إطلاق Nexcorium: داخل الاستيلاء الخفي على أجهزة TBK DVR على يد قراصنة فريق Nexus

متغير جديد من شبكة بوتنت Mirai يستغل ثغرات حديثة ومنسية لتجنيد أجهزة إنترنت الأشياء في جيوش الجريمة الإلكترونية.

بدأ الأمر بترويسة HTTP غامضة - “X-Hacked-By: Nexus Team – Exploited By Erratic” - ظهرت في بقايا الأثر الرقمي لأنظمة مراقبة مخترقة. وبحلول الوقت الذي فك فيه الباحثون النمط، كانت آلاف الكاميرات وأجهزة التسجيل المتصلة بالإنترنت قد جرى تجنيدها بالفعل في شبكة بوتنت جديدة غامضة. الجاني: Nexcorium، سلالة برمجيات خبيثة مروّعة صُممت لافتراس أكثر زوايا إنترنت الأشياء إهمالًا.

كيف يختطف Nexcorium أجهزة TBK DVR

تستهدف حملة الهجوم، التي كشفت عنها Fortinet عبر FortiGuard Labs، ثغرة حرجة (CVE-2024-3721) عُثر عليها في مسجلات الفيديو الرقمية الشائعة من TBK - وتحديدًا طرازات مثل DVR-4104 وDVR-4216. يتيح هذا الخلل للمهاجمين حقن أوامر النظام مباشرة في نظام تشغيل الجهاز، متجاوزين ضوابط الأمان المعتادة.

وبمجرد الدخول، ينشر القراصنة سكربت تنزيل خبيثًا يجلب برمجية Nexcorium المصممة لعدة معماريات للأجهزة (ARM وx86-64 وغيرها). وتُوسم العدوى بتوقيع فريد في حركة مرور الشبكة، ما يمكّن الباحثين من تتبعها إلى ما يُسمى “Nexus Team” - مجموعة إجرامية إلكترونية صاعدة تترك بصمتها عبر هذه الحملة.

بناء جيش بوتنت

بعد السيطرة، لا يتوقف Nexcorium عند ضحية واحدة. فهو ينتشر كالنار في الهشيم عبر هجمات التخمين القسري لتسجيلات الدخول عبر Telnet باستخدام قائمة من كلمات المرور الافتراضية أو الضعيفة - مستغلًا العادة السيئة المتمثلة في ترك بيانات اعتماد المصنع دون تغيير. كما تستغل البرمجية الخبيثة ثغرة أقدم (CVE-2017-17215) في موجّهات Huawei، ما يوسّع نطاقها عبر مشهد إنترنت الأشياء. وبمجرد إصابة جهاز ما، يُضم إلى شبكة بوتنت، جاهزًا للاستخدام في هجمات حجب الخدمة الموزعة (DDoS) الضخمة التي يمكن أن تشل المواقع والخدمات عبر الإنترنت.

الاستمرارية والتخفي

صُمم Nexcorium ليكون صعب الإزالة. فهو ينسخ نفسه إلى أدلة مخفية ويؤسس عدة موطئ قدم، عبر تعديل ملفات بدء تشغيل النظام، وإنشاء خدمات خلفية مخصصة، وجدولة مهام متكررة. وإذا حاولت فرق الأمن إزالته، تضمن حيل الاستمرارية الاحتياطية في البرمجية الخبيثة عودته إلى الحياة بعد كل إعادة تشغيل. ولطمس آثاره، يحذف Nexcorium ملفه التنفيذي الأصلي، ما يجعل التحليل الجنائي تحديًا.

الدفاع ضد التهديد

يحذر الخبراء من أن أفضل دفاع هو النظافة الاستباقية: رقّع جميع أجهزة إنترنت الأشياء فورًا، خصوصًا أجهزة TBK DVR والموجّهات الأقدم. غيّر جميع كلمات المرور الافتراضية - دون استثناء. كما ينبغي لمسؤولي الشبكات حظر حركة المرور الصادرة إلى النطاقات الخبيثة المعروفة ومراقبة مؤشرات المسح غير المعتاد أو نشاط التخمين القسري. في عصر يمكن فيه حتى لكاميرات المراقبة أن تتحول إلى أسلحة، لا مكان للإهمال.

الخلاصة

تُعد حملة Nexcorium تذكيرًا صارخًا بأن أجهزة الأمس المنسية قد تصبح أسلحة الغد السيبرانية. ومع استمرار انتشار إنترنت الأشياء، تبقى اليقظة والتحديثات في وقتها وسياسة عدم التسامح مطلقًا مع كلمات المرور الافتراضية هي الحاجز الوحيد بين العالم الرقمي والانقطاع التالي الذي تغذيه شبكات البوتنت.

WIKICROOK

Botnet: شبكة البوتنت هي شبكة من الأجهزة المصابة التي يتحكم بها مجرمو الإنترنت عن بُعد، وغالبًا ما تُستخدم لشن هجمات واسعة النطاق أو سرقة بيانات حساسة.
Command Injection: حقن الأوامر هو ثغرة يخدع فيها المهاجمون الأنظمة لتشغيل أوامر غير مصرح بها عبر إدخال مدخلات خبيثة في حقول المستخدم أو الواجهات.
DDoS Attack: هجوم حجب الخدمة الموزع (DDoS) يحدث عندما تُغرق أجهزة كثيرة خدمةً ما بطلبات مزيفة، فتُثقلها وتجعلها بطيئة أو غير متاحة للمستخدمين الحقيقيين.
Persistence Mechanism: آلية الاستمرارية هي طريقة تستخدمها البرمجيات الخبيثة للبقاء نشطة على النظام، متجاوزةً إعادة التشغيل ومحاولات الإزالة من قبل المستخدمين أو أدوات الأمن.
Telnet Brute: التخمين القسري عبر Telnet هو هجوم سيبراني يستخدم أدوات آلية لتخمين بيانات تسجيل الدخول عبر Telnet بمحاولة العديد من تركيبات أسماء المستخدمين وكلمات المرور للحصول على وصول.