Image by Misha Feshchak, from Unsplash
ما زال أكثر من 6000 راوتر عرضة للخطر حيث يتوسع بوتنت “Ballista”
وقت القراءة: 3 دقائق
نُشر يوم مارس 14, 2025
-
![كيارا فابري]()
-
![فريق الترجمة والتوطين]()
ترجمة فريق الترجمة والتوطين خدمات الترجمة والتوطين
تستهدف شبكة الروبوتات المكتشفة حديثًا والمسماة Ballista راوترات TP-Link Archer، مستغلة ثغرة أمنية معروفة لتتفشى عبر الإنترنت، وفقًا لباحثين في مجال الأمن السيبراني في شبكات كاتو.
مستعجلة؟ ها هي الحقائق السريعة!
- لا يزال أكثر من 6,000 جهاز توجيه هش يعمل على الإنترنت على الرغم من النصائح الخاصة بترقيع الثغرات الصادرة من قِبل CISA.
- استهدفت Ballista منظمات في الولايات المتحدة، أستراليا، الصين، والمكسيك.
- يشتبه الباحثون أن شبكة البوتنت قد تمكن من سرقة البيانات وهي تتطور على GitHub.
يستغل البوتنت ثغرة في البرامج الثابتة، والمتبعة على أنها CVE-2023-1389، والتي تسمح للمهاجمين بالوصول عن بُعد إلى أجهزة التوجيه TP-Link غير المُصلحة.
وكالة الأمن السيبراني والأمن البنى التحتية في الولايات المتحدة (CISA) قد أشارت بالفعل إلى الخلل، مطالبة الوكالات بتصحيح أجهزتهم. على الرغم من ذلك، لا يزال هنالك أكثر من 6000 راوتر ضعيف على الإنترنت، وفقًا لبحث على منصة الأمن السيبراني Censys.
كانت شبكات Cato هي أول من اكتشف حملة Ballista في العاشر من يناير، ملاحظة عدة محاولات للتسلل، حيث تم تسجيل أحدثها في 17 فبراير.
تتيح برامج الفدية الخبيثة للبوتنت للمهاجمين تنفيذ الأوامر على الأجهزة المخترقة، مما يثير القلق من أن خالقه – الذي يُعتقد أنه مقيم في إيطاليا – ربما يكون لديه أهداف أكبر بعيدًا عن عمليات البوتنت النموذجية.
“نحن نشتبه أننا أمسكنا بهذه الحملة في مراحلها الأولى”، كما قال ماتان ميتيلمان، قائد فريق الوقاية من التهديدات في شبكات كاتو، كما ذكرته The Record. “رأيناها تتطور، حيث في فترة زمنية قصيرة، غير الممثل التهديدي البرنامج الفدية الأولي للسماح باتصالات أكثر خفية مع الخادم C2 من خلال شبكة Tor،” أضاف.
لقد استهدفت Ballista بالفعل المنظمات في مجالات التصنيع، والرعاية الصحية، والتكنولوجيا، والخدمات عبر الولايات المتحدة، وأستراليا، والصين، والمكسيك. البرنامج الخبيث يتحكم بالكامل في أجهزة التوجيه المصابة، يقرأ ملفات التكوين الخاصة بهم، ثم ينتشر إلى أجهزة أخرى.
كما وجد فريق الأمن في Cato أدلة تشير إلى أن الشبكة الخبيثة قد تكون قادرة على سرقة البيانات. بينما العنوان الأصلي لبروتوكول الإنترنت المرتبط بالمتسلل لم يعد نشطًا، اكتشف الباحثون نسخة محدثة من البرنامج الخبيث على GitHub، مما يشير إلى أن حملة الهجوم تتطور.
لقد لاحظ باحثو كاتو أن الحملة تبدو أكثر تطوراً. بينما يشترك البرنامج الخبيث في بعض الصفات مع غيره من شبكات الروبوتات، لا يزال متميزاً عن الشبكات المعروفة مثل ميراي وموزي.
الاستهداف المستمر لأجهزة التوجيه عبر الإنترنت من قبل القراصنة ليس بالأمر الجديد. يقول الخبراء أن أجهزة الإنترنت من الأشياء مثل أجهزة التوجيه هي الأهداف الرئيسية بسبب كلمات المرور الضعيفة، والصيانة السيئة، وعدم وجود تحديثات أمنية تلقائية.
أوضحت ميتلمان أنه على مر السنين، أظهرت شبكات الروبوتات الضخمة في الإنترنت الأشياء مثل ميراي وموزي كيف يمكن استغلال أجهزة التوجيه بسهولة، واستغل الجهات الفاعلة الخبيثة هذا.
أبرزت نقطتين رئيسيتين ساهمتا في هذه المشكلة: الأولى هي أن المستخدمين غالبًا ما يهملون تحديث البرامج الثابتة على أجهزة التوجيه الخاصة بهم، والثانية هي أن مُصنعي أجهزة التوجيه عادة ما يفشلون في تركيز على الأمان.
تعتبر أجهزة التوجيه من TP-Link مصدر قلق أمني متكرر. أفادت صحيفة وول ستريت جورنال مؤخرًا أن الوكالات الأمريكية تفكر في حظرها بسبب استغلالها المتكرر من قبل القراصنة الصينيين.
أحدث المقالات 
اترك تعليقًا
إلغاء