Netcrook Logo
👤 SECPULSE
🗓️ 07 Jan 2026  

DNS تحت الحصار: كيف تحوّل ثغرات موجّهات D-Link الشبكات المنزلية إلى معاقل للقراصنة

شبكة عالمية من موجّهات D-Link غير المُرقَّعة تمكّن مجرمي الإنترنت من اختطاف حركة المرور وإطلاق هجمات من داخل غرفة معيشتك.

تخيّل أنك تجلس في المنزل، تبثّ برنامجك المفضّل أو تدفع الفواتير عبر الإنترنت - من دون أن تدري أن موجّه الواي فاي لديك، الحارس الصامت لحياتك الرقمية، قد جرى الاستيلاء عليه بهدوء من قِبل قراصنة. في أنحاء العالم، تكتشف أسر عادية أن موجّهات D-Link لديها أصبحت رأس جسر لموجة جديدة من الهجمات السيبرانية، حيث يعيد المجرمون توجيه حركة الإنترنت، ويسرقون البيانات، ويطلقون حملات إعلانات خبيثة - كل ذلك من دون أن يطأوا عتبة الباب.

حقائق سريعة

  • يتم استغلال ثغرات حقن الأوامر في عدة موجّهات D-Link DSL بنشاط على مستوى العالم.
  • يختطف المهاجمون إعدادات DNS لإعادة توجيه المستخدمين إلى مواقع خبيثة ونشر البرمجيات الضارة.
  • تم تتبّع الموجّهات المخترَقة إلى حملات إعلانات خبيثة وهجمات تستهدف أجهزة Windows وAndroid على حد سواء.
  • تعقّد البرمجيات الثابتة الموطّنة والأجهزة الموزّعة عبر مزوّدي خدمة الإنترنت عملية الترقيع وتترك كثيرًا من الموجّهات بلا حماية.
  • يتم تنسيق بعض الهجمات باستخدام بنية Google Cloud التحتية، ما يضخّم نطاقها وتأثيرها.

داخل اختطاف الموجّه: تشريح الاستغلال

تبدأ القصة بمجموعة من ثغرات حقن الأوامر المدمجة في موجّهات D-Link DSL الشائعة - مثل الطرازات DSL-526B وDSL-2640B وDSL-2740R وDSL-2780B. وبينما يعود تاريخ بعض هذه العيوب إلى عام 2016، تكشف تحقيقات حديثة أجرتها شركات أمنية مثل Proofpoint وباحثون مستقلون مثل Troy Mursch أن التهديد ليس مستمرًا فحسب، بل يتطور أيضًا.

يستغل المهاجمون هذه الثغرات لتغيير إعدادات DNS على موجّهات المنازل بصمت. ومن خلال إعادة توجيه كل حركة مرور الشبكة عبر خوادم DNS خبيثة، يمكنهم تحويل المستخدمين إلى مواقع تصيّد، وحقن إعلانات غير مرغوب فيها، أو حتى تقديم تنزيلات محمّلة ببرمجيات ضارة. وتتحول الموجّهات المخترَقة إلى منصات إطلاق لهجمات تستهدف كل جهاز يتصل بها - الهواتف الذكية، والحواسيب المحمولة، وأجهزة التلفاز الذكية، وغيرها.

ما يجعل هذه الموجة من الاستغلال خبيثة على نحو خاص هو الطبيعة المجزأة لمنظومة البرمجيات الثابتة لدى D-Link. فقد بيع كثير من الموجّهات المتأثرة ببرمجيات ثابتة خاصة بكل منطقة، وغالبًا ما كانت تُوزَّع وتُخصَّص من قِبل مزوّدي خدمة الإنترنت المحليين. هذه الإصدارات من البرمجيات الثابتة غير متاحة على بوابة الدعم الرئيسية لـ D-Link، ما يترك المستخدمين معتمدين على مزوّد الخدمة أو فروع D-Link الإقليمية للحصول على تحديثات الأمان. والنتيجة؟ رقعة من الأجهزة غير المحمية، لا يزال كثير منها عرضة للخطر بعد سنوات من الاكتشاف الأولي.

وثّق الباحثون أن المهاجمين باتوا الآن يسخّرون قوة منصة Google Cloud لتأتمتة حملاتهم وتوسيع نطاقها، منسّقين هجمات عبر القارات بسرعة غير مسبوقة. إن تعقيد الاستغلال، إلى جانب غياب الترقيع الموحّد، يعني أن كثيرًا من الشبكات المنزلية لا تزال مكشوفة على مصراعيها للهجوم.

ماذا يمكنك أن تفعل؟

إذا كنت تملك موجّه D-Link، خصوصًا إن كان مقدّمًا من مزوّد خدمة الإنترنت لديك، فتحرّك الآن. تواصل مع مزوّدك للحصول على تحديثات البرمجيات الثابتة، وأجرِ إعادة ضبط المصنع، واضبط كلمة مرور قوية وفريدة لواجهة إدارة الموجّه. قم بتهيئة DNS يدويًا لاستخدام مزوّدين موثوقين مثل Google ‏(8.8.8.8) أو Cloudflare ‏(1.1.1.1) لمنع الاختطاف المحتمل. لا تحاول أبدًا تثبيت برمجيات ثابتة من منطقة أخرى، إذ قد يؤدي ذلك إلى إتلاف جهازك بشكل دائم.

جرس إنذار لأمن المنازل السيبراني

إن الاستغلال المستمر لموجّهات D-Link تذكير صارخ: في العصر الرقمي، لا تكون شبكتك المنزلية أكثر أمانًا من أضعف حلقة فيها. لقد خلقت البرمجيات الثابتة المجزأة، والعتاد القديم، والترقيع غير المتسق عاصفة مثالية لمجرمي الإنترنت. بالنسبة للمستهلكين والمؤسسات على حد سواء، ليست عمليات التدقيق المنتظمة والتحديثات في الوقت المناسب خيارًا - بل هي دفاعات أساسية في الحرب الخفية الدائرة عبر شبكات الواي فاي حول العالم.

WIKICROOK

  • حقن الأوامر: حقن الأوامر هو ثغرة يخدع فيها المهاجمون الأنظمة لتشغيل أوامر غير مصرح بها عبر إدخال مدخلات خبيثة في حقول المستخدم أو الواجهات.
  • اختطاف DNS: اختطاف DNS يحدث عندما يغيّر المهاجمون سرًا إعدادات DNS، فيعيدون توجيه المستخدمين إلى مواقع مزيفة أو ضارة دون علمهم لسرقة البيانات أو نشر البرمجيات الضارة.
  • البرمجيات الثابتة: البرمجيات الثابتة هي برمجيات متخصصة مخزنة في أجهزة العتاد، تدير عملياتها الأساسية وأمنها، وتمكّنها من العمل بشكل صحيح.
  • الإعلانات الخبيثة: الإعلانات الخبيثة هي استخدام الإعلانات عبر الإنترنت لنشر البرمجيات الضارة، غالبًا عبر خداع المستخدمين للنقر على روابط ضارة - حتى على مواقع موثوقة.
  • إعادة ضبط المصنع: تعيد إعادة ضبط المصنع الجهاز إلى حالته الأصلية، وتمحو جميع بيانات المستخدم والإعدادات والتخصيصات لإزالة المشكلات أو التحضير لإعادة البيع.
D-Link routers DNS hijacking cyberattacks
SECPULSE SECPULSE
SOC Detection Lead
← Back to news