خفي.

حقائق سريعة

يتم استغلال Nezha، وهي أداة مراقبة مفتوحة المصدر، كحصان طروادة للوصول عن بُعد (RAT).
غالبًا ما تتجاهل أدوات الفحص الأمني Nezha لأنه برنامج شرعي ولا يحمل توقيعات برمجيات خبيثة.
يحصل القراصنة على صلاحيات SYSTEM/root، مما يتيح لهم التحكم الكامل في الأجهزة المصابة عبر منصات متعددة.
حركة مرور Nezha الشبكية التي تبدو طبيعية تسمح للمهاجمين بالاندماج دون اكتشافهم.
تم تتبع الحوادث إلى مهاجمين يستخدمون نصوصًا باللغة الصينية وخوادم مستضافة في اليابان.

حصان طروادة المختبئ في صندوق الأدوات

كان Nezha في الأصل محل احتفاء من محترفي تكنولوجيا المعلومات، حيث صُمم للحفاظ على صحة الخوادم، وحصل على ما يقارب 10,000 نجمة على GitHub. إنه لوحة تحكم رقمية لمديري الخوادم، تقدم رؤى فورية حول أداء النظام. لكن مجرمي الإنترنت قلبوا المعادلة: من خلال إعادة توظيف Nezha كحصان طروادة للوصول عن بُعد، يستغلون مكانته الموثوقة للتسلل إلى المؤسسات دون إثارة الإنذارات.

كشف باحثو الأمن في Ontinue عن المخطط بعد ملاحظتهم تثبيت "العميل" الخاص بـ Nezha بهدوء على الأجهزة المخترقة. على عكس البرمجيات الخبيثة المخصصة التي تحتاج إلى إعداد معقد، فإن Nezha جاهز للاستخدام فورًا، ويمنح صلاحيات SYSTEM أو root مباشرة. لا يحتاج المهاجمون إلى تجميع أدوات إضافية - تسمح لهم ميزات Nezha المدمجة بإدارة الملفات وتنفيذ الأوامر وحتى فتح محطات ويب مباشرة، وكل ذلك أثناء التهرب من الاكتشاف.

لماذا يصعب اكتشافه للغاية

نظرًا لأن Nezha برنامج شرعي، فإن أدوات مكافحة الفيروسات وأدوات الفحص الأمني مثل VirusTotal تمنحه تقريرًا نظيفًا - "0/72 كشف". حركة المرور الشبكية الخاصة به تحاكي بيانات المراقبة العادية، مما يجعل من شبه المستحيل على المدافعين اكتشاف السلوك المشبوه دون تحليل عميق. ودعم الأداة لعدة منصات - من Windows وLinux إلى macOS وأجهزة التوجيه - يعني أن القراصنة يمكنهم التحكم في مجموعة واسعة من الأجهزة من لوحة تحكم واحدة.

وليس هذا مجرد حادث عابر. فقد لوحظت هجمات مماثلة تعتمد على Nezha في شرق آسيا أواخر عام 2025، حيث استخدم القراصنة نصوصًا مكتوبة بالصينية المبسطة ومراكز تحكم مستضافة على Alibaba Cloud في اليابان. وتظل الولايات المتحدة، بشكل مقلق، نقطة ساخنة لنشر Nezha.

تحذيرات الخبراء والخطوات التالية

يحذر خبراء الصناعة من أن إساءة استخدام Nezha جزء من اتجاه متزايد: استخدام البرامج الشرعية الموثوقة كأدوات للهجوم. يقول Mayuresh Dani من Qualys: "يستغل المهاجمون البرامج الشرعية بشكل منهجي لتحقيق الاستمرارية والحركة الجانبية مع التهرب من الدفاعات المعتمدة على التوقيعات". ويدعو John Gallagher من Viakoo Labs إلى استراتيجية "الدفاع في العمق"، مؤكدًا أن على المؤسسات التدقيق ليس فقط في الأدوات التي تعمل، بل كيف ولماذا يتم استخدامها.

الرسالة واضحة: إذا لاحظت تشغيل Nezha على شبكتك دون موافقة صريحة، فهذه إشارة خطر واضحة. يجب على المؤسسات تجاوز التفكير الثنائي - فالأدوات لا تكون آمنة إلا بحسب السياق والنية.

الخلاصة

تحول Nezha من حارس إلى متسلل هو تذكير صارخ بأن الثقة في الأمن السيبراني يمكن أن تتحول إلى سلاح. ومع تزايد جرأة القراصنة في استخدام الأدوات الشرعية، يجب على المدافعين التطور، والتساؤل ليس فقط عما يعمل، بل لماذا. قد يكون المتسلل الصامت التالي مختبئًا بالفعل في صندوق أدواتك الموثوق.

ويكي كروك

حصان طروادة للوصول عن بُعد (RAT): هو برنامج خبيث يسمح للمهاجمين بالتحكم سرًا في جهاز الضحية من أي مكان، مما يمكّن من السرقة والتجسس.
صلاحيات SYSTEM/root: تمنح المستخدمين السيطرة الكاملة على الكمبيوتر، بما في ذلك إدارة الملفات والبرامج وحسابات المستخدمين. من الضروري تأمينها.
Cross: هجوم البرمجة عبر المواقع (XSS) هو هجوم إلكتروني يحقن فيه القراصنة شيفرة خبيثة في مواقع الويب لسرقة بيانات المستخدمين أو اختطاف الجلسات.
القياس عن بُعد: هو الإرسال التلقائي للبيانات من الأجهزة أو البرامج لمراقبة الأداء والأمان في الوقت الفعلي، مما يساعد على اكتشاف المشكلات بسرعة.
الدفاع في العمق: هو نهج في الأمن السيبراني يستخدم طبقات متعددة من الحماية لتأمين الأنظمة، وتقليل المخاطر في حال اختراق إحدى الطبقات.