كشفت تقارير حديثة عن ظهور سلالتين جديدتين من البرمجيات الخبيثة تستهدفان البنية التحتية للشبكات، مثل أجهزة التوجيه وجدران الحماية. يمثل هذا التطور توسعاً في نطاق التهديدات السيبرانية، حيث لم تعد هذه الهجمات مقتصرة على عمليات التجسس المتقدمة، بل امتدت لتشمل مشغلي شبكات الروبوتات ومنقبي العملات المشفرة.
تم رصد عيّنتين غير موثقتين سابقاً تستهدفان أجهزة الشبكات التي تعمل بنظام لينكس، وذلك في 6 مارس 2026. تضمنت العيّنتان متغيراً جديداً من “كوندي بوت” (CondiBot)، وهو بوت نت مخصص لهجمات رفض الخدمة الموزعة (DDoS)، وعملية تعدين عملات مشفرة أطلق عليها اسم “موناكو” (Monaco) وتعمل بلغة Go.
تهديدات جديدة تضرب البنية التحتية للشبكات
أفاد باحثون في مجال الأمن السيبراني بأن هذه التهديدات الجديدة تثير القلق نظراً لقدرتها على استهداف مجموعة واسعة من الأجهزة. يعكس اكتشاف هذين المتغيرين اتجاهاً متزايداً لدى الجهات الفاعلة في مجال التهديدات، سواء كانت مدعومة من دول أو دوافع مالية، للتركيز على أجهزة الشبكات كنقاط دخول استراتيجية.
ويُعد “كوندي بوت” متغيراً مشتقاً من عائلة برمجيات “ميراي” (Mirai) المعروفة، ويهدف إلى تحويل أنظمة لينكس المخترقة إلى عقد تحكم عن بعد لتنفيذ هجمات. وتكمن الخطورة في أن هذا المتغير الجديد يحمل معرّفاً داخلياً “QTXBOT”، والذي لم يظهر في تقارير “كوندي” السابقة، مما قد يشير إلى فرع جديد وغير مُبلغ عنه.
في المقابل، تستغل عملية “موناكو” خوادم SSH المكشوفة عبر الإنترنت، وتخترقها باستخدام تقنيات القوة الغاشمة. بعد ذلك، تقوم بتعدين عملة مونيرو المشفرة سراً على الأجهزة المخترقة، وترسل بيانات الاعتماد المسروقة إلى خادم تحكم في سنغافورة، مما يشير إلى ضعف في إجراءات التشغيل لدى الجهة المهاجمة.
التصميم متعدد المعماريات والتوسع في الاستهداف
ما يزيد من خطورة هذين التهديدين هو تصميمهما الذي يدعم معماريات متعددة. يدعم “كوندي بوت” منصات ARM و MIPS و x86 و x86_64، مما يعني قدرته على العمل على أي جهاز لينكس ضعيف بغض النظر عن الشركة المصنعة. وبالمثل، تم تجميع “موناكو” لمنصات ARM32 و ARM64 و MIPS، مما يمنحه انتشاراً واسعاً عبر أجهزة إنترنت الأشياء (IoT) وأجهزة التوجيه والخوادم.
يشير هذا التطور إلى أن الجهات الإجرامية ذات الدوافع المالية بدأت تستغل نفس نقاط الضعف في الشبكات التي كانت مرتبطة سابقاً بمجموعات التهديد المتقدم المستمر (APT). وتؤكد هذه الاكتشافات التحذيرات السابقة بأن أجهزة الشبكات أصبحت ساحة معركة رئيسية لكل من التجسس والتهديدات ذات الدوافع المالية.
آلية عمل “كوندي بوت” واستمراريته
بمجرد وصول “كوندي بوت” إلى الجهاز، فإنه يستخدم نهجاً متعدد الطبقات لتثبيت نفسه، حيث يتناوب بين أدوات نقل الملفات المتعددة مثل wget و curl و tftp و ftpget. هذا يضمن وصول الحمولة الخبيثة حتى لو كانت بعض هذه الأدوات غير متاحة.
بعد ذلك، يسجل البوت نفسه لدى خادم القيادة والتحكم الخاص به، ويرسل حزمة تسجيل لتحديد العقدة المخترقة قبل انتظار تعليمات الهجوم. ما يجعل هذا المتغير مستمراً بشكل خاص هو قدرته على تعطيل أدوات إعادة تشغيل النظام عن طريق ضبط أذونات ملفاتها إلى ‘000’، مما يحرم الجهاز من قدرات الاستعادة الطبيعية.
كما يتلاعب بساعة المراقبة (watchdog) للحفاظ على نشاطه، ويقوم بقتل عمليات البوت نت المتنافسة على نفس الجهاز، بما في ذلك تلك المرتبطة بعائلة بوت نت “سورا” (Sora). يسجل المتغير 32 معالج هجوم، وهو عدد أكبر من إصدارات “كوندي” السابقة، مما قد يشير إلى تقنيات فيضان جديدة وطرق على مستوى البروتوكول التي توسع نطاق الأهداف التي يمكنه ضربها.
يُنصح المؤسسات بمراجعة الأجهزة المتصلة بالشبكة بحثاً عن عمليات غير مصرح بها واتصالات مشبوهة. يجب استبدال بيانات اعتماد SSH الضعيفة أو الافتراضية فوراً، وتقييد الوصول عبر SSH للمواقع الموثوقة. كما يجب تحديث البرامج الثابتة لأجهزة التوجيه وجدران الحماية وأجهزة إنترنت الأشياء بانتظام، وعزل الأجهزة القديمة التي لا تتلقى تحديثات أمنية أو إيقاف استخدامها.