كشفت ثغرة أمنية عن بنية تحتية كاملة لشبكة روبوتات (بوت نت) مرتبطة بإيران، مما يمنح الباحثين نظرة نادرة على عملية نشطة بعد ترك مجلد مفتوح على خادم التدريج الخاص بهم.
وقد أتاحت هذه الثغرة، التي تم الكشف عنها في 24 فبراير 2024، للباحثين التعرف على شبكة مكونة من 15 عقدة ترحيل، وإطار عمل لنشر SSH واسع النطاق، وأدوات لهجمات الحرمان من الخدمة (DDoS) التي تم تجميعها على أجهزة الضحايا، بالإضافة إلى عميل بوت نت مع عنوان قيادة وتحكم (C2) ثابت لا يزال قيد التطوير.
تم اكتشاف الخادم المعرض للخطر، والذي يحمل عنوان IP 185.221.239[.]162، من خلال البنية التحتية المسجلة لشركة “داد سمانه فاناوا” (PJS)، وهي مزود خدمة إنترنت إيراني. يحتوي الخادم على 449 ملفًا موزعة على 59 دليلًا فرعيًا، بما في ذلك ملف تكوين نفق، ونصوص بايثون للنشر، وثنائيات DDoS مجمعة، ومصادر C لهجمات الحرمان من الخدمة، وقائمة بيانات اعتماد تستخدم لاستهداف أنظمة الضحايا عبر SSH.
الكشف عن شبكة روبوتات مرتبطة بإيران
قام محللو Hunt.io بتحديد الخادم المكشوف أثناء مراجعة روتينية للبنية التحتية المستضافة في إيران باستخدام ميزتهم AttackCapture™، التي تفهرس المجلدات المفتوحة عبر الإنترنت.
من خلال ربط شهادة TLS مشتركة من Let’s Encrypt بنطاق wildcard *.server21[.]org، كشف الباحثون عن 14 عنوان IP إضافي تشترك في نفس البصمة. استضافت سبعة منها على Hetzner Online GmbH في فنلندا، وسبعة مسجلة لدى مزودي خدمات إنترنت إيرانيين. تم تسجيل النطاق في عام 2023، وتم توجيه DNS من خلال ArvanCloud، وهو مزود شبكات توزيع محتوى إيراني.
خدمت البنية التحتية نفسها غرضًا مزدوجًا. وصف ملف التكوين config-client.yaml نفق حزم يعتمد على KCP باستخدام Paqet، وهي أداة مفتوحة المصدر تم بناؤها لتجاوز نظام تصفية الإنترنت الوطني في إيران. وكان خادم إيران يقوم بتوجيه حركة المرور المشفرة إلى عقدة خروج Hetzner في فنلندا.
يشير وجود 3x-ui، وهو لوحة وكيل ويب مع إدارة حساب المستخدم وحصص حركة المرور، إلى خدمة VPN ترحيل تعمل تجارياً جنباً إلى جنب مع البنية التحتية للهجوم.
كشف ملف مسجل لسطور الأوامر (bash history) مكشوف عن مرحلة عمل المشغل عبر ثلاث مراحل متميزة: نشر النفق، وتطوير أدوات DDoS، وبناء شبكة الروبوتات. تشير تعليقات الكود المضمنة المكتوبة بالفارسية وأحرف النص العربي الخام من أخطاء إدخال لوحة المفاتيح إلى أن المشغل من المحتمل أن يكون مقره في إيران.
شملت أهداف DDoS في السجل خادم FiveM GTA وعاملين يواجهان HTTP/HTTPS، مع أدوات C مخصصة مثل syn.c و flood.c و au.c، إلى جانب MHDDOS مستنسخ من GitHub ومجمع مباشرة على خادم التدريج.
النشر الجماعي المدفوع بـ SSH
كان جوهر طريقة إصابة شبكة الروبوتات هذه هو نص برمجي Python يسمى ohhhh.py، والذي يقرأ بيانات الاعتماد بتنسيق مضيف: منفذ|اسم المستخدم|كلمة المرور ويفتح 500 جلسة SSH متزامنة ضد أجهزة الضحايا دفعة واحدة.
بمجرد أن تصبح الجلسة نشطة، يتم سحب ملف مصدر عميل الروبوت cnc.c من خادم التدريج، وتجميعه على جهاز الضحية باستخدام gcc -pthread، وتشغيله في جلسة screen منفصلة.
وكان تكتيك التجميع على الجهاز الخاص هذا خطوة واضحة لتجنب اكتشاف الملف الثنائي، حيث لا يتم نقل أي ملف تنفيذي مسبق التجميع، مما يجعل المسح القياسي القائم على التجزئة عديم الفائدة إلى حد كبير ضد هذا النوع من الهجمات.
تمت إعادة تسمية الملف الثنائي المجمع إلى hex على الأجهزة المصابة، وهو اسم بسيط غير مرجح أن يؤدي إلى تنبيهات أثناء الفحص الروتيني للنظام.
قام عميل الروبوت، الذي يطلق على نفسه اسم BOT CLIENT v1.0، بتسجيل كل مضيف مصاب حديثًا بـ “إشارة” تحمل عنوان IP الخاص بالضحية واسم المضيف ومعرف العملية باسم UnknownBOT ONLINE.
تضمن منطق إعادة الاتصال المدمج في الملف الثنائي استمرار الأجهزة المصابة في محاولة الوصول إلى C2 حتى لو توقف خادم التدريج عن العمل.
كان البرنامج النصي الثانوي، yse.py، بمثابة مفتاح تعطيل، مما يسمح للمشغل بمسح جميع الجلسات النشطة عن بعد عن طريق تشغيل pkill -9 screen عبر كل مضيف مصاب.
يجب على المدافعين حظر جميع عناوين IP المحددة المرتبطة بهذه العملية ومراقبة أسماء الملفات المحددة وتجزئات SHA-256 المرتبطة بـ ohhhh.py و yse.py وثنائي cnc.
إن تقوية الوصول عبر SSH – عن طريق فرض المصادقة المستندة إلى المفاتيح، وتعطيل تسجيل الدخول كـ root، وتقييد الجلسات المتزامنة – يتصدى مباشرة لطريقة المصادقة القائمة على بيانات الاعتماد التي اعتمد عليها هذا الجهة الفاعلة.
يجب على الفرق أيضًا وضع علامة على نشاط تجميع gcc غير المتوقع على الخوادم، حيث يعد بناء الملفات الثنائية على الجهاز مؤشرًا هامًا على أن الكشف القياسي على مستوى الملفات الثنائية قد لا يكتشف هذا النوع من التهديدات.