14,000 جهاز توجيه تم اختراقه بواسطة شبكة KadNap الخبيثة المقاومة للإزالة

شبكة خبيثة ترفض الموت

اكتشف باحثو الأمان في Black Lotus Labs التابعة لـ Lumen شبكة خبيثة معقدة قد استعبدت بصمت حوالي 14,000 جهاز توجيه وجهاز شبكة — بشكل أساسي طرز Asus الاستهلاكية — في شبكة وكيل تخدم عمليات الإجرام السيبراني. أطلق الباحثون على البرنامج الضار اسم KadNap، ويتميز عن غالبية الشبك الخبيثة من خلال هندسة معمارية peer-to-peer تجعله صعب للغاية في الإزالة.

نما عدد الإصابات من حوالي 10,000 جهاز عندما اكتشفت Black Lotus الشبكة الخبيثة في أغسطس الماضي إلى 14,000 في أوائل مارس. تقع الأغلبية الساحقة من الأجهزة المخترقة في الولايات المتحدة، مع مجموعات أصغر في تايوان وهونج كونج وروسيا. التركيز العالي لأجهزة توجيه Asus بين الضحايا يشير إلى أن مشغلي الشبكة الخبيثة حصلوا على استغلال موثوق يستهدف الثغرات الأمنية في إصدارات Asus الثابتة المحددة.

كيف ينتشر KadNap ويستمر

وفقاً لباحث Black Lotus Chris Formosa، يحصل KadNap على موطئ قدم أولي من خلال استغلال ثغرات معروفة لكن غير مصححة في أجهزة التوجيه الاستهلاكية. هذه ليست استغلالات zero-day تتطلب مهارات متخصصة — إنها عيوب أمان موثقة علناً أصدرت الشركات المصنعة تصحيحات لها، لكن مالكي الأجهزة لم يطبقوها أبداً. الفجوة بين توفر التصحيح والتثبيت الفعلي للتصحيح تبقى واحدة من أكثر مشاكل الأمن السيبراني استمراراً، والشبك الخبيثة مثل KadNap تستغلها بلا رحمة.

بمجرد تثبيتها على جهاز توجيه، تحول KadNap الجهاز إلى عقدة في شبكة وكيل موزعة. يتم توجيه حركة المرور من عمليات الإجرام السيبراني — الاحتيال والتخمين الموثق والكشط عن الويب والأنشطة الخبيثة الأخرى — من خلال أجهزة التوجيه المخترقة، مما يجعل يبدو أنها تنشأ من عناوين IP سكنية شرعية. تُباع خدمة الوكيل السكني هذه بعد ذلك إلى مجرمين آخرين، مما يوفر لمشغلي الشبكة الخبيثة تدفقاً ثابتاً من الدخل.

ما يجعل KadNap خطيراً بشكل خاص هو استخدامه لبروتوكول اتصال peer-to-peer بناءً على Kademlia، وهي خوارزمية جدول التجزئة الموزعة المعروفة جيداً تم تطويرها في الأصل لتطبيقات مشاركة الملفات الشرعية. في الشبكة الخبيثة التقليدية، تستقبل الأجهزة المخترقة تعليمات من خادم قيادة وتحكم مركزي. يمكن لإنفاذ القانون وفرق الأمان تعطيل هذه الشبك الخبيثة بتحديد ومصادرة خادم القيادة، مما يقطع فعلياً رأس الثعبان.

ميزة Kademlia

تقضي معمارية KadNap القائمة على Kademlia على نقطة الفشل الفردية هذه. بدلاً من الاتصال بخادم مركزي، يحتفظ كل جهاز توجيه مصاب بجدول توجيه من الأجهزة المصابة الأخرى. تنتشر الأوامر عبر الشبكة بطريقة موزعة، وتقفز من عقدة إلى أخرى باستخدام خوارزمية التوجيه الفعالة لبروتوكول Kademlia. لا يوجد خادم مركزي للمصادرة، ولا عنوان IP واحد للحظر، ولا نقطة اختناق واضحة حيث يمكن قطع الشبكة.

إذا تم تنظيف بعض العقد أو تعطلت، تعيد العقد المتبقية تنظيم جداول التوجيه الخاصة بها تلقائياً للحفاظ على اتصال الشبكة. تم تصميم بروتوكول Kademlia خصيصاً ليكون مرناً في مواجهة تغيير الأجهزة — الأجهزة التي تنضم أو تترك الشبكة — مما يجعله مقاوماً بشكل طبيعي للإغلاقات الجزئية. يمكن للشبكة الخبيثة أن تفقد جزءاً كبيراً من عقدها وتواصل العمل مع الحد الأدنى من الاضطراب.

يمثل هذا التصميم تطوراً ذا مغزى في هندسة الشبك الخبيثة. بينما كانت الشبك الخبيثة peer-to-peer موجودة منذ سنوات، فإن تنفيذ KadNap لـ Kademlia معقد بشكل ملحوظ، باستخدام التحقق من التشفير من إدخالات جدول التوجيه لمنع باحثي الأمان من حقن عقد كاذبة في الشبكة كتكتيك تعطيل.

اتصال Asus

يثير التركيز العالي لأجهزة توجيه Asus بين ضحايا KadNap أسئلة حول موقف الأمان لهذه الأجهزة المستخدمة على نطاق واسع من قبل المستهلكين. كانت أجهزة توجيه Asus الاستهلاكية موضوع عدة تنبيهات أمان في السنوات الأخيرة، مع ثغرات تتراوح من تجاوزات المصادقة إلى عيوب تنفيذ التعليمات البرمجية عن بعد. في حين أن Asus تصدر بانتظام تحديثات ثابتة لمعالجة هذه المشاكل، فإن الأغلبية الساحقة من مالكي أجهزة التوجيه الاستهلاكية لا يحدثون برنامجهم الثابت أبداً.

على عكس الهواتف الذكية وأجهزة الكمبيوتر، التي تتحدث عادة تلقائياً، تتطلب معظم أجهزة التوجيه الاستهلاكية تحديثات ثابتة يدوية تتضمن تحميل الملفات من موقع الويب الخاص بالمصنع وتحميلها عبر واجهة إدارة جهاز التوجيه. كثير من المستخدمين لا يدركون أن جهاز التوجيه الخاص بهم يحتوي حتى على برنامج ثابت، ناهيك عن الحاجة إلى تحديثه. يخلق هذا مجموعة دائمة من الأجهزة الضعيفة التي يمكن لمشغلي الشبك الخبيثة حصادها حسب الرغبة.

الدفاع ضد KadNap

بالنسبة لمالكي أجهزة التوجيه الأفراد، فإن الدفاع الأكثر فعالية واضح ومباشر: قم بتحديث برنامج جهاز التوجيه الثابت. توفر Asus تحديثات ثابتة من خلال موقع الدعم الخاص بها وقدمت ميزة التحديث التلقائي في الطرز الأحدث. يعد تغيير كلمات المرور الافتراضية للمسؤول وتعطيل وصول الإدارة البعيدة من الإنترنت أيضاً خطوات حيوية تغلق أكثر نواقل الهجوم شيوعاً.

بالنسبة لمجتمع الأمان الأوسع، تسلط KadNap الضوء على الحاجة إلى نهج جديدة لتفكيك الشبك الخبيثة. الطرق التقليدية التي تعتمد على مصادرة البنية الأساسية للقيادة والتحكم غير فعالة ضد التصاميم peer-to-peer. قد تتضمن الاستراتيجيات البديلة الكشف المنسق للثغرات الأمنية والتصحيح القسري من خلال تعاون مزودي خدمات الإنترنت، والكشف الآلي عن أنماط حركة مرور الشبك الخبيثة على مستوى الشبكة، أو الأطر القانونية التي تحمل مصنعي الأجهزة مسؤولية شحن المنتجات بأوجه قصور أمانية معروفة.

مع انتشار أجهزة إنترنت الأشياء الاستهلاكية — أجهزة التوجيه والكاميرات والمتحدثات الذكية والأجهزة — تستمر مجموعة الأجهزة المتصلة بالإنترنت السيئة الصيانة المتاحة لتجنيد الشبك الخبيثة في النمو. KadNap هو تحذير مما يحدث عندما تلتقي تلك المجموعة بهندسة برامج ضارة متطورة.

هذا المقال مستند إلى تقارير من Ars Technica. اقرأ المقالة الأصلية.