عاصفة صامتة: داخل شبكة بوتنت ماسجيسو المتخفية التي تؤجّر موجّهاتك

العنوان الفرعي: سلالة جديدة من شبكات بوتنت DDoS المؤجَّرة تستولي بهدوء على أجهزة المنازل والمؤسسات لتحقيق الربح، مع تفادي وسائل الدفاع التقليدية.

تخيّل أن تستيقظ لتكتشف أن موجّه منزلك أو بوابة مكتبك تحوّل إلى مرتزق في حرب سيبرانية عالمية - من دون علمك. ليست هذه لقطة من رواية تشويق تقنية، بل الواقع المرعب وراء بوتنت ماسجيسو، سلاح سيبراني مُستأجَر مراوغ يعيد كتابة قواعد الابتزاز الرقمي والتخفّي.

الوجه الجديد للجريمة السيبرانية المؤجَّرة

أُطلقت ماسجيسو في مطلع 2023 وما تزال تتطور، وتمثل قفزة متقدمة في برمجيات إنترنت الأشياء الخبيثة. وعلى خلاف شبكات البوتنت الصاخبة والعشوائية التي تستجلب ردًا سريعًا، صمّم مشغّلو ماسجيسو حملة تقوم على التخفي وطول النفس. قائمة أهدافهم شاملة: موجّهات وبوابات وأجهزة مدمجة تعمل على معماريات ARM أو MIPS أو SPARC أو AMD64 - وكلها عقارات مربحة في الاقتصاد الرقمي الإجرامي.

نموذج أعمال ماسجيسو مرعب بقدر تكتيكاته. فبدلًا من شن الهجمات لمصلحتهم الخاصة، يؤجّر صانعوها شبكة البوتنت لأعلى مزايد، مقدمين خدمة DDoS مقابل المال لأي شخص مستعد للدفع. ويظل حجم عملياتها صعب القياس بدقة بسبب هوسها بالإفلات من الرصد. كما يتجنب مشغّلوها بدقة الشبكات الحكومية والعسكرية المدرجة في قوائم الحظر، ما يطيل عمر البوتنت ويقلل المخاطر القانونية.

كيف تبقى ماسجيسو غير مرئية

ما يميز ماسجيسو هو ترسانتها من تقنيات مكافحة الكشف. إذ يخفي كودها السلاسل النصية الأساسية وعناوين القيادة والتحكم (C2) خلف طبقات من التشفير المعتمد على XOR، ولا يفكها إلا أثناء التشغيل. وهذا يجعل أدوات الأمن التقليدية - التي تعتمد على التواقيع الثابتة - عديمة الجدوى تقريبًا. وبمجرد دخولها إلى جهاز ما، تعيد ماسجيسو تسمية نفسها لتشبه ملفات النظام، وتُعدّ مهمة cron تعيد تشغيل البرمجية الخبيثة كل 15 دقيقة. وحتى محاولات قتل العملية تُتجاهل إن لم تأتِ من مستخدم ذي صلاحيات.

أما الانتشار فليس أقل دهاءً. تمسح شبكة البوتنت الإنترنت بحثًا عن منافذ مفتوحة، ثم تنشر استغلالات موجهة ضد الأجهزة ذات الثغرات المعروفة. وبعد اختراق الجهاز، يقوم بتنزيل سكربت خبيث لينضم إلى سرب ماسجيسو وينتظر أوامر DDoS من خادم C2. وتُطلق الهجمات باستخدام وكيل مستخدم فريد “masjesu”، ما يزيد من تمويه وجود البوتنت.

كيف تقاوم

الدفاع ضد ماسجيسو يعني التفكير كصيّاد لا كمُتفرّج. يُحث مسؤولو الشبكات على مراقبة حركة المرور الصادرة غير المعتادة، ومهام cron غير المتوقعة، أو الملفات التي تتظاهر بأنها مكونات نظام حرجة. وفوق كل شيء، الأساسيات مهمة: غيّر جميع كلمات المرور الافتراضية، وحدّث الأجهزة بأحدث إصدار للبرامج الثابتة. هذه الخطوات البسيطة تغلق الأبواب التي يُرجّح أن تستغلها ماسجيسو.

ومع ازدياد احتراف الجريمة السيبرانية المؤجَّرة، يصبح كل جهاز متصل بيدقًا محتملًا. إن قصة ماسجيسو تحذير: قد يكون الهجوم الكبير التالي متربصًا بالفعل داخل شبكتك أنت، صامتًا وغير مرئي.

WIKICROOK

بوتنت: البوتنت هي شبكة من الأجهزة المصابة التي يتحكم بها مجرمو الإنترنت عن بُعد، وغالبًا ما تُستخدم لشن هجمات واسعة النطاق أو سرقة بيانات حساسة.
DDoS (حجب الخدمة الموزع: هجوم DDoS يُغرق خدمة على الإنترنت بحركة مرور من مصادر عديدة، ما يجعلها بطيئة أو غير متاحة للمستخدمين الحقيقيين.
القيادة والتحكم (C2): القيادة والتحكم (C2) هو النظام الذي يستخدمه المخترقون للتحكم عن بُعد في الأجهزة المصابة وتنسيق الهجمات السيبرانية الخبيثة.
مهمة Cron: مهمة Cron هي مهمة آلية تُضبط لتعمل في أوقات مجدولة على أنظمة شبيهة بيونكس، وتُستخدم عادةً للصيانة أو من قبل المخترقين لضمان الاستمرارية.
تشفير XOR: تشفير XOR طريقة بسيطة تستخدم عملية XOR لإخفاء البيانات. هي سريعة لكنها غير آمنة، وغالبًا ما تستخدمها البرمجيات الخبيثة للتمويه.