كشف خبراء الأمن السيبراني عن بنية تحتية جديدة للتحكم والسيطرة (C2) تُعرف باسم Aeternum C2، والتي تستخدم شبكة البوليجون (Polygon) البلوكتشين لتخزين أوامرها. هذا الابتكار يمثل تحديًا كبيرًا لأساليب مكافحة شبكات الروبوتات التقليدية التي تعتمد على تعطيل خوادم القيادة والتحكم.
تُعد Aeternum C2 أول بنية تحتية تجارية متاحة تسمح بتنفيذ شبكات C2 على البلوكتشين، مما يجعلها أكثر مقاومة لجهود الإنفاذ القانوني. تم رصد هذه البنية من قبل محللي Qrator Labs، الذين لاحظوا أنها مكتوبة بلغة C++ الأصلية وتتوفر بإصدارات 32 بت و 64 بت.
كيف تعمل بنية Aeternum C2 القائمة على البلوكتشين؟
بدلاً من الاعتماد على خوادم تقليدية، تقوم Aeternum C2 بتخزين جميع الأوامر الخاصة بها داخل عقود ذكية على شبكة البوليجون. يتم تسجيل كل أمر صادر للآلات المصابة كمعاملة على البلوكتشين، وتقوم الروبوتات بقراءة هذه الأوامر عبر نقاط النهاية العامة للاتصال الإجرائي عن بُعد (RPC).
وفقًا لوثائق البائع، تتلقى جميع الروبوتات النشطة تحديثات في غضون دقيقتين إلى ثلاث دقائق، وهو ما يعتبر أسرع وأكثر اتساقًا من شبكات الروبوتات التقليدية من نظير إلى نظير.
تُسوّق شبكة البوت هذه في منتديات تحت الأرض كترخيص مدى الحياة مع بناء مهيأ مسبقًا، أو ككود مصدر كامل بلغة C++ مع تحديثات مستمرة. التكاليف التشغيلية للبنية التحتية منخفضة للغاية، حيث يمكن لمبلغ دولار واحد فقط من عملة MATIC، وهي العملة الأصلية لشبكة البوليجون، تغطية 100 إلى 150 معاملة أوامر.
تحديات جديدة في مواجهة الأمن السيبراني
بدون الحاجة لاستئجار خوادم أو تسجيل نطاقات، فإن التكاليف التشغيلية للحفاظ على شبكة روبوتات مرنة تقترب من الصفر. هذا يفتح الباب أمام المزيد من الجهات الفاعلة في مجال التهديدات للوصول إلى هذا النوع من البنية التحتية.
إن الضرر المحتمل من شبكات الروبوتات المبنية على هذا النموذج يتجاوز الحملات الفردية. بمجرد نشرها، يمكن لهذه الشبكات أن تنمو دون عوائق وتُستخدم لهجمات الحرمان من الخدمة الموزعة (DDoS) واسعة النطاق، وحشو بيانات الاعتماد، والاحتيال بالنقر، وإساءة استخدام الوكيل كخدمة، وسرقة البيانات.
حتى التنظيف الكامل للأجهزة المصابة لا يؤثر على العقود الذكية للمشغل، مما يعني أن إعادة النشر الكامل ممكنة في أي لحظة دون الحاجة لإعادة بناء البنية التحتية.
كيف تتهرب Aeternum C2 من الكشف؟
يدير المشغل كل شيء من خلال لوحة تحكم تستند إلى الويب. من هذه الواجهة، يختار المهاجم عقدًا ذكيًا، ويحدد نوع الأمر – سواء كان ذلك استهداف جميع الروبوتات، أو الاتصال بجهاز معين بواسطة معرف الجهاز (HWID)، أو دفع محمل DLL – ثم يقدم عنوان URL للحمولة وينشر التحديث على البلوكتشين.
بمجرد تأكيد الأمر على السلسلة، لا يمكن تعديله أو إزالته إلا من قبل مالك المحفظة. يمكن للمشغل تشغيل عقود متعددة في وقت واحد، ويرتبط كل عقد بوظيفة مختلفة مثل الاقتصاص، أو السرقة، أو أداة الوصول عن بعد (RAT)، أو عامل التعدين.
تتضمن Aeternum أيضًا اكتشاف الآلات الافتراضية (anti-VM)، مما يمنع التنفيذ داخل البيئات الافتراضية التي تستخدمها عادةً بائعي برامج مكافحة الفيروسات ومحللي البرامج الضارة.
يحزم البائع ماسحًا ضوئيًا في وقت الفحص مدعومًا بواجهة برمجة تطبيقات Kleenscan. يظهر هذا أن 12 فقط من أصل 37 محركًا اكتشفت العينة، بينما عادت CrowdStrike و Avast و Avira و ClamAV بنتائج نظيفة في وقت الاختبار.
التوصيات الأمنية
لن تنجح عمليات الاستيلاء التقليدية على النطاقات وإسقاط الخوادم في إيقاف قناة C2 القائمة على البلوكتشين. يجب على فرق الأمن التركيز على الكشف من نقطة النهاية، والمراقبة السلوكية، وفرض ضوابط صارمة على التطبيقات لاكتشاف الملفات التنفيذية المشبوهة مبكرًا.
يجب على المدافعين عن الشبكة تقييم ما إذا كان يمكن مراقبة الاتصالات الصادرة إلى نقاط نهاية Polygon RPC المعروفة أو تقييدها دون تعطيل العمليات المشروعة.
نظرًا لأن عمليات إسقاط البنية التحتية لم تعد موثوقة ضد هذا النموذج، يظل الترشيح الاستباقي للحركة على حافة الشبكة هو خط الدفاع الأكثر موثوقية.