أصاب الهجوم السيبراني 14000 جهاز توجيه من علامة ASUS باستخدام برنامج KadNap شديد المقاومة

اكتشف باحثو أمن المعلومات حملة عدوى واسعة النطاق أدت إلى اختراق ما يقرب من 14000 جهاز توجيه في عدة مناطق. تنتمي معظم المعدات المتضررة إلى الشركة المصنعة ASUS، مما يشير إلى استهداف محدد للهجمات لاستغلال الثغرات الموجودة في البرامج الثابتة الخاصة بتلك العلامة التجارية.

العامل المسؤول عن هذا الغزو الهائل هو البرنامج الضار الذي تم تحديده باسم KadNap، وهو برنامج برمجي ضار يتميز بصعوبة بالغة في القضاء عليه. بمجرد تثبيته على جهاز الشبكة، يقوم البرنامج بتحويل الجهاز إلى عقدة نشطة لشبكة الروبوتات، والتي تعمل مخفية عن مالك الاتصال بالإنترنت.

تم اكتشاف شبكة الزومبي هذه أثناء المراقبة الروتينية لحركة المرور الشاذة على الإنترنت، عندما لاحظ الخبراء أنماط اتصال مشبوهة تنشأ من اتصالات المنزل والشركات الصغيرة. وتستمر المعدات في العمل بشكل طبيعي للملاحة اليومية، مما يؤخر وعي الضحايا بالمشكلة.

الهيكل الفني لغزو المعدات

ويكشف تحليل سلوك KadNap أن العدوى تحدث بشكل رئيسي من خلال استغلال منافذ الاتصال المفتوحة بشكل غير صحيح على الإنترنت. يقوم المهاجمون بإجراء عمليات فحص تلقائية بحثًا عن أجهزة التوجيه التي لا تزال تستخدم بيانات اعتماد الوصول الافتراضية للمصنع أو التي لديها عيوب أمنية معروفة وغير مُصححة.

عند تحديد موقع هدف ضعيف، يقوم البرنامج النصي الضار بحقن حمولته مباشرة في ذاكرة الجهاز، مما يؤدي إلى إنشاء اتصال فوري مع خوادم القيادة والتحكم التي يديرها مجرمون الإنترنت. ومن تلك اللحظة فصاعدًا، يبدأ جهاز التوجيه في تلقي تعليمات عن بعد لتنفيذ مجموعة متنوعة من الإجراءات غير المشروعة في البيئة الرقمية.

يوضح حجم 14 ألف وحدة مخترقة فعالية طريقة النشر الآلي التي يستخدمها مطورو التهديد. يشير التركيز على نماذج ASUS إلى أن المجرمين قد رسموا بنية البرامج لهذه الأجهزة بالتفصيل لزيادة معدل نجاح عمليات الاقتحام الصامتة.

آليات ثبات الكود وإخفائه

إن ما يميز KadNap تقنيًا عن التهديدات الأخرى التي تستهدف أجهزة الشبكة هو قدرته المتقدمة على البقاء على النظام المضيف. تم تصميم البرامج الضارة للتكامل بشكل عميق مع عمليات البرامج الثابتة الأساسية لجهاز التوجيه، مما يؤدي إلى إنشاء آليات متكررة تجعل من الصعب إزالتها باستخدام الطرق التقليدية. عندما يقوم المستخدم بإعادة ضبط بسيطة للجهاز، تكون التعليمات البرمجية الضارة قادرة على إعادة تنشيط نفسها على الفور أثناء عملية التمهيد، مما يضمن بقاء الجهاز تحت سيطرة الروبوتات دون انقطاع كبير في الاتصال بالخوادم الخارجية.

وبالإضافة إلى مقاومة عمليات إعادة التشغيل، لاحظ الباحثون أن محاولات استعادة إعدادات المصنع الافتراضية لا تكون دائمًا كافية للقضاء على العدوى بشكل دائم. يستخدم KadNap تقنيات التشويش لإخفاء ملفاته وعملياته من أدوات التشخيص الأصلية الخاصة بالجهاز. يسمح هذا الاختفاء التشغيلي لشبكة الزومبي بالحفاظ على حجمها وقوة المعالجة مستقرة بمرور الوقت، مما يحبط محاولات التخفيف الأولية التي يقوم بها المستخدمون الذين لديهم المعرفة التقنية الأساسية ويتطلب تدخلات أعمق في النظام.

استخدام البنية التحتية للهجمات الموزعة

إن تشكيل شبكة الروبوتات مع الآلاف من أجهزة التوجيه المنزلية والشركات يوفر للمجرمين بنية تحتية قوية لتنفيذ هجمات حجب الخدمة الموزعة. تتكون هذه الهجمات من إرسال عدد كبير من الطلبات في وقت واحد إلى خادم أو موقع ويب محدد، بهدف زيادة التحميل عليه وجعله غير قابل للوصول.

إن استخدام الاتصالات المنزلية لهذه الأنشطة غير المشروعة يجعل عمل أدوات الدفاع السيبراني أمرًا صعبًا، حيث تنشأ حركة المرور الضارة من عناوين IP مشروعة ومشتتة جغرافيًا. تخفي هذه الخاصية المصدر الحقيقي للهجوم وتعقد تنفيذ الحظر على أساس الموقع.

Leia Tambem

اختبار البطارية الجديد يضع هاتف Galaxy S26 Ultra في المقدمة على iPhone 17 Pro Max في التصنيف العالمي

تكشف الأبحاث أن الآباء لا يدركون كيفية استخدام أطفالهم للذكاء الاصطناعي

خصم كبير على هاتف Galaxy S25 Plus يخفض قيمته إلى أقل من 4500 ريال في المتجر الإلكتروني

بالإضافة إلى هجمات رفض الخدمة، يمكن استخدام أجهزة التوجيه المصابة ببرنامج KadNap كوكلاء لإخفاء هوية المجرمين أثناء عمليات الاحتيال المالي أو التطفل على أنظمة الشركات. تعمل معدات الضحية كجسر، حيث تقوم بإعادة توجيه حركة المرور الضارة كما لو كانت تصفحًا عاديًا.

وتسمح سعة المعالجة المجمعة البالغة 14 ألف جهاز أيضًا بتنفيذ حملات القوة الغاشمة واسعة النطاق. تقوم شبكة zombie باختبار الآلاف من مجموعات كلمات المرور في الدقيقة ضد خوادم البريد الإلكتروني وقواعد البيانات والمنصات الأخرى عبر الإنترنت، مما يؤدي إلى توسيع نطاق العمليات الإجرامية.

الإجراءات الفنية لاحتواء التهديد

يتطلب تطهير جهاز التوجيه المخترق بواسطة KadNap أسلوبًا منهجيًا وصارمًا من جانب مسؤولي الشبكة والمستخدمين المنزليين. تتمثل الخطوة الأساسية الأولى في عزل الجهاز على الفور، وفصله فعليًا عن مودم الإنترنت لإيقاف الاتصال بخوادم القيادة والتحكم الخاصة بشبكة الروبوتات. بعد ذلك، من الضروري الوصول إلى لوحة إدارة الجهاز عبر شبكة محلية آمنة وتحديث البرنامج الثابت يدويًا، باستخدام الملفات الرسمية المتوفرة حصريًا على موقع ASUS الإلكتروني. نظرًا لأن البرامج الضارة تتمتع بقدرة عالية على الاستمرار، فقد لا يكون مجرد تطبيق التحديث كافيًا؛ ويوصي الخبراء بأن تكون العملية مصحوبة بتنظيف كامل للذاكرة الداخلية للجهاز، تليها إعادة التكوين اليدوي لجميع معلمات الشبكة. أثناء عملية إعادة التكوين هذه، من الضروري استبدال كلمات مرور الإدارة ببيانات اعتماد معقدة، وتعطيل خدمات الإدارة عن بعد عبر الإنترنت وإغلاق منافذ الاتصال التي ليست ضرورية تمامًا لعمل الشبكة المحلية. يساعد التحقق المستمر من سجلات الوصول في الأسابيع التي تلي الإجراء على التأكد من نجاح إزالة التعليمات البرمجية الضارة وعودة حركة البيانات إلى وضعها الطبيعي.

نقاط الضعف في النظام البيئي لإنترنت الأشياء

تسلط الحادثة المتعلقة بمعدات ASUS الضوء على مشكلة هيكلية في أمان الأجهزة التي تشكل ما يسمى بإنترنت الأشياء. غالبًا ما تصل أجهزة التوجيه وكاميرات الأمان والأجهزة المتصلة إلى السوق بتكوينات تهدف إلى سهولة التثبيت، مع إهمال بروتوكولات الحماية الأكثر صرامة. كما أن دورة حياة هذه المنتجات تجعل الوضع أسوأ، حيث تقوم العديد من الشركات المصنعة بإنهاء الدعم الرسمي مبكرًا.

إن عدم وجود نظام تحديث أمني آلي وإلزامي يترك ملايين الأجهزة عرضة للعيوب التي يتم اكتشافها بعد أشهر أو سنوات من تصنيعها. يستغل مجرمو الإنترنت هذه الثغرة الأمنية في المعدات القديمة لتوسيع شبكات الزومبي الخاصة بهم بأقل جهد وعائد تشغيلي مرتفع، مع الحفاظ على السيطرة على الأجهزة المنسية من قبل المالكين.

المراقبة المستمرة لحركة البيانات

يعتمد الاكتشاف المبكر للعدوى الصامتة مثل KadNap على تنفيذ أدوات مراقبة الشبكة القادرة على تحديد الحالات الشاذة في تدفق البيانات. تعد الزيادات غير المبررة في التحميل خلال الساعات الأولى من الصباح أو الاتصالات المستمرة بعناوين IP الموجودة في المناطق المشبوهة مؤشرات قوية على اختراق البنية التحتية المحلية.

تلعب شركات الاتصالات ومقدمو خدمات الإنترنت دورًا مركزيًا في تحديد هذه التهديدات واسعة النطاق. يعمل التعاون بين مزودي خدمات الإنترنت والشركات المصنعة للأجهزة على تسريع حظر الخوادم الضارة وإخطار العملاء المتأثرين قبل أن تتسبب الهجمات في أضرار أكبر.

إرشادات أمنية للمسؤولين

يؤكد متخصصو الأمن السيبراني أن الصيانة الوقائية هي الحاجز الفعال الوحيد ضد البرامج الضارة شديدة الثبات. يؤدي اعتماد سياسات صارمة للتحكم في الوصول، وتقسيم شبكات الشركات، وتنفيذ أنظمة كشف التسلل، والمراجعة الدورية لتكوينات جهاز التوجيه، إلى تقليل مساحة الهجوم المتاحة للتهديدات الآلية على الإنترنت بشكل كبير.