كشف باحثون في مركز عاصفة الإنترنت IMEN عن دودة إنترنت متطورة ذاتية الانتشار، قادرة على اختراق أنظمة لينكس بالكامل خلال أربع ثوانٍ باستخدام هجمات القوة الغاشمة عبر بروتوكول SSH. تتفوق هذه التهديدات الجديدة بدمجها تقنيات حشو بيانات الاعتماد المعتادة مع آليات تحقق حديثة للتشفير، مما يخلق شبكة بوت نت سريعة الحركة تستهدف بشكل خاص الأجهزة ذات آليات المصادقة الضعيفة.
يُظهر الهجوم هشاشة الأنظمة التي تترك كلمات المرور الافتراضية دون تغيير، خاصة مع أجهزة إنترنت الأشياء مثل حواسيب Raspberry Pi. تعمل البرمجيات الخبيثة بكفاءة ملحوظة، حيث تكمل دورة حياتها الهجومية بالكامل في غضون ثوانٍ من الاتصال الأولي. بمجرد الحصول على وصول عبر بيانات اعتماد ضعيفة، يتم تحميل وتنفيذ سكريبت Bash صغير بحجم 4.7 كيلوبايت على الفور.
دودة SSH جديدة تهدد أنظمة لينكس بانتشار ذاتي
يقوم هذا السكريبت بإنشاء طبقات متعددة من الاستمرارية، ويزيل عمليات البرامج الضارة المتنافسة، ويربط الجهاز المخترق بالبنية التحتية للقيادة والتحكم باستخدام شبكات IRC. اكتشف باحثو مركز عاصفة الإنترنت هذا التهديد بعد تحليل حركة المرور التي التقطتها مستشعرات DShield honeypot، والمعدة خصيصًا للكشف عن الهجمات القائمة على SSH.
كشفت التحقيقات أن البرمجيات الخبيثة نشأت من جهاز Raspberry Pi مخترق في ألمانيا، والذي كان نفسه ضحية لسلسلة الهجوم ذاتها. يسمح هذا النمط الانتشاري الشبيه بالديدان لشبكة البوت نت بالانتشار بشكل أسي عبر الأنظمة الضعيفة المتصلة بالإنترنت.
آلية الهجوم والانتشار
يبدأ الهجوم عندما تنجح البرمجيات الخبيثة في المصادقة باستخدام بيانات الاعتماد الافتراضية الشائعة، خاصة تلك التي تستهدف أجهزة Raspberry Pi باسم المستخدم “pi” وكلمات مرور مثل “raspberry” أو “raspberryraspberry993311”. بعد الحصول على الوصول، يقوم السكريبت فورًا بإنشاء آليات استمرارية من خلال تعديل ملفات النظام والمهام المجدولة.
بعد ذلك، يقوم السكريبت بقتل العمليات المرتبطة بشبكات البوت نت المتنافسة وبرامج تعدين العملات الرقمية، لضمان السيطرة الحصرية على موارد النظام. هذه الخطوة حاسمة للحفاظ على فعالية البوت نت ومنع برامج ضارة أخرى من استهلاك قوة المعالجة.
تحقق متقدم من الأوامر عبر التشفير
ما يميز هذا التهديد بشكل خاص عن ديدان SSH التقليدية هو تنفيذها لآلية تحقق من الأوامر الموقعة تشفيريًا. تحتوي البرمجيات الخبيثة على مفتاح عام RSA مدمج يقوم بالتحقق من صحة جميع التعليمات الواردة من مشغل القيادة والتحكم قبل تنفيذها. هذا الإجراء الأمني يمنع الجهات غير المصرح لها من اختطاف الأجهزة المخترقة داخل شبكة البوت نت.
بعد تأسيس الاستمرارية، ينضم الجهاز المخترق إلى شبكات IRC متعددة عبر مواقع جغرافية مختلفة. يتصل البوت بقناة محددة باسم “#biret” حيث ينتظر المزيد من التعليمات. لنشر المزيد، تقوم البرمجيات الخبيثة بتثبيت أدوات مسح، بما في ذلك Zmap وsshpass، على كل نظام مصاب، مما يمكّن الدودة من إجراء عمليات مسح منافذ سريعة عبر 100,000 عنوان IP عشوائي.
توصيات الحماية
يمكن للمؤسسات حماية نفسها عن طريق تعطيل المصادقة القائمة على كلمات المرور عبر SSH وتنفيذ المصادقة المستندة إلى المفاتيح بدلاً من ذلك. تشمل الدفاعات الإضافية إزالة حسابات المستخدمين الافتراضية على أجهزة Raspberry Pi، ونشر أدوات مثل fail2ban للحماية من هجمات القوة الغاشمة، وتطبيق تقسيم الشبكة لعزل أجهزة إنترنت الأشياء عن البنية التحتية الحيوية.