برزت سلالة متطورة جديدة من شبكة الروبوتات (بوت نت) المعروفة باسم “ميراي” (Mirai)، والتي أطلق عليها اسم “برودسايد” (Broadside)، كتهديد نشط يستهدف شركات الشحن البحري ومشغلي السفن.
يستغل برنامج التجسس الضار هذا ثغرة أمنية حرجة في أجهزة تسجيل الفيديو الرقمي (DVR) من إنتاج TBK، والتي تستخدم للمراقبة الأمنية على سفن الشحن واللوجستيات البحرية.
يمثل هذا الاكتشاف تحولاً هاماً في كيفية عمل هجمات شبكات الروبوتات الحديثة، حيث تتجاوز حملات الحرمان من الخدمة (DDoS) إلى تكتيكات أكثر تقدماً لجمع بيانات الاعتماد والحركة الجانبية داخل الشبكات.
بدأت حملة “برودسايد” في اكتساب الزخم خلال الأشهر الأخيرة، حيث تتعقب شركة Cydome الأمنية مكونات بنية تحتية نشطة متعددة.
تُظهر شبكة الروبوتات هذه مستوى من التطور نادرًا ما يُرى في سلالات “ميراي” المحدثة، حيث تدمج بروتوكولات قيادة وسيطرة مخصصة وآليات استمرارية متقدمة مصممة خصيصًا للتهرب من الكشف.
برودسايد: تهديد جديد في عالم الأمن السيبراني البحري
على عكس الإصدارات المبكرة من “ميراي” التي اعتمدت على طرق اتصال قياسية، تستخدم “برودسايد” توقيع “رأس سحري” فريد (0x36694201) مدمج في كل حزمة تحكم، مما يتيح اتصالاً آمنًا مع صعوبة اكتشافه عبر المراقبة التقليدية للشبكات، كما لاحظ باحثو Cydome.
ناقل الهجوم (Attack Vector)
يستغل ناقل الهجوم الأولي الثغرة الحرجة CVE-2024-3721، التي تسمح بالحقن عن بعد للأوامر في نقطة النهاية /device.rsp لأنظمة TBK DVR.
يرسل المهاجمون طلبات HTTP POST مصاغة خصيصًا لنشر برنامج تحميل (loader) يقوم بتنزيل الثنائي الخبيث عبر معماريات معالجات متعددة، بما في ذلك إصدارات ARM و MIPS و x86 و PowerPC.
بمجرد التنفيذ، يقوم البرنامج الضار بإزالة نفسه فوراً من القرص ويقيم بالكامل في الذاكرة لتجنب الكشف بواسطة أدوات الأمان المستندة إلى الملفات.
حددت Cydome أن “برودسايد” تستخدم طريقتين مميزتين لمراقبة العمليات.
تحاول البرمجية الخبيثة أولاً تمكين “الوضع الذكي” (Smart Mode)، الذي يستخدم مقابس “Netlink” في نواة النظام لتلقي إشعارات في الوقت الفعلي حول نشاط العمليات.
يقلل هذا النهج من الحمل على وحدة المعالجة المركزية ويسمح للروبوت بالعمل بشكل خفي. إذا منعت قيود النواة هذه الطريقة، تنتقل “برودسايد” إلى “وضع الذعر” (Panic Mode)، حيث تقوم بفحص دليل /proc بشكل مكثف كل 0.1 ثانية لتحديد العمليات المنافسة أو أدوات الأمان.
يضمن هذا النهج المزدوج أن تحتفظ البرمجية الخبيثة بالسيطرة المستمرة على الأنظمة المصابة بغض النظر عن تكوين النظام.
وحدة قتل العمليات في البرمجية الخبيثة، والتي أطلق عليها الباحثون اسم “القاضي والهيئة والمُنفذ”، تطارد بنشاط البرمجيات الخبيثة المتنافسة وأدوات الأمان المحتملة، وتنهي أي عمليات تتطابق مع أنماط محددة أو تفشل في عمليات التحقق الداخلية.
تحتفظ الوحدة بآليات قائمة بيضاء وقائمة سوداء في الذاكرة، مما يسمح لها بالقضاء على التهديدات بسرعة دون إعادة فحص النظام بالكامل.
بالإضافة إلى ذلك، تقوم “برودسايد” بجمع ملفات بيانات الاعتماد أثناء التهيئة عن طريق الوصول إلى /etc/passwd و /etc/shadow لسرد الحسابات المحلية والإعداد للحصول على امتيازات أعلى والحركة الجانبية.
بمجرد التأسيس على نظام DVR مخترق، تشن “برودسايد” هجمات فيضانات UDP ذات معدل مرتفع يمكن أن تشبع شبكات الاتصالات عبر الأقمار الصناعية البحرية.
تفتح وحدة الهجوم ما يصل إلى 32 مقبس UDP متزامن بالمنافذ المصدر العشوائية وتطبق تعدد الأشكال للحمولة (payload polymorphism)، حيث تقوم بتغيير رؤوس الحزم بشكل طفيف للتغلب على أنظمة الكشف الثابتة المستندة إلى التوقيع.
لا ينتهي وظيفة حجب الخدمة (DDoS) بشكل طبيعي أبدًا؛ فهي تتكيف باستمرار مع ملفات تعريف التوقيت الخاصة بها حتى يتم إيقاف تشغيل النظام المصاب أو إنهاء العملية بالقوة.
يمتد التأثير التشغيلي على السفن البحرية إلى ما هو أبعد من مجرد تعطيل الشبكة. عادةً ما تقوم أجهزة DVR المخترقة بإدارة تغذيات كاميرات المراقبة الحيوية (CCTV) لجسور السفن وغرف المحركات وعنابر الشحن.
يمكن أن يؤدي تدهور النظام أو اختراقه إلى تعمية الأطقم عن حوادث الأمن المادية، في حين أن نشاط DDoS المكثف يمكن أن يشبع وصلات الأقمار الصناعية المحدودة.
في الشبكات ذات الهيكلية المسطحة، توفر أنظمة كاميرات المراقبة المخترقة موطئ قدم للمهاجمين للانتقال إلى أنظمة العمل البحرية الأكثر حساسية.