كشفت شركات الأمن السيبراني عن شبكة بوت نت جديدة مشتقة من برمجيات Mirai الخبيثة، والتي تعرف نفسها باسم xlabs_v1، وتستهدف الأجهزة المتصلة بالإنترنت وتشغل خدمة Android Debug Bridge (ADB) لضمها إلى شبكة قادرة على شن هجمات حجب الخدمة الموزعة (DDoS).
وذكرت شركة Hunt.io، التي وثقت هذه البرمجية الخبيثة، أنها اكتشفتها بعد تحديد موقع دليل مفتوح على خادم مستضاف في هولندا بعنوان IP “176.65.139[.]44” دون الحاجة إلى أي مصادقة.
تدعم البرمجية الخبيثة “21 تنويعًا لهجمات الفيضانات عبر بروتوكولات TCP و UDP والبروتوكولات العادية، بما في ذلك RakNet و UDP المشكل حسب OpenVPN، وقادرة على تجاوز حماية DDoS الخاصة بالمستهلكين”، وفقًا لـ Hunt.io، مضيفةً أنها متاحة كخدمة DDoS للإيجار مصممة لاستهداف خوادم الألعاب ومضيفي Minecraft.
ما يميز xlabs_v1 هو أنها تبحث عن أجهزة Android التي تشغل خدمة ADB مفتوحة على المنفذ TCP 5555، مما يعني أن أي جهاز يأتي مع تفعيل هذه الأداة افتراضيًا، مثل أجهزة Android TV boxes، وأجهزة الاستقبال الرقمي (set-top boxes)، والتلفزيونات الذكية، يمكن أن يكون هدفًا محتملاً.
تحليل شامل لشبكة xlabs_v1 الأمنية
بالإضافة إلى ملف APK الخاص بنظام Android (“boot.apk”)، تدعم البرمجية الخبيثة إصدارات متعددة المعمارية تشمل ARM و MIPS و x86-64 و ARC، مما يشير إلى أنها مصممة أيضًا لاستهداف أجهزة التوجيه المنزلية وأجهزة إنترنت الأشياء (IoT).
النتيجة هي شبكة بوت نت مصممة خصيصًا لتلقي أوامر الهجوم من لوحة تحكم المشغل (“xlabslover[.]lol”) وتوليد تدفق من حركة المرور غير المرغوب فيها عند الطلب، وتوجيه هجوم DDoS بشكل خاص نحو خوادم الألعاب.
“البوت متصل بشكل ثابت بمعمارية ARMv7، ويعمل على نواة Android مبسطة، ويتم تسليمه عبر لصق أوامر ADB shell في المسار /data/local/tmp”، أوضحت Hunt.io. “قائمة حمولات المشغل المكونة من تسعة تنويعات مضبوطة خصيصًا لأجهزة Android TV boxes، وأجهزة الاستقبال الرقمي، والتلفزيونات الذكية، وأجهزة IoT بمعمارية ARM التي تأتي مع تفعيل ADB.”
هناك دليل يشير إلى أن خدمة DDoS للإيجار تقدم أسعارًا متدرجة حسب عرض النطاق الترددي. يستند هذا التقييم إلى وجود روتين لقياس عرض النطاق الترددي يجمع بيانات النطاق الترددي للجهاز المستهدف والموقع الجغرافي.
يقوم هذا المكون بفتح 8192 اتصال TCP متوازٍ مع أقرب خادم Speedtest في المنطقة الجغرافية، وتشبعها لمدة 10 ثوانٍ، ويرسل معدل نقل البيانات المقاس مرة أخرى إلى لوحة التحكم. الهدف، كما لاحظت Hunt.io، هو تعيين كل جهاز تم اختراقه إلى فئة تسعير لعملائها.
جانب مهم يجب ملاحظته هنا هو أن شبكة البوت نت تستمر بعد إرسال معلومات النطاق الترددي بالميجابت في الثانية (Mbps)، مما يعني أن المشغل يحتاج إلى إعادة إصابة الجهاز مرة ثانية عبر نفس قناة استغلال ADB، نظرًا لعدم وجود آلية للثبات.
“البوت لا يكتب نفسه بشكل دائم في مواقع التخزين، ولا يعدل نصوص init، ولا ينشئ وحدات systemd، ولا يسجل مهام cron”، وفقًا لـ Hunt.io. “هذا التصميم يشير إلى أن المشغل يعتبر استقصاء النطاق الترددي عملية تحديث نادر لنطاق الأسطول بدلاً من فحص ما قبل الهجوم في كل مرة،ودورة الخروج وإعادة الإصابة الناتجة هي تصميم مقصود.”
تتميز xlabs_v1 أيضًا بنظام “قاتل” لإنهاء المنافسين حتى تتمكن من الاستيلاء على عرض النطاق الترددي الكامل للجهاز المستهدف وتكريسه لها، واستخدامه لتنفيذ هجوم DDoS. لم يتم تحديد هوية الجهة المسؤولة عن هذه البرمجية الخبيثة حاليًا، لكن الجهة الفاعلة المعروفة تستخدم لقب “Tadashi”، كما يتضح من سلسلة مشفرة بـ ChaCha20 مضمنة في كل نسخة من البوت.
كشف تحليل إضافي للبنية التحتية المتجاورة عن مجموعة أدوات لتعدين عملة Monero تسمى VLTRig على المضيف 176.65.139[.]42، على الرغم من أنه ليس من المعروف حاليًا ما إذا كانت مجموعتا الأنشطتين من عمل جهة فاعلة واحدة.
“بالمصطلحات التجارية الإجرامية، فإن xlabs_v1 هي شبكة متوسطة المستوى. إنها أكثر تطوراً من برمجيات Mirai المعتادة التي ينشئها المهاجمون المبتدئون […]، ولكنها أقل تطوراً من المستوى الأعلى لعمليات DDoS للإيجار التجارية”، حسبما ذكرت Hunt.io. “هذا المشغل يتنافس على السعر وتنوع الهجمات، وليس على التعقيد التقني. الأجهزة الاستهلاكية، وأجهزة التوجيه المنزلية، ومشغلو خوادم الألعاب الصغيرة هم الهدف.”
يأتي هذا التطور في الوقت الذي كشفت فيه شركة Darktrace أن جهة فاعلة تهديد غير معروفة استهدفت جهازي Jenkins تم تكوينهما بشكل خاطئ في شبكة اختبارها (honeypot) لنشر شبكة بوت نت DDoS تم تنزيلها من خادم بعيد (“103.177.110[.]202”)، مع اتخاذ خطوات للتخفي عن الاكتشاف في نفس الوقت.
“يشير وجود تقنيات DoS الخاصة بالألعاب بشكل أكبر إلى أن صناعة الألعاب لا تزال هدفًا مكثفًا للمهاجمين السيبرانيين”، حسبما ذكرت الشركة. “من المحتمل أن تكون شبكة البوت هذه قد استخدمت بالفعل ضد خوادم الألعاب، لتذكير مشغلي الخوادم بضرورة التأكد من وجود تدابير الحماية المناسبة.”