كشفت تقارير أمنية حديثة عن شبكة “ظلية” معقدة تتسلل بصمت إلى اتصالات الإنترنت المنزلية عبر استغلال أجهزة الراوتر (الموجهات) الضعيفة، مما يسمح للمهاجمين بالتحكم في حركة مرور الويب وتوجيه المستخدمين نحو مواقع خبيثة.
تستهدف هذه الشبكة، التي تم رصدها من قبل محللي شركة Infoblox، أجهزة الراوتر التي تم اختراقها، وتغيّر إعدادات نظام اسم النطاق (DNS) الخاص بها. بدلاً من استخدام خوادم موثوقة من مزودي الخدمة، يتم توجيه جميع استعلامات الويب إلى خوادم دقة تابعة لشركة Aeza International، وهي شركة استضافة معروفة بتقاعسها عن التعاون مع السلطات الأمنية.
شبكة DNS الظلية تهدد خصوصية المستخدمين
تسمح هذه الموجهات الخبيثة للمتسللين بالتلاعب بالمواقع التي يمكن للمستخدمين الوصول إليها، وغالباً ما يتم توجيههم إلى منصات إعلانية احتيالية أو عمليات احتيال عبر الإنترنت. في حين أن المواقع الشهيرة مثل جوجل قد تظهر بشكل سليم لتجنب إثارة الشكوك، فإن أهدافًا محددة تتسبب في سلسلة إعادة توجيه معقدة.
تتضمن هذه العملية نظام توزيع حركة مرور (TDS) ثانٍ يعتمد على بروتوكول HTTP، والذي يقوم بفحص جهاز الضحية قبل تقديم الحمولة النهائية. وقد ربط محللو Infoblox بين التقارير المتناثرة عن سلوك الإنترنت “غير المنطقي” والأنماط الشاذة في نظام DNS.
استغلال الثقة في أجهزة الراوتر
وفقًا للتحليل، يستهدف المهاجمون بشكل أساسي نماذج الراوتر القديمة، مما يقوض بشكل أساسي سلسلة الثقة لكل جهاز متصل بالشبكة المنزلية. أبلغ المستخدمون عن مشكلات غريبة، مثل عدم القدرة على الوصول إلى تطبيقات معينة أو إعادة توجيه مستمر للمتصفح، وغالبًا ما كانوا يلومون أجهزتهم الشخصية بدلاً من أجهزة الراوتر.
تقنية التهرب عبر EDNS0
يُعد الجانب الأكثر تعقيدًا تقنيًا في هذه الحملة هو طريقة التهرب الخفية التي تستخدمها. واجه محللو الأمن صعوبة في البداية في تكرار استجابات DNS الخبيثة، حيث لم تكن الخوادم المارقة تستجيب للاستعلامات القياسية. جاء الاختراق عندما اكتشف المحللون أن الخوادم الظلية تستجيب فقط إذا تم تعطيل بروتوكول EDNS0 (امتدادات DNS) بشكل صريح.
نظرًا لأن EDNS0 هو امتداد قياسي للبروتوكول تستخدمه جميع خوادم الدقة الحديثة تقريبًا للتعامل مع أحجام أكبر من الحزم والميزات الأمنية، فإن أدوات الفحص الأمني القياسية تتضمنه تلقائيًا. من خلال تكوين خوادمهم لتجاهل هذه الاستعلامات القياسية، جعل المهاجمون بنيتهم التحتية غير مرئية فعليًا للفحص الآلي ومعظم الباحثين الأمنيين.
سمح هذا الفلتر البسيط والفعال للشبكة الخبيثة بالعمل دون اكتشاف لسنوات، حيث قدمت عناوين IP صحيحة للباحثين أثناء تقديم استجابات مخترقة للضحايا الفعليين الذين يستخدمون معدات قديمة غير متوافقة أو إعدادات معينة. هذه التقنية تثير قلقًا كبيرًا بسبب قدرتها على التخفي.
لمواجهة هذا التهديد، يجب على المستخدمين تدقيق إعدادات الراوتر الخاصة بهم بحثًا عن إعدادات DNS غير المصرح بها. يُعد تحديث البرامج الثابتة للراوتر إلى أحدث الإصدارات أمرًا بالغ الأهمية، وكذلك استبدال الأجهزة القديمة التي لم تعد تتلقى تحديثات أمنية لمنع الاختراق الأولي. الحفاظ على أمان أجهزة الشبكة المنزلية هو الخطوة الأولى لحماية خصوصية الإنترنت.