تواجه أجهزة إنترنت الأشياء (IoT) تهديداً برمجياً جديداً ومقلقاً، حيث كشف خبراء الأمن الرقمي عن بوتنت Masjesu المتطور الذي يستهدف الشبكات العالمية لشن هجمات DDoS مدفوعة.
وفقاً لتقرير تيكبامين، ظهر هذا البوتنت لأول مرة في عام 2023، ويتم الترويج له عبر منصة تليجرام كخدمة "تأجير" للمهاجمين الراغبين في تعطيل المواقع والخوادم. ويتميز هذا التهديد بقدرته على استهداف مجموعة واسعة من الأجهزة، بما في ذلك أجهزة الراوتر والبوابات الإلكترونية، عبر بنى تحتية وتقنية متعددة.
ما هو بوتنت Masjesu وكيف يعمل في الخفاء؟
يُعرف هذا البوتنت أيضاً باسم XorBot، وهو مسمى نابع من اعتماده المكثف على تشفير XOR لإخفاء السلاسل النصية، الإعدادات، وبيانات الحمولة الخبيثة عن أعين الأنظمة الأمنية. يركز مطورو Masjesu على البقاء لفترة طويلة داخل الأجهزة المخترقة من خلال نهج التخفي، حيث يتجنب البوتنت عمداً استهداف نطاقات عناوين IP المحظورة أو الحساسة، مثل تلك التابعة لوزارة الدفاع الأمريكية، لضمان استمراريته وعدم اكتشافه مبكراً.
كما أشار تحليل تيكبامين إلى أن المشغلين خلف هذه الشبكة، والمرتبطين بلقب "synmaestro"، يستخدمون وسائل التواصل الاجتماعي كقنوات أساسية لجذب "العملاء" والترويج لقدراتهم التدميرية، مما ساهم في نمو وتوسع البوتنت بشكل متسارع خلال العام الأخير.
الأجهزة المستهدفة وثغرات الاختراق الجديدة
شهدت النسخ الأحدث من بوتنت Masjesu تطوراً تقنياً كبيراً، حيث أضيفت إليها 12 ثغرة أمنية مختلفة مخصصة لحقن الأوامر وتنفيذ الأكواد عن بُعد. تستهدف هذه الثغرات أجهزة متنوعة من كبرى الشركات العالمية للحصول على وصول أولي غير مصرح به، وتشمل القائمة:
- أجهزة الراوتر والشبكات من شركة هواوي (Huawei) وتي بي لينك (TP-Link).
- كاميرات المراقبة وأجهزة تسجيل الفيديو الرقمية من دي لينك (D-Link) وفاكرون (Vacron).
- أنظمة الشبكات من نت جير (NETGEAR) وإنتل براس (Intelbras).
- أجهزة من شركات Eir وGPON وMVPower.
تأثير هجمات DDoS ومصادر حركة المرور العالمية
يمتلك بوتنت Masjesu القدرة على تنفيذ هجمات DDoS حجمية ضخمة تستهدف شبكات توصيل المحتوى (CDNs)، وسيرفرات الألعاب، والمؤسسات الكبرى. وتكشف البيانات أن الهجمات لا تقتصر على منطقة جغرافية واحدة، بل تمتد لتشمل دولاً عديدة حول العالم.
أبرز الدول المصدرة للهجمات:
- فيتنام: تتصدر القائمة بنسبة تقترب من 50% من إجمالي حركة المرور المرصودة.
- أوكرانيا وإيران: سجلتا نشاطاً ملحوظاً في توليد الهجمات.
- البرازيل وكينيا والهند: تساهم بشكل متزايد في البنية التحتية للبوتنت.
التفاصيل التقنية لعملية التثبيت
بمجرد نجاح البوتنت في اختراق الجهاز المستهدف، تبدأ عملية برمجية دقيقة لضمان السيطرة الكاملة. يقوم البرنامج الضار بإنشاء منفذ اتصال TCP محدد (55988) لتمكين المهاجم من الاتصال المباشر بالجهاز. وفي حال فشل هذه العملية، يتم إنهاء الهجوم فوراً لتجنب إثارة الشكوك، مما يؤكد أن المهاجمين يفضلون الجودة والتخفي على الانتشار العشوائي.
في الختام، يمثل بوتنت Masjesu تذكيراً دائماً بضرورة تأمين أجهزة إنترنت الأشياء المنزلية والمكتبية. ينصح الخبراء دائماً بتغيير كلمات المرور الافتراضية، وتحديث البرمجيات الثابتة (Firmware) بانتظام، وتعطيل المنافذ غير الضرورية لتقليل فرص الاختراق وتحويل أجهزتكم إلى أدوات في يد مجرمي الإنترنت.
