كشفت تقارير أمنية دولية عن ظهور برمجية خبيثة جديدة تُدعى “RoadK1ll”، تعمل على تحويل الأجهزة المخترقة بصمت إلى نقاط عبور شبكية قابلة للتحكم. تختلف هذه البرمجية عن الأدوات التقليدية، حيث تركز بشكل كامل على منح المهاجمين مساراً آمناً للتغلغل بشكل أعمق داخل الشبكات المستهدفة، مما يجعلها أداة خطيرة لتعزيز عمليات الاختراق.
تم تطوير RoadK1ll لتعمل كأداة مساعدة لما بعد الاختراق، وليس كأداة هجوم مباشر. تكمن خطورتها في قدرتها على فتح أبواب شبكية كانت تعتبر آمنة ومعزولة، وذلك عبر استغلال جهاز واحد تم اختراقه وتحويله إلى نقطة ارتكاز متعددة الاستخدامات للتنقل داخل الشبكة.
تكتيكات RoadK1ll: اختراق الشبكات عبر استغلال نقاط الضعف
نجح محللو مركز عمليات الاستجابة من Blackpoint (BROC) في تحديد برمجية RoadK1ll أثناء تحليلهم لعملية اختراق شبكية حديثة. قام الباحثان نيفان بيل وسام ديكر بنشر نتائج تحقيقاتهما، وصفا فيها هذه البرمجية بأنها “قدرة مخصصة لما بعد الاختراق” تهدف إلى توسيع نطاق الاختراق الأولي. بدلاً من تنفيذ هجمات مباشرة، تركز البرمجية على تمكين المهاجم من التحرك بحرية أكبر داخل البنية التحتية المستهدفة.
تكمن خطورة RoadK1ll في قدرتها على العمل بخفاء تام داخل الشبكة. فهي لا تفتح منافذ استقبال غير آمنة على جهاز الضحية، وتعتمد على حركة مرور الويب الصادرة لإنشاء اتصالات مشفرة. هذا الأسلوب يجعلها تتكيف بسهولة مع النشاط الشبكي الطبيعي، ولا تثير شكوك أنظمة المراقبة الروتينية، مما يوفر للمهاجمين نافذة عمل واسعة.
تُعد الأدوات التي تعمل بهدوء وتحافظ على الوصول مفيدة بشكل خاص للمنظمات التي تعتمد على دفاعات محيطية قوية. فبمجرد تفعيل RoadK1ll، يمكن للمهاجمين الوصول إلى قواعد بيانات داخلية، وواجهات إدارية، وبيئات شبكية معزولة دون الحاجة لتجاوز الحاجز الأمني الخارجي مرة أخرى. ليتحول الجهاز المخترق بذلك من نقطة نهاية معرضة للخطر إلى بوابة يتحكم بها المهاجم لدخول أعمق إلى الشبكة.
بروتوكول WebSocket المخصص يتجسس على حركة المرور
بدلاً من الاعتماد على أدوات الأنفاق التقليدية، طورت RoadK1ll بروتوكولها المخصص للتواصل فوق اتصال WebSocket واحد. يستخدم كل رسالة ترويسة ثابتة مكونة من 5 بايتات، حيث تحدد الأربعة بايتات الأولى القناة النشطة، بينما تحدد البايتة الخامسة نوع الرسالة، وتتبعها البيانات الفعلية. هذا الهيكل يسمح للمهاجم بتشغيل جلسات مستقلة متعددة عبر نفس النفق دفعة واحدة.
تستورد البرمجية وحدتين أساسيتين من Node.js: `net` لمعالجة مقابس TCP، و `ws` لإدارة جلسة WebSocket. تحدد قيم التكوين في الشفرة عنوان الخادم البعيد، ورقم المنفذ، ورمزاً مميزاً مشتركاً يعمل كآلية تحقق من الهوية الأساسية. كما أن هناك مؤقت إعادة اتصال مدمج يقوم تلقائياً بإعادة إنشاء نفق WebSocket في حالة انقطاع الاتصال، مما يبقي نقطة العبور نشطة.
تدعم البرمجية خمسة أنواع من الرسائل: `DATA` لإعادة توجيه حركة المرور، `CONNECT` لفتح اتصال TCP جديد مع هدف داخلي، `CONNECTED` لتأكيد جاهزية الجلسة، `CLOSE` لإنهاء قناة، و `ERROR` للإبلاغ عن الأخطاء للمشغل. توفر هذه الأنواع للمهاجم تحكماً ديناميكياً في الأنظمة الداخلية التي يتصل بها الجهاز المخترق، وكل هذه الأنشطة تمر عبر حركة مرور WebSocket الصادرة القياسية، مما يجعل اكتشافها صعباً باستخدام أدوات المراقبة التقليدية بمفردها.
يُنصح فرق الأمن بمراقبة نقاط النهاية عن كثب بحثاً عن عمليات Node.js غير متوقعة تقوم بإنشاء اتصالات WebSocket صادرة مستمرة إلى عناوين خارجية غير مألوفة. يجب مراجعة وحظر حركة المرور الصادرة إلى عناوين IP غير معروفة على منافذ غير قياسية حيثما كان ذلك مناسباً. كما يجب التحقق بانتظام من ضوابط تقسيم الشبكة لضمان عدم تمكن الجهاز المخترق من الوصول بحرية إلى الخدمات الداخلية الحساسة. تشمل مؤشرات الاختراق المعروفة لـ RoadK1ll الملف `Index.js`، وتجزئة SHA256 `b5a3ace8dc6cc03a5d83b2d85904d6e1ee00d4167eb3d04d4fb4f793c9903b7e`، وعنوان IP المعروف للخادم القيادي (C2) `45[.]63[.]39[.]209`.