كشفت تقارير أمنية سيبرانية حديثة عن حملة تجسس خبيثة تهدف إلى تسميم محركات البحث، نجحت في اختراق ما يزيد عن 1800 خادم يعمل بنظام ويندوز حول العالم، باستخدام برنامج خبيث متطور يُعرف باسم BADIIS. تستهدف هذه العملية أنظمة خدمة معلومات الإنترنت (IIS)، وتحول البنية التحتية المشروعة إلى شبكة ضخمة للتلاعب بنتائج محركات البحث، مما يثير قلق الجهات المعنية بالأمن الرقمي.
تُعد حملة BADIIS من أخطر الهجمات التي تستهدف البنية التحتية للويب، حيث تستغل نقاط الضعف في خوادم IIS لتحقيق مكاسب غير مشروعة. وتسعى هذه الحملة من خلال تسميم محركات البحث إلى الترويج لمنصات قمار غير قانونية ومواقع عملات رقمية احتيالية، مستفيدة من قوة الاختراق والتخفي.
حملة BADIIS: آلية العمل والتأثير
تُقدم حملة BADIIS مثالاً صارخاً على التطور الذي وصلت إليه الهجمات السيبرانية، خاصة تلك التي تستهدف البنية التحتية الحيوية. ويتمثل القلق الأكبر في أن الهجوم لا يقتصر على قطاعات معينة، بل يمتد ليشمل مؤسسات حكومية وتعليمية ومالية في مختلف البلدان، مما يهدد أمن البيانات وسرية المعلومات.
ويعمل برنامج BADIIS الخبيث على الاندماج بعمق مع العمليات الأساسية لخادم الويب، مما يسمح له باعتراض وتعديل حركة مرور HTTP في الوقت الفعلي. هذه القدرة على التخفي تسمح للمهاجمين بإعادة توجيه مستخدمين محددين إلى وجهات خبيثة دون أن يلحظ المسؤولون أو المستخدمون العاديون أي خلل في عمل الخادم.
وأشارت تحليلات أجراها باحثو Elastic Security Labs إلى أن البرنامج الخبيث أظهر سلوكيات ما بعد الاختراق مميزة أثناء التحقيق في إحدى المنظمات الدولية. وتم ربط هذا النشاط بمجموعة قراصنة تُعرف باسم UAT-8099، والتي تتميز بمستوى عالٍ من الأمان التشغيلي.
ووفقاً للتحليلات، فقد تم نشر البرنامج الخبيث عبر قطاعات متنوعة، مع تركز كبير للضحايا في منطقة آسيا والمحيط الهادئ، مما يشير إلى جهد استراتيجي لاستغلال مناطق تتمتع بأنماط استخدام محددة للإنترنت. هذه المنطقة الجغرافية المحورية تجعل من اختراق خوادم IIS ذا أولوية في استراتيجيات المهاجمين.
تكتيكات متقدمة للإخفاء والثبات
تتجلى براعة BADIIS في كونه يعمل كوحدة نمطية أصلية خبيثة لـ IIS، مما يتيح له تحقيق الثبات وتجنب الاكتشاف بكفاءة ملحوظة. على عكس البرامج الخبيثة التي تعمل كعمليات مستقلة، يتم تحميل BADIIS مباشرة في عملية عامل IIS، مما يجعل من الصعب التمييز بينه وبين أنشطة الخادم المشروعة.
بمجرد التثبيت، يستخدم البرنامج الخبيث آلية تصفية “حساسة للسياق” لتحديد كيفية معالجة حركة المرور الواردة. يقوم بفحص رؤوس HTTP لكل طلب، ويبحث بشكل خاص عن سلاسل User-Agent المرتبطة بزواحف محركات البحث مثل Googlebot. عند اكتشاف زاحف، يقوم BADIIS بحقن كلمات مفتاحية وروابط خاصة بتحسين محركات البحث (SEO) في استجابة الخادم، مما يعزز ترتيب المواقع الخبيثة.
في المقابل، إذا قام مسؤول النظام أو مستخدم عادي بالوصول إلى الموقع، فإن البرنامج الخبيث يقدم المحتوى الأصلي والنظيف. هذا الأسلوب المزدوج يضمن بقاء الاختراق غير مرئي للمشغلين البشريين مع استمرار تسميم نتائج البحث بشكل نشط. وتُعتبر هذه التقنية جزءاً أساسياً من استراتيجية تسميم محركات البحث لضمان استمراريتها.
علاوة على ذلك، يساعد استخدام استدعاءات النظام المباشرة البرنامج الخبيث على تجاوز خطافات الكشف والاستجابة لنقطة النهاية (EDR)، مما يؤمن وجوده على جهاز الضحية. وتُعد حماية خوادم IIS من هذا النوع من الاختراقات أمراً بالغ الأهمية للحفاظ على سلامة المعلومات.
يتعين على المؤسسات فحص وحدات IIS المثبتة بانتظام بحثاً عن المكونات غير الموقعة أو غير المعروفة للكشف عن أي إصابات محتملة. ومن الضروري أيضاً مراقبة الاتصالات الشبكية غير المتوقعة التي تبدأها عملية عامل IIS، والتأكد من تحديث جميع خوادم ويندوز بشكل دوري لسد الثغرات الأمنية المعروفة ومنع الاختراقات المستقبلية.