🗓 الثلاثاء - 10 مارس 2026، 09:50 مساءً |
⏱ 3 دقيقة |
👁 2 مشاهدة
تكشف برمجية KadNap الخبيثة عن موجة إصابات لأجهزة الحافة تستهدف راوترات أسوس وتحولها إلى شبكة بروكسي خفية تضم أكثر من 14 ألف جهاز.ما الذي نعرفه عن انتشار برمجية KadNap؟رُصدت العدوى لأول مرة في أغسطس 2025، ثم توسعت بسرعة لتشمل أجهزة حافة متنوعة وليس فقط راوترات أسوس. ووفقاً لتقرير تيكبامين، تتركز أكثر من 60% من الإصابات في الولايات المتحدة مع وجود حالات أقل في آسيا وأوروبا وأستراليا.أكثر من 14 ألف جهاز مصاب حتى الآننسبة إصابات كبيرة في الولايات المتحدة تتجاوز 60%انتشار محدود في تايوان وهونغ كونغ وروسيا والمملكة المتحدةحالات متفرقة في أستراليا والبرازيل وفرنسا وإيطاليا وإسبانياكيف تعمل برمجية KadNap داخل أجهزة الحافة؟تعتمد البرمجية على نسخة معدلة من بروتوكول كاديمليا ضمن بروتوكول DHT لإخفاء البنية التحتية داخل شبكة نظير إلى نظير، ما يصعّب تعقب الخوادم. وتستخدم العقد المصابة هذا الأسلوب للعثور على خادم التحكم والسيطرة وتبادل الأوامر دون مسار ثابت.خطوات العدوى والاستمراريةيبدأ السيناريو بتحميل سكربت aic.sh من خادم تحكم يحمل العنوان 212.104.141[.]140، ثم ينشئ مهمة cron لتشغيله كل ساعة عند الدقيقة 55. ويُعاد تسميته إلى .asusrouter لضمان الاستمرارية وإخفاء الأثر.تنزيل السكربت وإعداد مهمة مجدولة تلقائياًتحميل ملف ELF خبيث وإعادة تسميته إلى kadتشغيل حمولة تدعم معالجات ARM وMIPSبعد تثبيت البرمجية، تتصل بخادم NTP لالتقاط الوقت وحفظ مدة عمل الجهاز، ثم تولد قيمة تجزئة للعثور على أقران الشبكة واستقبال ملفات إضافية. هذه الخطوة تجعل الشبكة لا مركزية وأكثر مقاومة للتعطيل.ما علاقة خدمات البروكسي بالشبكة الخفية؟تُستغل الأجهزة المخترقة كعُقد شبكة بروكسي تُباع عبر خدمة Doppelgänger التي تروج لنفسها عبر الموقع doppelganger[.]shop، وتعد بخصوصية كاملة للمستخدمين. ويُعتقد أنها إعادة تسمية لخدمة Faceless المرتبطة ببرمجية TheMoon، وهو ما يعزز هدف تحويل الإصابات إلى دخل إجرامي.توفير بروكسيات سكنية في أكثر من 50 دولةوعد بخصوصية «100% إخفاء الهوية» داخل الشبكةإطلاق الخدمة بين مايو ويونيو 2025كيف تحمي أجهزة أسوس وأجهزة الحافة الأخرى؟تشير التحليلات إلى أن الملفات fwr.sh و/tmp/.sose تحاول إغلاق منفذ SSH رقم 22 واستخراج قائمة بعناوين خوادم التحكم للاتصال بها. هذا السلوك يهدف لتقليل فرص اكتشاف البرمجية ومنع الإدارة عن بُعد.محاولات إغلاق منفذ 22 أو تغيير إعدادات SSHملفات مخفية باسم .asusrouter أو kadاتصالات دورية ببروتوكول DHT أو NTPحركة بروكسي غير معتادة من الجهازخطوات حماية راوترات أسوسلتقليل المخاطر، ينصح الخبراء بتحديث البرمجيات الثابتة فوراً وتعطيل الإدارة البعيدة إن لم تكن ضرورية. ويمكن للمؤسسات مراقبة السجلات لرصد أي نشاط بروكسي غير مبرر.تحديث firmware لراوترات أسوس وأجهزة الحافةتغيير كلمات المرور الافتراضية وتفعيل كلمات قويةإيقاف الخدمات غير المستخدمة مثل SSH عند عدم الحاجةعزل الأجهزة المصابة وإعادة ضبط المصنع عند الشكفي النهاية، تمثل برمجية KadNap مثالاً على تطور شبكات البوتنت التي تستهدف أجهزة الحافة لتحقيق أرباح سريعة، وهو ما يدفع إلى تشديد المراقبة الدورية. ويشير تيكبامين إلى أن الوعي بالتحديثات والإعدادات الآمنة هو خط الدفاع الأول أمام هذه الهجمات.