تتعرض أجهزة التخزين الشبكي Feiniu (fnOS) حاليًا لهجمات واسعة النطاق عبر الإنترنت، حيث يتم استهدافها وإصابتها بواسطة برنامج Netdragon الخبيث. تستغل هذه الحملة الأمنية ثغرات غير معلومة في أنظمة fnOS لإدخال شفرات ضارة، مما يمثل تهديدًا خطيرًا لأمن البيانات.
يبدو أن هذا الهجوم يركز بشكل خاص على البنية التحتية للتخزين، متجاوزًا الإصابات العشوائية إلى استهداف أجهزة عالية القيمة. يعتمد المهاجمون على استغلال الخدمات المكشوفة على أجهزة التخزين الشبكي لزرع واجهة خلفية للهجوم عبر بروتوكول HTTP.
هجوم Netdragon واسع النطاق يستهدف أجهزة Feiniu NAS
بعد gaining access to the devices, attackers install a modular malware system comprising a loader and a DDoS attack component. This allows them to execute arbitrary commands remotely and enlist the compromised units into a botnet army for large-scale denial-of-service attacks. The malware has been observed deleting a critical private key file, `rsa_private_key.pem`, posing a severe risk to data security.
وبحسب محللي Qi An Xin X Lab، فقد نجحت الحملة في إصابة حوالي 1500 جهاز حتى نهاية يناير. تشير البيانات إلى أن الأجهزة المصابة موزعة جغرافيًا، مع تركيز ملحوظ في الصين والولايات المتحدة وسنغافورة، وتضم قطاعات متنوعة تشمل خدمات البرمجيات والإدارة العامة.
آليات الثبات والتخفي
يتميز برنامج Netdragon الخبيث بآليات ثبات وتخفي متطورة للحفاظ على السيطرة. فهو يؤسس موطئ قدم مزدوج وقوي من خلال إنشاء خدمات systemd في مساحة المستخدم ووحدات نواة في مساحة النواة، مما يضمن بقاء البرمجية الخبيثة حتى بعد إعادة تشغيل النظام.
ولتعزيز وجوده، يقوم البرنامج الخبيث بتعطيل قدرات صيانة الجهاز بشكل نشط. يقوم بالتلاعب بملف `hosts` للنظام لتوجيه نطاق التحديث الرسمي إلى `0.0.0.0`، مما يمنع الجهاز فعليًا من تنزيل تحديثات الأمان أو إكمال ترقيات النظام.
إخفاء النشاط والتحايل على الكشف
للتخفي عن مسؤولي النظام، يستخدم Netdragon تقنيات تعبئة مفاتيح ديناميكية لإخفاء شفرته، مما يعقد عملية التحليل. كما يخفي وجوده عن طريق حذف سجلات النظام والتلاعب بقوائم العمليات لإخفاء المهام قيد التشغيل. أثناء الهجمات النشطة، يقوم بتعطيل أدوات مراقبة الشبكة بشكل خاص لإخفاء الزيادة المفاجئة في حركة المرور.
تتطلب عملية التعافي من هذه الإصابة تدخلًا يدويًا دقيقًا نظرًا لتعطيل التحديثات القياسية. يجب على المستخدمين أولاً إزالة أي قواعد جدار حماية تم التلاعب بها من `nft` و `iptables` لمنع جهود الإزالة. من الأهمية بمكان تحديد وحذف وحدة النواة الخبيثة المسماة `async_memcpys.ko` وخدمة مساحة المستخدم `dockers.service`.
بالإضافة إلى ذلك، يجب على المسؤولين استعادة مسار تحديث النظام عن طريق إصلاح ملف hosts، ومراقبة منفذ الباب الخلفي 57199 لمنع إعادة العدوى. ويعد الحفاظ على تحديث الأجهزة، وتأمين الخدمات المكشوفة، وتطبيق إجراءات أمنية صارمة، خطوات ضرورية لمواجهة مثل هذه التهديدات المتطورة.