كشف باحثون في مجال الأمن السيبراني عن تفاصيل عملية تجسس جديدة تُعرف باسم SSHStalker، والتي تعتمد على بروتوكول الإنترنت Relay Chat (IRC) لأغراض القيادة والتحكم (C2). تستهدف هذه العملية البنية التحتية القديمة والمُهملة، مما يثير تساؤلات حول دوافع المهاجمين.
تجمع أداة SSHStalker بين تقنيات التخفي واستغلال ثغرات أنظمة لينكس القديمة، حيث تتضمن أدوات لتنظيف السجلات (مثل سجلات utmp و wtmp و lastlog) وعناصر مشابهة للجذور الخفية (rootkit). كما أنها تحتفظ بمجموعة كبيرة من الثغرات القديمة لأنظمة لينكس (إصدارات 2.6.x)، والتي ترجع إلى عامي 2009 و 2010. ورغم أن هذه الثغرات قد لا تكون فعالة ضد الأنظمة الحديثة، إلا أنها تظل أداة قوية ضد البنى التحتية غير المُحدثة والبيئات القديمة.
عملية SSHStalker: استغلال الثغرات القديمة والتخفي
تدمج SSHStalker آليات شبكات روبوتات IRC مع عملية أتمتة واسعة النطاق للاختراق. تعتمد العملية على ماسح SSH وأدوات مسح أخرى متاحة للاستيلاء على الأنظمة الضعيفة وضمها إلى شبكة، ثم تسجيلها في قنوات IRC. هذا النهج يسمح للمهاجمين بالسيطرة على عدد كبير من الأجهزة.
على عكس حملات أخرى تستغل شبكات الروبوتات هذه لأغراض الانتشار الواسع مثل هجمات الحرمان من الخدمة (DDoS)، أو سرقة عرض النطاق الترددي (proxyjacking)، أو تعدين العملات المشفرة، يبدو أن SSHStalker تحافظ على وصول دائم دون أن تظهر أي سلوكيات لاحقة بعد الاختراق. هذا السلوك الخامل يثير احتمال استخدام البنية التحتية المخترقة لأغراض التنسيق، أو الاختبار، أو الاحتفاظ بالوصول الاستراتيجي للاستخدام المستقبلي.
التقنيات المستخدمة في SSHStalker
يُعد مكون رئيسي في SSHStalker هو الماسح الذي تم تطويره باستخدام لغة البرمجة Go. يقوم هذا الماسح بفحص المنفذ 22 (منفذ SSH) بحثًا عن الخوادم التي لديها SSH مفتوح، بهدف توسيع نطاق وصوله بطريقة تشبه الديدان (worm-like). كما يتم إسقاط العديد من الحمولات الخبيثة، بما في ذلك متغيرات من روبوت يتم التحكم فيه عبر IRC وملف روبوت مكتوب بلغة Perl يتصل بخادم IRC من نوع UnrealIRCd.
ينضم الروبوت إلى قناة تحكم وينتظر الأوامر التي تسمح له بتنفيذ هجمات حركة مرور جماعية والاستيلاء على روبوتات أخرى. تتميز الهجمات أيضًا بتنفيذ ملفات برمجية بلغة C لتنظيف سجلات اتصال SSH ومحو آثار النشاط الخبيث من السجلات، مما يقلل من احتمالية اكتشافه من قبل أدوات التحقيق الجنائية. علاوة على ذلك، تحتوي حزمة برامج SSHStalker على مكون “الحفاظ على الاتصال” الذي يضمن إعادة تشغيل عملية البرامج الضارة الرئيسية في غضون 60 ثانية إذا تم إنهاؤها بواسطة أداة أمنية.
استغلال ثغرات تاريخية
تتميز SSHStalker بدمج أتمتة الاختراق الجماعي مع مجموعة من 16 ثغرة أمنية مختلفة تؤثر على نواة نظام لينكس، بعضها يعود إلى عام 2009. تشمل بعض الثغرات المستخدمة في وحدة الاستغلال: CVE-2009-2692، CVE-2009-2698، CVE-2010-3849، CVE-2010-1173، CVE-2009-2267، CVE-2009-2908، CVE-2009-3547، CVE-2010-2959، و CVE-2010-3437.
كشفت تحقيقات Flare للبنية التحتية المستخدمة من قبل الجهة الفاعلة في التهديد عن مستودع واسع لأدوات الهجوم مفتوحة المصدر وعينات برامج ضارة نُشرت سابقًا. وتشمل هذه الأدوات: جذور خفية لتسهيل التخفي والاستمرارية، وبرامج تعدين العملات المشفرة، وسكربت بايثون ينفذ برنامجًا ثنائيًا يسمى “web grabber” لسرقة بيانات اعتماد Amazon Web Services (AWS) المكشوفة من المواقع المستهدفة، وأداة EnergyMech، وهي روبوت IRC يوفر إمكانيات القيادة والتحكم وتنفيذ الأوامر عن بعد.
يُشتبه في أن الجهة الفاعلة وراء هذه الأنشطة قد تكون من أصل روماني، نظرًا لوجود “أسماء مستعارة على الطراز الروماني، وأنماط لغة عامية، وتسميات داخل قنوات IRC وقوائم كلمات التكوين”. والأكثر من ذلك، تظهر البصمة التشغيلية تداخلات قوية مع بصمة مجموعة الهاكرز المعروفة باسم Outlaw (المعروفة أيضًا باسم Dota).
توضح SSHStalker، وفقًا لما ذكرته Flare، تركيزها ليس على تطوير ثغرات جديدة، بل على إظهار التحكم التشغيلي من خلال التنفيذ الناضج والتنسيق، وذلك باستخدام لغة C بشكل أساسي لمكونات الروبوت الأساسية والمكونات منخفضة المستوى، ولغة Shell للتنسيق والاستمرارية، مع استخدام محدود لبايثون و Perl بشكل أساسي للمهام المساعدة داخل سلسلة الهجوم وتشغيل روبوت IRC. إن الجهة الفاعلة لا تطور ثغرات يوم الصفر أو جذور خفية جديدة، بل تظهر انضباطًا تشغيليًا قويًا في سير عمل الاختراق الجماعي، وإعادة تدوير البنية التحتية، والاستمرارية طويلة الأمد عبر بيئات لينكس المتنوعة.