كيف استخدم هكر ناشئ تيل سكيل وأوبن إس إس إتش في اختراقه؟

نجح هكر ناشئ في الحفاظ على اختراق إلكتروني لشركة فرنسية رغم تعطل خادمه، باستخدام أدوات تيل سكيل وأوبن إس إس إتش للبقاء متصلاً بالضحية بشكل سري.

ما هي الأدوات التي استخدمها الهكر لضمان استمرار الاختراق؟

في تطور لافت لأساليب الهجمات السيبرانية، لم يعتمد المهاجم الملقب بـ "Poisson" على خوادم القيادة والتحكم التقليدية فحسب، بل قام ببناء "باب خلفي" مستقل تماماً. تكمن خطورة هذه الخطوة في أنها تجعل عملية التطهير التقليدية عبر إغلاق خادم الهكر غير كافية، حيث استمر الوصول للجهاز المخترق لأسابيع.

وفقاً لما رصده خبراء الأمن الرقمي، قام المهاجم بتثبيت الأدوات التالية قبل توقف خادمه الأساسي عن العمل:

• Tailscale: لإنشاء شبكة وهمية مشفرة تسمح له بالوصول للجهاز المصاب دون الحاجة لمنافذ مفتوحة أو جدران حماية معقدة.
• OpenSSH: لإعداد اتصال عكسي (Reverse Tunnel) يتيح له التحكم الكامل عن بُعد وتجاوز الانقطاعات.
• RustDesk: استخدام نسخة مخصصة كقناة احتياطية للتحكم في حال فشل الوسائل الأخرى.

كيف نفذ المهاجم سلسلة الاختراق المعقدة؟

رغم وصف المهاجم بأنه "ناشئ"، إلا أن سلسلة الهجوم كانت منظمة وتعتمد على تقنيات التشغيل في الذاكرة لتجنب الاكتشاف من قبل برمجيات الحماية. وحسب تيكبامين، فقد بدأت العملية بملف VBScript بسيط يتضمن تقنية لتجاوز بيئات الفحص الافتراضية (Sandbox).

مراحل الهجوم التقنية:

• تحميل ملف PowerShell لفك تشفير برمجية التحميل الأساسية ونقلها للذاكرة.
• تشغيل عميل Demon الخاص ببرنامج Havoc مباشرة دون ترك أثر على القرص الصلب.
• استخدام أمر Start-Process -Verb RunAs لطلب صلاحيات المسؤول، وهو ما تطلب محاولات عديدة حتى وافق المستخدم.
• زرع برمجية تسجيل ضربات المفاتيح (Keylogger) مكتوبة بلغة بايثون مكونة من 70 سطراً فقط.

من هو الهكر الملقب بـ Poisson وما هي أخطاؤه؟

أظهرت التحليلات أن المهاجم يتحدث اللغة الفرنسية ويبدو أنه يتبع جدولاً زمنياً يشبه المواعيد المدرسية، حيث ينشط غالباً بعد الساعة 3 عصراً بتوقيت وسط أوروبا. وعلى الرغم من نجاحه في اختراق أربعة أجهزة في شركة سيارات فرنسية، إلا أن أخطاء الهواة كانت حاضرة بقوة في عمله.

تشمل أبرز الأخطاء التي ارتكبها المهاجم وكشفت هويته:

• تسريب محتويات مجلد منزله (Home Directory) خمس مرات أثناء تنفيذ العمليات.
• تسمية مخازن البيانات السحابية على منصة Backblaze باسمه المستعار Poisson.
• استخدام خدمات مجانية تماماً مثل DuckDNS وIONOS VPS لتنفيذ الهجوم.
• ترك ملفات اختبار تحتوي على ضربات مفاتيح مكررة داخل حزمة الاختراق التي تم رصدها.

لماذا يعتبر إغلاق خادم C2 غير كافٍ للوقاية؟

الدرس القاسي الذي تعلمته المؤسسات هو أن مجرد تعطيل خادم التحكم والقيادة لا يعني انتهاء التهديد. فالمهاجم كان قد أنشأ بالفعل مساراً بديلاً عبر Tailscale، مما سمح له بالعودة والاتصال بالأجهزة المصابة بعد 18 يوماً من توقف خادمه الأصلي، وهو ما يعكس تطوراً في فكر الهواة.

يشير تقرير تيكبامين إلى أن الاعتماد على الأدوات المشروعة (Living off the Land) مثل OpenSSH يجعل من الصعب على برامج الحماية التمييز بين نشاط الموظفين ونشاط المهاجمين. لذا، يجب على الشركات مراقبة أي تثبيت غير مصرح به لبرمجيات الشبكات والتحكم عن بعد بشكل صارم لمنع استمرار مثل هذه التهديدات الصامتة.