شو بوت: برمجية خبيثة تستهدف شركات الاتصالات بالشرق الأوسط

كشف خبراء الأمن الرقمي عن برمجية خبيثة متطورة تستهدف قطاع الاتصالات في الشرق الأوسط، وتعمل كأداة تجسس متقدمة على أنظمة لينكس منذ عام 2022.

ما هي برمجية "شو بوت" (Showboat) وكيف تهدد أنظمة لينكس؟

تُعد "شو بوت" إطار عمل متطورًا لما بعد الاختراق، صُمم خصيصاً للعمل على أنظمة لينكس. وفقاً لتقرير تابعته تيكبامين، تمتلك هذه البرمجية قدرات تخريبية واسعة تسمح للمهاجمين بالسيطرة الكاملة على الخوادم المستهدفة.

تتميز البرمجية بهيكلية برمجية معيارية (Modular)، مما يعني إمكانية إضافة وظائف جديدة لها حسب الحاجة. وتتمثل أبرز قدراتها التقنية فيما يلي:

• إنشاء واجهة أوامر عن بُعد (Remote Shell) للتحكم في النظام.
• نقل الملفات من وإلى الخادم المصاب بسهولة.
• العمل كوكيل من نوع سوكس 5 (SOCKS5 Proxy) لتشفير وتوجيه حركة المرور.
• جمع معلومات حساسة عن النظام والشبكة الداخلية.

من يقف وراء هجمات التجسس على شركات الاتصالات في المنطقة؟

تشير التحليلات الأمنية إلى أن هذه البرمجية مرتبطة بمجموعات تهديد سيبراني مدعومة من دول، حيث تم تتبع عناوين البروتوكول (IP) الخاصة بنقاط التحكم والسيطرة (C2) لتجدها تعود إلى مدينة تشنغدو الصينية.

وتعتبر مجموعة "كاليبسو" (Calypso)، المعروفة أيضاً باسم "برونز ميدلي"، من أبرز المتهمين باستخدام هذه الأداة. تشتهر هذه المجموعة بنشاطها منذ عام 2016، واستهدافها للمؤسسات الحكومية وقطاعات البنية التحتية في عدة دول حول العالم.

وحسب ما أوضحته تقارير تيكبامين، فإن المهاجمين يستخدمون ترسانة متنوعة من الأدوات بجانب "شو بوت"، تشمل برمجيات شهيرة مثل PlugX و WhiteBird، مما يشير إلى وجود تعاون تقني أو مورد رقمي مشترك يزود هذه المجموعات بالأدوات اللازمة لهجماتها.

كيف يتم اختراق أنظمة لينكس باستخدام هذه البرمجية؟

تبدأ الرحلة باكتشاف ملفات ثنائية من نوع ELF تم رفعها على منصات فحص الفيروسات، حيث تم تصنيفها كبرمجيات خلفية (Backdoor) متطورة تمتلك قدرات تشبه أدوات الجذر (Rootkit) لإخفاء نشاطها داخل النظام.

الثغرات المستخدمة في الهجوم

على الرغم من أن وسيلة الدخول الأولية لا تزال قيد التحقيق، إلا أن مجموعات التهديد المرتبطة بهذه البرمجية تمتلك تاريخاً في استغلال الثغرات الأمنية الحرجة. ومن أهم الوسائل المستخدمة سابقاً:

• استغلال ثغرة CVE-2021-26855 في خوادم مايكروسوفت إكستشينج.
• استخدام برمجيات "ويب شيل" (ASPX web shell) بعد اختراق الحسابات الافتراضية.
• استهداف أنظمة الوصول عن بُعد الضعيفة أو غير المحمية.
• زرع البرمجية داخل ملفات النظام الأساسية لضمان البقاء لفترات طويلة.

ما هو خطر "التموين الرقمي" على الأمن السيبراني العالمي؟

يظهر اكتشاف "شو بوت" وجود نموذج عمل متطور بين المهاجمين يُعرف باسم "التموين الرقمي". في هذا النموذج، تقوم جهات مركزية بتطوير أدوات الاختراق وتوزيعها على مجموعات هجومية مختلفة، مما يصعب عملية التتبع والتحليل.

إن استخدام أدوات مشتركة مثل ShadowPad و NosyDoor بجانب "شو بوت" يعزز من كفاءة الهجمات ويقلل من التكاليف التطويرية للمهاجمين، مما يجعل قطاع الاتصالات، الذي يعتبر العمود الفقري للبيانات، هدفاً دائماً ومتجدداً لهذه العمليات المعقدة.

في الختام، يشدد خبراء الأمن الرقمي على ضرورة تحديث الأنظمة بانتظام ومراقبة حركة مرور الشبكة غير المعتادة، خاصة في المؤسسات الكبرى، لتفادي الوقوع ضحية لهذه البرمجيات الصامتة التي قد تظل تعمل لسنوات دون اكتشافها.