تعد البرامج ذاتية النسخ التي تصيب الأجهزة الموجودة في النطاق، والتي تسمى بالديدان، مشهدًا شائعًا في عالم الأمن السيبراني. ومع ذلك، ليس من المعتاد في كل يوم أن تنحرف مجموعة قرصنة عن هدفها المعتاد المتمثل في تحقيق مكاسب مالية وتكتفي بمسح الأجهزة الموجودة في دولة معينة – في هذه الحالة، إيران – كل ذلك أثناء استخدام آلية تحكم جديدة.
ظهرت مجموعة TeamPCP، التي يبدو أنها تشكلت مؤخرًا، في الأخبار في ديسمبر الماضي لاستهداف برامج البنية التحتية للاستضافة السحابية شائعة الاستخدام مثل Docker وKubernetes وRedis وNext.js. ويبدو أن الهدف الرئيسي للمجموعة هو بناء شبكة وكيل يمكنها (أو، على الأرجح، عملائها) استخدامها لشن هجمات برامج الفدية والابتزاز، من بين عمليات ضارة أخرى.
تعمق أكثر مع TH Premium: الذكاء الاصطناعي ومراكز البيانات
وبينما يبدو أن معظم أنشطة الفريق حتى الآن مرتبطة بالحصول على الأموال، فإن الإصدار الأخير من البرنامج الذي يطلق عليه اسم CanisterWorm سوف يمحو محتويات أي جهاز إيراني يجد نفسه فيه بالكامل، من خلال اكتشاف المنطقة الزمنية للنظام. سيحذف أي مضيف Kubernetes كل جهاز في المجموعة، بينما تحصل الأجهزة الافتراضية القياسية من أي نوع على ol '”rm -rf / –no-preserve-root” – دون طرح أي أسئلة. إذا كانت الآلة غير إيرانية، تستمر العدوى والانتشار كالمعتاد.
يستمر المقال أدناه
يبدو أنه لا يوجد دافع فوري لمسح البيانات، خاصة وأن المضيف الميت لا يستخدم كثيرًا للطفيلي. وفي تصريح لـ KrebsOnSecurity، قال الباحث في أيكيدو، تشارلي إريكسن، إن المجموعة كانت على ما يبدو تتباهى فقط، وافترضت أنها قد تمتلك أوراق اعتماد لعدد أكبر بكثير من الأنظمة من تلك التي شاركت في الهجوم.
بدأ الهجوم الأخير خلال عطلة نهاية الأسبوع الماضية، بدأ من خلال اختراق برنامج Trivy لفحص الثغرات الأمنية مفتوح المصدر والذي يستخدمه العديد من المطورين كجزء من البنية التحتية لنشر البرامج الخاصة بهم. حصلت حزم Node.js (npm) التي استخدمت Trivy على بيانات اعتماد النشر الخاصة بها، ومن هناك انتشرت البرامج الضارة إلى حزم npm الأخرى وأنشأت عددًا كبيرًا من العمليات الخلفية التي تتنكر في شكل خدمات نظام قياسية.
ما يجعل هذا الهجوم بالتحديد جديدًا على الجانب الفني هو أن البنية التحتية للقيادة والتحكم – “لوحة التحكم” لمشغلي شبكات البرامج الضارة – كانت بمثابة نقطة توقف تام منشورة على علبة ICP (مشروع حساب الإنترنت)، ومن هنا جاء اسم CanisterWorm. العلبة هي نوع من العقود الذكية، وهي عبارة عن مجموعة صغيرة من الأكواد والبيانات المستضافة على blockchain والتي تتميز بالمرونة بشكل خاص في الانهيار، نظرًا لطبيعتها الموزعة.
على عكس سلاسل الكتل الخاصة بالعملات المشفرة مثل Bitcoin أو Ethereum، يجب على المشاركين في برنامج المقارنات الدولية الخضوع لعملية تحديد وتدقيق صارمة وتوفير أجهزة كبيرة لتشغيلها. تشير التقديرات إلى أن عدد الأجهزة المشاركة يبلغ حوالي 1400 جهاز (نصف نشط ونصفها الآخر في وضع الاستعداد) عبر أكثر من 100 مزود عقد و34 دولة.
نظرًا للطبيعة المفتوحة لبروتوكول ICP، فإن العلب، حسب التصميم، قابلة للتشغيل فقط من قبل منشئها الأصلي، وعلى الرغم من أن ICP يقبل إخطارات البرامج الضارة، إلا أنها تخضع بعد ذلك لعملية التصويت بعتبة عالية للغاية – لضمان عدم تعرض الشبكة، على سبيل المثال، لطلب الحكومة بالإزالة. في هذه الحالة، يبدو من المحتمل أن يكون فريق TeamPCP قد “نزع سلاح” العلبة بسبب الكشف العام عن الهجوم، ولكن يمكن إعادة تمكينه في أي وقت، مع التخفيف الفعلي المتمثل في حظر العنوان على مستوى الشبكة.
يتبع أجهزة توم على أخبار جوجل، أو أضفنا كمصدر مفضل، للحصول على آخر الأخبار والتحليلات والمراجعات في خلاصاتك.
التعليقات