ما زال أكثر من 6000 راوتر عرضة للخطر حيث يتوسع بوتنت “Ballista”

Image by Misha Feshchak, from Unsplash

ما زال أكثر من 6000 راوتر عرضة للخطر حيث يتوسع بوتنت “Ballista”

وقت القراءة: 3 دقائق

تستهدف شبكة الروبوتات المكتشفة حديثًا والمسماة Ballista راوترات TP-Link Archer، مستغلة ثغرة أمنية معروفة لتتفشى عبر الإنترنت، وفقًا لباحثين في مجال الأمن السيبراني في شبكات كاتو.

مستعجلة؟ ها هي الحقائق السريعة!

  • لا يزال أكثر من 6,000 جهاز توجيه هش يعمل على الإنترنت على الرغم من النصائح الخاصة بترقيع الثغرات الصادرة من قِبل CISA.
  • استهدفت Ballista منظمات في الولايات المتحدة، أستراليا، الصين، والمكسيك.
  • يشتبه الباحثون أن شبكة البوتنت قد تمكن من سرقة البيانات وهي تتطور على GitHub.

يستغل البوتنت ثغرة في البرامج الثابتة، والمتبعة على أنها CVE-2023-1389، والتي تسمح للمهاجمين بالوصول عن بُعد إلى أجهزة التوجيه TP-Link غير المُصلحة.

وكالة الأمن السيبراني والأمن البنى التحتية في الولايات المتحدة (CISA) قد أشارت بالفعل إلى الخلل، مطالبة الوكالات بتصحيح أجهزتهم. على الرغم من ذلك، لا يزال هنالك أكثر من 6000 راوتر ضعيف على الإنترنت، وفقًا لبحث على منصة الأمن السيبراني Censys.

كانت شبكات Cato هي أول من اكتشف حملة Ballista في العاشر من يناير، ملاحظة عدة محاولات للتسلل، حيث تم تسجيل أحدثها في 17 فبراير.

تتيح برامج الفدية الخبيثة للبوتنت للمهاجمين تنفيذ الأوامر على الأجهزة المخترقة، مما يثير القلق من أن خالقه – الذي يُعتقد أنه مقيم في إيطاليا – ربما يكون لديه أهداف أكبر بعيدًا عن عمليات البوتنت النموذجية.

“نحن نشتبه أننا أمسكنا بهذه الحملة في مراحلها الأولى”، كما قال ماتان ميتيلمان، قائد فريق الوقاية من التهديدات في شبكات كاتو، كما ذكرته The Record. “رأيناها تتطور، حيث في فترة زمنية قصيرة، غير الممثل التهديدي البرنامج الفدية الأولي للسماح باتصالات أكثر خفية مع الخادم C2 من خلال شبكة Tor،” أضاف.

لقد استهدفت Ballista بالفعل المنظمات في مجالات التصنيع، والرعاية الصحية، والتكنولوجيا، والخدمات عبر الولايات المتحدة، وأستراليا، والصين، والمكسيك. البرنامج الخبيث يتحكم بالكامل في أجهزة التوجيه المصابة، يقرأ ملفات التكوين الخاصة بهم، ثم ينتشر إلى أجهزة أخرى.

كما وجد فريق الأمن في Cato أدلة تشير إلى أن الشبكة الخبيثة قد تكون قادرة على سرقة البيانات. بينما العنوان الأصلي لبروتوكول الإنترنت المرتبط بالمتسلل لم يعد نشطًا، اكتشف الباحثون نسخة محدثة من البرنامج الخبيث على GitHub، مما يشير إلى أن حملة الهجوم تتطور.

لقد لاحظ باحثو كاتو أن الحملة تبدو أكثر تطوراً. بينما يشترك البرنامج الخبيث في بعض الصفات مع غيره من شبكات الروبوتات، لا يزال متميزاً عن الشبكات المعروفة مثل ميراي وموزي.

الاستهداف المستمر لأجهزة التوجيه عبر الإنترنت من قبل القراصنة ليس بالأمر الجديد. يقول الخبراء أن أجهزة الإنترنت من الأشياء مثل أجهزة التوجيه هي الأهداف الرئيسية بسبب كلمات المرور الضعيفة، والصيانة السيئة، وعدم وجود تحديثات أمنية تلقائية.

أوضحت ميتلمان أنه على مر السنين، أظهرت شبكات الروبوتات الضخمة في الإنترنت الأشياء مثل ميراي وموزي كيف يمكن استغلال أجهزة التوجيه بسهولة، واستغل الجهات الفاعلة الخبيثة هذا.

أبرزت نقطتين رئيسيتين ساهمتا في هذه المشكلة: الأولى هي أن المستخدمين غالبًا ما يهملون تحديث البرامج الثابتة على أجهزة التوجيه الخاصة بهم، والثانية هي أن مُصنعي أجهزة التوجيه عادة ما يفشلون في تركيز على الأمان.

تعتبر أجهزة التوجيه من TP-Link مصدر قلق أمني متكرر. أفادت صحيفة وول ستريت جورنال مؤخرًا أن الوكالات الأمريكية تفكر في حظرها بسبب استغلالها المتكرر من قبل القراصنة الصينيين.

هل أعجبك هذا المقال؟ امنحه تقييمًا!
كان سيئًا لم يعجبني كان معقولًا جيد إلى حد كبير! أحببته!

يسعدنا أن عملنا أعجبك!

نهتم برأيك لأنك من قرّائنا الذين نقدِّرهم، فهلّ يمكن أن تقيّمنا على Trustpilot؟ إنه إجراء سريع ويعني الكثير لنا. شكرًا لتعاونك القيّم!

قيِّمنا على Trustpilot
0 بتصويت 0 من المستخدمين
عنوان
تعليق
شكرًا على ملاحظاتك!
Loader
Please wait 5 minutes before posting another comment.
Comment sent for approval.

اترك تعليقًا

Loader
Loader عرض المزيد…