كشفت تقارير أمنية حديثة عن استغلال جهات إجرامية لأنظمة إدارة الخوادم الافتراضية، مثل ISPsystem، لتعزيز حملاتهم السيبرانية. يستخدم المجرمون هذه البنى التحتية، التي تبدو شرعية، لتوفير خوادم آمنة ومستقرة لإطلاق هجماتهم، مما يعقد جهود الكشف والمواجهة.
فقد أظهرت سلسلة من حوادث برامج الفدية المتزايدة خلال العام الماضي أن المهاجمين باتوا يعتمدون على استئجار أجهزة افتراضية عبر منصات شائعة الاستخدام لدى شركات استضافة خدمات الإنترنت. يمنحهم هذا النهج وصولاً إلى موارد حاسوبية قوية تبدو موثوقة، مما يسمح بتنفيذ هجمات معقدة دون إثارة إنذارات مبكرة.
هذا الانتهاك للبنية التحتية التجارية يسلط الضوء على التطور المتزايد في كيفية حصول الجهات التهديدية على مواردها، حيث يتحول التركيز من الحواسيب المنزلية المخترقة إلى أصول مراكز البيانات ذات النطاق الترددي العالي.
استغلال منصات ISPsystem لتوفير خوادم آمنة
أصبحت هذه الأجهزة الافتراضية منصة انطلاق للعديد من سلالات برامج الفدية الخطيرة، بما في ذلك WantToCry و LockBit و BlackCat. استخدم المهاجمون هذه الخوادم لإقامة اتصالات بعيدة، ونشر البرامج الضارة، والتحكم في الشبكات المصابة من مسافة آمنة.
وبما أن الخوادم كانت مستضافة على شبكات شرعية، فقد تجاوزت العديد من إجراءات الحظر الأمنية القياسية التي عادة ما تسجل حركة المرور المشبوهة. وبهذه الطريقة، وفرت هذه الخوادم قاعدة عمليات مستقرة وموثوقة، مما جعل من الصعب على المدافعين إيقافها بسرعة.
تزيد آلية توزيع البرمجيات الخبيثة المندمجة من تعقيد الوضع الدفاعي للمؤسسات المتضررة، وتتطلب استراتيجيات كشف أكثر تطوراً.
أشار محللو Sophos إلى هذا النشاط الخبيث بعد ملاحظة نمط مميز في معرفات الشبكة للأجهزة المهاجمة. اكتشفوا أن الآلاف من هذه الخوادم تشترك في نفس أسماء أجهزة الكمبيوتر، المستمدة من القوالب الافتراضية لبرنامج الاستضافة.
هذا القصور سمح للباحثين بتتبع البنية التحتية واسعة الانتشار، وتحديد أكثر من 3000 جهاز نشط في مناطق تشمل روسيا وأوروبا والولايات المتحدة. يشير حجم هذه الأجهزة الهائل إلى جهد منظم للغاية للحفاظ على شبكة مرنة للعمليات الإجرامية.
استغلال قوالب الإعدادات الثابتة
يعتمد استمرار هذا التهديد بشكل كبير على كيفية بيع هذه البيئات الافتراضية. قامت شركات الخدمات مثل “MasterRDP”، التي تعمل تحت اسم rdp.monster، ببناء نموذج عمل حول بيع هذه الخوادم المعدة مسبقًا.
يسوقون هذه الخدمات في المنتديات السفلية بأنها “مقاومة للرصاص”، واعدين بأن الخوادم ستبقى قيد التشغيل على الرغم من تقارير الإساءة. يعمل هؤلاء المزودون كحلقة وصل حاسمة في سلسلة التوريد، حيث يوفرون وصولاً ميسور التكلفة إلى أجهزة مخصصة تسهل الحملات الخبيثة واسعة النطاق.
من خلال شراء هذه الموارد، يمكن للمهاجمين تجاوز التحديات التقنية المعقدة لبناء شبكات البوتنت الخاصة بهم.
.webp.jpeg)
الآلية التقنية التي تمكّن هذا النطاق هي استخدام القوالب الثابتة داخل برنامج VMmanager. عند إعداد جهاز افتراضي جديد باستخدام هذه القوالب الافتراضية، فإنه يحتفظ بمعرفات نظام محددة بدلاً من إنشاء معرفات فريدة.
هذا النقص في العشوائية يعني أن كل خادم يتم إنشاؤه من نفس القالب يبدو متطابقًا على مستوى النظام. هذه الميزة تبسط الإدارة للمسؤولين الشرعيين، ولكنها قدمت عن غير قصد للمجرمين السيبرانيين أسطولاً موحدًا ومنتجًا بكميات كبيرة من خوادم الهجوم الجاهزة للنشر الفوري.
تشمل التوصيات تجنب استخدام القوالب الافتراضية وتطبيق بروتوكولات عشوائية أكثر صرامة لمنع الاستغلال المتجانس.
تابعنا على Google News، LinkedIn، و X للحصول على المزيد من التحديثات الفورية، واجعل CSN مصدرك المفضل في Google.
