مخترقون يستغلون ثغرات إنترنت الأشياء لنشر برمجيات خبيثة جديدة

الرياض – كشفت تقارير أمنية حديثة عن حملة برمجيات خبيثة جديدة تُعرف باسم ShadowV2، والتي بدأت بالانتشار في أواخر أكتوبر 2025. تستغل هذه البرمجية الخبيثة بشكل نشط الثغرات الأمنية في أجهزة إنترنت الأشياء (IoT) لبناء شبكة واسعة من الأجهزة المخترقة (بوت نت) لتنفيذ هجمات الحرمان من الخدمة الموزعة (DDoS)، مما يشكل تهديدًا متزايدًا للأمن السيبراني العالمي.

وقد شمل الانتشار السريع للبرمجية سبع صناعات مختلفة، بما في ذلك قطاعات التكنولوجيا والتعليم والتجزئة، مؤثرة على مؤسسات في الولايات المتحدة وأوروبا وآسيا. يعتقد الخبراء أن هذه الحملة ربما كانت مجرد “اختبار” لتقييم قدرة الشبكة الروبوتية على إحداث اضطرابات واسعة النطاق في الخدمات.

ShadowV2: تهديد يتغذى على ثغرات إنترنت الأشياء

تعتمد برمجية ShadowV2 الخبيثة في انتشارها على استغلال الثغرات الأمنية القديمة وغير المصححة في أجهزة التوجيه (routers) وأجهزة التسجيل الرقمي للفيديو (DVRs)، وذلك وفقاً لتحليلات أجراها محللو شركة Fortinet للأمن السيبراني. وقد نجح المهاجمون في اختراق عدد كبير من هذه الأجهزة التي فشلت المؤسسات في تحديثها بأحدث التصحيحات الأمنية.

يبدأ مسار الهجوم بقيام الجهاز المخترق بتنزيل نص برمجي يُدعى binary.sh من خادم بعيد. يقوم هذا النص تلقائياً بالكشف عن بنية الجهاز المستهدف، سواء كانت ARM أو MIPS أو x86، ومن ثم جلب الحمولة الخبيثة المناسبة لضمان التنفيذ الناجح.

تحليل فني لبرمجية ShadowV2

تتشابه برمجية ShadowV2 في بنيتها مع سلالة Mirai variant المعروفة باسم “LZRD”، ولكنها تستخدم تقنيات تشويش مختلفة. عند التشغيل، تستخدم خوارزمية XOR بسيطة مع مفتاح 0x22 لفك تشفير بيانات الإعدادات الخاصة بها.

تتضمن هذه البيانات المخفية مسارات ملفات، مثل /proc/، وسلاسل User-Agent مضللة تهدف إلى إخفاء حركة المرور الخبيثة لتبدو كنشاط طبيعي للمستخدم. بعد ذلك، تقوم البرمجية الخبيثة بإنشاء اتصال مع خادم القيادة والسيطرة الخاص بها لتلقي أوامر الهجوم.

وتدعم ShadowV2 نواقل هجوم متعددة للحرمان من الخدمة الموزعة، بما في ذلك هجمات UDP floods وهجمات TCP SYN floods، مما يجعلها أداة قوية لتنفيذ عمليات تخريبية واسعة النطاق ضد الأهداف.