كشف خبراء الأمن الرقمي عن بوت نت xlabs_v1 المستمد من ميرال، والذي يستهدف أجهزة أندرويد عبر ADB لتنفيذ هجمات DDoS مدمرة ضد خوادم الألعاب.
وفقاً لما تابعه فريق تيكبامين، فقد تم رصد برمجية خبيثة جديدة تنتمي لعائلة برمجيات "ميراي" (Mirai) الشهيرة، وتعرف بـ xlabs_v1. وتعتمد هذه البرمجية على استهداف الأجهزة التي تعمل بنظام أندرويد والتي تركت خدمة تصحيح الأخطاء (ADB) مفتوحة ومعرضة للإنترنت العام دون حماية.
ما هو بوت نت xlabs_v1 وكيف يعمل؟
تم اكتشاف هذا البوت نت بعد تحديد دليل مكشوف على خادم مستضاف في هولندا. وتتميز هذه البرمجية بقدرتها العالية على شن هجمات حجب الخدمة الموزعة (DDoS) عبر بروتوكولات متعددة، وهي مصممة خصيصاً لاستهداف خوادم الألعاب الشهيرة مثل Minecraft.
أبرز قدرات بوت نت xlabs_v1 التقنية:
- دعم 21 نوعاً من فيضانات البيانات عبر بروتوكولات TCP وUDP.
- القدرة على تجاوز حماية DDoS المخصصة للمستهلكين العاديين.
- استهداف بروتوكولات خاصة مثل RakNet وOpenVPN-shaped UDP.
- دعم بنيات معالجات متعددة تشمل ARM وMIPS وx86-64 وARC.
ما هي الأجهزة المستهدفة من قبل هذا الهجوم؟
تستهدف البرمجية الخبيثة بشكل أساسي الأجهزة التي تعمل بنظام أندرويد وتفعل خدمة ADB على المنفذ 5555 افتراضياً. وتشمل قائمة الأجهزة المعرضة للخطر ما يلي:
- أجهزة Android TV boxes (صناديق التلفاز الذكية).
- أجهزة الاستقبال (Set-top boxes).
- الشاشات الذكية (Smart TVs).
- أجهزة الراوتر المنزلية المعتمدة على معالجات ARM.
- أجهزة إنترنت الأشياء (IoT) المختلفة.
كيف يتم استغلال خدمة ADB في أجهزة أندرويد؟
تتم عملية الإصابة من خلال إرسال أوامر عبر ADB-shell إلى المسار الموقت /data/local/tmp في الجهاز المستهدف. وبمجرد التمكن من الجهاز، يتلقى البوت الأوامر من لوحة تحكم المشغل (xlabslover.lol) لبدء توليد حركة مرور وهمية مكثفة نحو الهدف المحدد.
وحسب ما ذكره تيكبامين، فإن المشغلين يستخدمون نظام تسعير يعتمد على عرض النطاق الترددي (Bandwidth). وتقوم البرمجية بفتح 8,192 مقبس TCP متوازي للاتصال بأقرب خادم Speedtest لقياس سرعة الإنترنت لدى الضحية، ومن ثم تصنيف الجهاز ضمن فئة سعرية معينة للمستأجرين الذين يرغبون في استخدام البوت نت لشن هجماتهم.
هل يمكن لبوت نت xlabs_v1 البقاء بشكل دائم في الجهاز؟
من المثير للاهتمام أن هذه النسخة من البوت نت لا تمتلك آلية للبقاء الدائم (Persistence)؛ فهي لا تقوم بتعديل ملفات بدء التشغيل أو إنشاء مهام مجدولة (Cron jobs). وهذا يعني أنه بمجرد إعادة تشغيل الجهاز أو انتهاء جلسة القياس، يختفي البوت، مما يضطر المشغل إلى إعادة إصابة الجهاز مرة أخرى عبر نفس الثغرة المفتوحة في ADB.
كيف تحمي أجهزتك الذكية من هذا التهديد؟
لحماية أجهزة أندرويد وتلفازك الذكي من الانضمام إلى شبكات البوت نت، ينصح باتباع الخطوات التالية:
- تأكد من إغلاق خيار "تصحيح أخطاء USB" أو ADB في إعدادات المطور.
- تجنب توصيل الأجهزة الذكية بالإنترنت مباشرة دون وجود جدار حماية (Firewall).
- تحديث البرامج الثابتة (Firmware) للأجهزة بشكل دوري لسد الثغرات الأمنية.
- تغيير كلمات المرور الافتراضية لأجهزة الراوتر والـ IoT.
